-
Junior Member
- Вес репутации
- 60
что то щемится по порту 4099
Какая то лажа творится с компов. Вылечил от вирусов Dr.Web 4.44. Вирусов ненаходит. никакие программы не запущены. А брандмауер показывает что с этого компа что то пытается лезть на 208.72.169.153:4099. еще avz обнаружил по ходу драйвер vec17.sys.. Его нигде на диске нету.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F8362F4EVec17.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F8362CBAVec17.sys
Проверено функций: 284, перехвачено: 0, восстановлено: 0
Vec17.sys Подозрение на RootKit Перехватчик KernelMode
что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сейчас вам скажут что-то вроде " Выполните правила http://virusinfo.info/showthread.php?t=1235 " =))
Я телепат.
-
-
Несколько я понимаю, больной выпал в синьку, и поднимут его только после праздников. Желательно, чтобы правила выполнил тот, кто будет поднимать, поскольку AVZ в терминале работает кривовато. Если это, конечно, терминальный сервер Windows, а не удалённое управление типа RAdmin.
P.S. 800 км - это откуда расстояние? Хотя в любом случае не штат Делавер (или кто у них там под кодом DE скрывается?). Проблемный IP-адрес - оттуда.
-