здравствуйте!
обратил внимание в диспетчере на процесс RavMon.exe.
раньше которого не было. Поиск источника процесса ничего не показал. Поискал другой процесс - тут же был найден искомый файл. Странно показалось. Полез в Поиск в инете, который конечно же выдал диагноз, подтверждение которому нашёл и у себя с некоторыми новшествами, которых не было вроде ни у кого.
симтомы болезни:
1. спрятались системные и скрытые файлы и папки, установка галочки в Свойствах папки конечно не помогала.
2. Диск С открывался в новом окне.
3. Не работает правокнопочное меню - WinRar - "Извлечь/Извлечь в текущую папку/Извлечь в (имя)". такого эффекта пока вроде не встречал. Сама программа запускается и драг*н*дропом даёт извлечь файл.
других каких-то специфических признаков искать не стал, так как инет анлимитед и обратить внимание на трафик трудно. Косвенно никаких признаков левого трафика не было, загрузка процессора стабильна, активности винта нет, единственное что показалось что в последнее время часто и длительно работает вентилятор охлаждения, чего ранее за ним не наблюдалось (ноутбук брендовый и работает тихо). грешил на eMul, так как качалось много фильмов и музыки и в диспетчере было видно что осёл работает хорошо.
CureIt проверил, нашёл, вроде убил несколько гадостей, но судя по логу ХайДжека - amvo.exe остался.
процедуры выполнил согласно правилам. Как добить заразу?
из подозрительных процессов
CnxDslTb.exe
dllhost со странным именем пользователя (остановил процесс вручную)
svchost - 6 штук (?) - их всегда так много?
S24EvMon
и ещё ряд процессов которые были и ранне вроде но сейчас вызывают подозрение
Последний раз редактировалось Dimmonix; 08.02.2008 в 02:43.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
"An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msafd.dll,)
Error #5 - Invalid procedure call or argument
Please email me at [email protected], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan."
AVZ нашёл системные проблемы
"Нарушение ассоциации SCR файлов."
Фиксация сделана.
С браузером - сделано.
Файл сохранён как 080208_001502_virus-2_47abf366053b2.zip
Размер файла 622
MD5 5ec74239cb0cdaf7a64390cb2b0ac48c
в карантине было всего две строки, архив AVZ создаётся и на диске появляется, НО - сделать архив вручную невозможно. ВинРар через контекстное меню не запускается.
Это что за прикол - от системы или вирусом сломан ВинРар?
в карантине AVZ находит два файла с нулевым размером (?) поэтому и архив нулевой получается. прикладываю скрин
Последний раз редактировалось Dimmonix; 08.02.2008 в 09:51.
сами файлы? ребята, уточните пожалуйста какие именно файлы нужно искать и прислать
- *ini - что сейчас лежат в карантине?
- *dat - что пишет в своём окне AVZ
-или adxapie.sys что лежат в Temp?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: