Подозрение на Trojan.Win32.Agent, маскировка процессов, скрытая загрузка библиотек через AppInit_DLLs
Всем привет!
Поздравляю мужчин-хелперов с праздником!
Нужна ваша помощ
До проверки AVZ и удаления файла C:\i386\USERINIT.EX_ (подозрение на Trojan.Win32.Agent.ghds):
1.Была невозможна загрузка программ из интернета
2.Kaspersky Virus Removal Tool вовремя установки выдавал сообщение "The setup files are corrupted...
3.Dr.Web CureIt! не запусклся
4.Постоянно возникали подозрительные соединения firefox.exe
internet Explorer пришлось добавить в заблокированные приложения т.к после его исполозования Emsisoft Anti-Malware регулярно находит Trace.Registry
avz_log был сделан в безопасном режиме
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) HiTataThis, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Internet Explorer установлю и обновления сделаю спасибо, Techno.
Удалила только этот файл C:\i386\USERINIT.EX возможно вирус изменил реестр или создал %Temp%\explorer.exe?
Скажите что это:
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\guard32.dll"
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo
Анализ netapi32.dll, таблица экспорта найдена в секции .text
>> Опасно ! Обнаружена маскировка процессов
Восстановлено 53 функций KiST в ходе работы антируткита
Все остальное, это конфликты АВЗ и антивируса/фаерволла, т.к. скорее всего Вы ничего не выгружали, как того требуют правила.
Интересно, с кем может конфликтовать AVZ в безопасном режиме и чего там выгружать?
Второй лог был сделан с выгрузкой фаерволла, anti-malware и остановкой антивируса.
Секундочку, где Вы в правилах увидели, что логи надо делать в безопасном режиме? Они должны быть сняты в обычном.
Каюсь. Нарушила четвёртую заповедь правил
Вообще-то, только один лог был сделан в безопасном режиме, остальные в обычном под администратором с выгрузкой программ. Так зачем я его прикрепила? Он отражает поимку трояна, и я (наивная) подумала это может быть важно.
С кем был конфликт у AVZ в безопасном режиме, видимо, так и останется тайной.
Сообщение от Olejah
Кстати txt-логи вообще жесть читать, но я, как и коллеги, ничего зловредного не увидел.
Я вовсе не садюга) не знала, что это такой геморрой.
Прошу прощения за txt и лишний лог у всех кто пытался помочь.
Уважаемый(ая) HiTataThis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: