-
Junior Member
- Вес репутации
- 48
WinXP SP3 Pro, подозрение на руткит и троян
Здравствуйте!
Крепко подозреваю, что система поражена руткитом или трояном, или обоими. Знаний, чтобы самостоятельно справиться с заразой, недостаточно, а virusinfo - один из самых солидных ресурсов по этой проблеме. Поэтому решил обратиться к вам за помощью.
Система начала вести себя очень подозрительно. Через несколько минут после подключения к интернет сетевое подключение "зависало", но не отваливалось. После этого отключиться/переподключиться можно было только после перезагрузки (система игнорировала команду на отключение). При подключенном интернете NOD32 периодически ловил свежую заразу в директории Windows и фиксировал попытки обращения к опасным узлам, хотя с моей стороны никакой сетевой активности не было.
Сделал полную проверку дисков, переустановил систему с форматированием системного раздела.
Сейчас установлен NOD32 версии 4.2.71.3 со свежими базами.
И Outpost Firewall Pro версии 7.0.4
При подключении USB флэшки к новой системе заранее обновленный NOD32 обнаружил заразу:
14.03.2011 0:46:01
Защита в режиме реального времени
файл C:\WINDOWS\system32\CDClose.dll
вероятно модифицированный Win32/Agent.HHVJUGP троянская программа
очищен удалением - изолирован
PC-2010\Администратор
Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\verclsid.exe
Было подозрение, что кто-то угнал учетные данные к аккаунту в jabber`е, т.к. несколько раз при попытки подключения QIP сообщал, что учетная запись уже используется.
При запуске/выходе из приложений QIP и Opera Outpost фиксирует и оповещает о попытках ядра доступа к ним (а именно, к файлам, в которых хранятся данные учетных записей):
16.05.2011 21:56:13
ntoskrnl.exe
Блокировка доступа к данным защищенного приложения
C:\Documents and Settings\Администратор\Application Data\QIP\Profiles\{my_nickname}\{my_nickname}.bip
16.05.2011 18:43:42
ntoskrnl.exe
Блокировка доступа к данным защищенного приложения
C:\Documents and Settings\Администратор\Application Data\Opera\Opera\wand.dat
Файлы с журналами проверок AVZ и HiJackThis прилагаю.
Очень расчитываю на вашу помощь.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rampager, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 48
P.S. забыл указать, что делал проверку свежескачанными утилитами AVPtool и CureIt примерно через месяц после предполагаемого заражения. Ничего найдено не было.
-
Ничего подозрительного не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Спасибо за ответ.
Я вот тоже ничего не углядел... Однако странное поведение ntsokrnl настораживает. Разве это нормально? Отчего оно так упорно может долбиться к файлам с паролями?