Добрый день.
Пару дней как стали появляться вирусы на компе.
Стоит подключиться к интернет как НОД 32 обнаруживает:
03.01.2008 2144 Real-time file system protection file C:\WINDOWS\system32\DefLib.sys Win32/Rootkit.Agent.NCR trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\DOCUME~1\ADMIN\LOCALS~1\Temp\winlogon.exe.
а так же
"03.01.2008 21:44:48 HTTP filter file http://208.72.169.9/mm27nov.exe probably a variant of Win32/Obfuscated trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: c:\windows\system32\svchost.exe."
отрубаю инет, проверяю антивирусом все чисто, перезагрузка - все по новой.
AVZ говорит что c:\windows\system32\svchost.exe:ext.exe:$DATA
Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Прошу помочь с решением
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По выполнению данного скрипта карантин не создается.
Выполнил данный скрипт без перезагрузки компьютера, выдается сообщение что скрипт удачно выполнен, но вот что говорит лог:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\i386kd.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\i386kd.exe)
Карантин с использованием прямого чтения - ошибка
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: