Подозрение на вирусы

**pooh4** · 22.01.2008, 15:10

Добрый день, пару недель назад , я дистрибутивы с компа на virustotal отправил проверяться и 50%-60% были с вирусами , я их постирал.
но я ведь раньше запускал эти файлы на своем компе поэтому и беспокоюсь.

Раньше стоял нод , от него оставил только Imon , amon выключен
и как сканнер + монитор в данный момент использую авиру, монитор порой прибивает файлы какие то в tempe. (C:\WINDOWS\temp\NOD1E70.tmp)
(C:\WINDOWS\temp\NOD1E6F.tmp)

и еще комп местами ведёт себя очеь странно например при работе с mail.ru (через web) немогу ставить галочки на письма, через оперу фаерфокс , и ie. галочки не ставяться что кликом что пробелом.
не работает windowsupdate. icq порой ругаеться на аctiveX.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pooh4** · 22.01.2008, 15:34

В зипе ошибка activeX'a которая появляеться при запуске icq

**Макcим** · 22.01.2008, 16:05

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: Shell=explorer.exe 
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Загрузите карантин согласно приложению №3 правил.

**pooh4** · 22.01.2008, 21:52

Пофиксил , карантин залил но там только один файл ieturtil.dll

**V_Bond** · 22.01.2008, 22:07

в логах у вас все в порядке ...
ошибка скорее связана(как я понял) с уровнем безопасности ИЕ .... при запуске ICQ пытается установить свои примочки на браузер для этого сначала пытается установить новый activeX ... что у вас запрещено ...

**pooh4** · 22.01.2008, 22:09

Сообщение от V_Bond

в логах у вас все в порядке ...
ошибка скорее связана(как я понял) с уровнем безопасности ИЕ .... при запуске ICQ пытается установить свои примочки на браузер для этого сначала пытается установить новый activeX ... что у вас запрещено ...

хм хорошо

а по поводу первого абзаца , не стоит беспокоиться?

и почему авз всегда ругаеться

C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:

====
Функция NtCreateThread (35) перехвачена (805C5AAE->F8C81A94), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805BFB56->F8C81A80), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805BFDE2->F8C81A85), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805C74A6->F8C81A8F), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805A82DA->F8C81A8A), перехватчик не определен

====

Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)

**V_Bond** · 22.01.2008, 22:11

по первой части ... что говорит авира о файлах ... ?

**pooh4** · 22.01.2008, 22:13

Прям так и говорит
TR/PSW.PdPin.CT.1 [TR/PSW.PdPin.CT.1

**V_Bond** · 22.01.2008, 22:23

этот файл чистый ... от Internet Explorer

Код:

C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:

перехваты от антивируса ...

Код:

====
Функция NtCreateThread (35) перехвачена (805C5AAE->F8C81A94), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805BFB56->F8C81A80), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805BFDE2->F8C81A85), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805C74A6->F8C81A8F), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805A82DA->F8C81A8A), перехватчик не определен

====

Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)

в карантине антивируса ... подозрительных файлов не осталось ... если есть пришлите ...

**pooh4** · 22.01.2008, 22:46

Нет в карантине не осталось. есть только названия в логах :\

а скажите если не секрет что вы делаете с карантином

на вирустотал его отправляете?

**V_Bond** · 22.01.2008, 22:49

и туда тоже ... и на исследование вирусным аналитикам ....

**CyberHelper** · 22.02.2009, 03:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на вирусы (заявка № 16792)

Опции темы