-
Junior Member
- Вес репутации
- 58
Последствия Worm.Win32.Autoit.xl и руткит
Здравствуйте!
Полечил комп от Worm.Win32.Autoit.xl, но похоже следы "зверя" остались.
Не запускался профиль пользователя, в реестре подправил. Постоянно запускается утилита апдейта Windows. Посмотрите логи:
Файлы fireface.exe и firefacemix.exe легальные.
Последний раз редактировалось BooZ; 04.05.2011 в 14:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Bratez
TDSSKiler ничего не обнаружил при запуске в обычном режиме.
Попробовать в безопасном?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
В безопасном режиме тоже ничего не найдено.
Может какой файл прислать для проверки на карантин?
-
В логе гмера указано на изменения в коде MBR, отсюда и подозрение на буткит. Но раз не найдено, значит все нормально. А так в логах ничего плохого.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
А вот в логах ABZ^
C:\WINDOWS\system32\fsmgmt.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности).
C:\WINDOWS\system32\secpol.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности).
Не обращать внимание?
Хотя запуск secpol.exe был прописан в реестре в строке с userinit и какая-то зараза исправляла путь к userinit, но уже после лечения ПК.
Последний раз редактировалось BooZ; 05.05.2011 в 10:37.
-
Сообщение от
BooZ
Не обращать внимание?
Проверьте их на virustotal.com или пришлите карантин по правилам.
Но я думаю там нет проблемы.
I am not young enough to know everything...
-