19/02/2008 робот моего провайдера меня отключил за вирус.
В это время за компом сидела младшая сестра. Работал Agnitum Outpost Firewall Pro ver. 3.51.748.6419.
После продолжительных разбирательств и проверок KAV 6.0.2.614 с последними базами выяснилось, что при подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше. Проверки Касперским с базами от 24.02.2008 ничего не дала. Поставил NOD32 Ver. 2.50.16 с базами ver. 2909 также ничего не дала. Firewall трафик не видит. RootkitRevealer говорит про файлы C:\WINDOWS\system32\drivers\Loq51.sys и C:\WINDOWS\system32\drivers\symavc32.sys от 19.02.2008 соответственно.
Проводник и ТоталКоммандир эти файлы не видят. Посмотрел в Инете это вроде Rootkit.Win32.Agent. Но я думаю здесь еще что-то.
Большинство закрытых служб, закрыты после инфицирования.
OC Windows XP SP2
Логи прилагаются, также отчет RootkitRevealer.
Большая просьба уточнить, что удаляем и закрываем в скрипте. А то удалим что-нибудь нужное.
Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин вроде выслал. Лог прилогаю. В карантине файлы *Games* наверное после установки Lingvo остались, давно, наверное, вроде не мешали. Еще с сегодняшнего утра комп стал при загрузке, когда KAV включаетяс немного подтормаживать.
С Инетом на первый взгляд все в норме, трафик пропал. symavc32.sys AVZ в поиске нашел там где и RootkitRevealer (адрес в начале темы), если надо то файл из карантина могу сейчас выслать.
Ок. Щас сделаем, я его после поиска в карантин AVZ поместил . А что в нем сидит?
Добавлено через 54 минуты
Выполнил 2-ой скрипт. Symavc32.sys AVZ уже не нашел.
RootkitRevealer показывает только какие-то строки в реестре от 19.02.2008 Что с ними делать? Новые логи кидаю.
Последний раз редактировалось Adrian; 01.03.2008 в 21:02.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: