Кто-то перехватывает функции ядра, хочется выяснить что это, может вредонос?!
Кто-то перехватывает функции ядра, хочется выяснить что это, может вредонос?!
Видны перехваты симантека, его нужно удалить для чистоты эксперимента, и затем сделать новые логи. То есть, теоретически зловред может перехватывать те же функции, а только потом антивирус будет их перехватывать- мы же видим последние перехваты антивируса
Не расстраивайтесь, всё равно он старый- что толку от такого?
На всякий случай выполнить скрипт @ avz
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Mstray.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\packet.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\MarvinBus.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16722
В доверенную зону вы это сами добавили ? Не понятно зачем
IP знакомые ?
Код:O15 - Trusted Zone: http://astrakhan.astragsm.ru (HKLM) O15 - Trusted Zone: http://www.astragsm.ru (HKLM) O15 - Trusted Zone: http://www.astrakhan.astragsm.ru (HKLM) O15 - Trusted Zone: http://*.billing (HKLM) O15 - Trusted Zone: http://*.intranet (HKLM) O15 - Trusted Zone: http://*.mail.ru (HKLM) O15 - Trusted Zone: http://*.projectsrv (HKLM) O15 - Trusted IP range: http://192.168.1.169 O15 - Trusted IP range: http://192.168.1.7 (HKLM) O15 - Trusted IP range: http://192.168.1.5 (HKLM) O15 - Trusted IP range: http://192.168.1.44 (HKLM) O15 - Trusted IP range: http://192.168.1.169 (HKLM) O15 - Trusted IP range: http://192.168.1.29 (HKLM) O15 - Trusted IP range: http://128.1.2.16 (HKLM) O15 - Trusted IP range: http://128.1.40.230 (HKLM) O15 - Trusted IP range: http://192.168.1.39 (HKLM) O15 - Trusted IP range: http://213.80.138.70 (HKLM) O15 - Trusted IP range: http://192.168.1.6 (HKLM) O15 - Trusted IP range: http://192.168.1.2 (HKLM) O15 - Trusted IP range: http://192.168.1.51 (HKLM) O15 - Trusted IP range: http://192.168.1.39 (HKLM) O15 - Trusted IP range: http://192.168.1.3 (HKLM) O15 - Trusted IP range: http://192.168.1.4 (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan.astragsm.ru O17 - HKLM\Software\..\Telephony: DomainName = lan.astragsm.ru O17 - HKLM\System\CCS\Services\Tcpip\..\{8B41FBA1-DAC8-4685-A019-BE58B0040507}: NameServer = 192.168.1.18,192.168.1.50 O17 - HKLM\System\CCS\Services\Tcpip\..\{9DFD8E23-FA41-40E9-8129-852CD011E231}: NameServer = 213.80.172.9 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lan.astragsm.ru O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lan.astragsm.ru
Последний раз редактировалось drongo; 21.01.2008 в 10:54.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Снес антивирус, выслал карантин.
Тогда ещё можно пройтись чистилкой родной с сайта симантека, и новые логи.
Ответ по поводу IP, и доверенной зоны -сами делали или как ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Нет не сам делал, комп прописан в домене, вероятно от туда ноги растут?!
Повторил логи
в логах ничего подозрительного ...
А в карантине? Спасибо за помощь.
в карантине тоже ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Urav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.