Утром 01.09.2008 вышел в Интернет с широкополосным доступом. Работал файрвол Agnitum Outpost Firewall Pro 2008 ver. 6.0.2225.232.0465. Заходил на пару сайтов, в том числе на mail.ru для просмотра почты. В это время начал ругаться Outpost, затем при работе Explorer-а выскочила какая-то ошибка. Отключил Интернет, отключил Outpost. Загрузил KAV 7.0.1.325 (базы от 29.06.200, выскочила ошибка антивируса и попытка отладки (картинки PrtScr могу выслать). Перед последним выключением компа проверял его на вирусы, все было нормально. После перезагрузки компьютера процессор загрузился на 70%, данная нетипичная загрузка продолжается бесконечно долго при каждой перезагрузки компа. Смотрю Диспетчер Задач, в процессах загружается файл LogWatNT.exe. При загрузки в безопасном режиме, процессор работает нормально. При первом входе в безопасный режим выскочила, какая-то ошибка с “Запуском серверных процессов DCOM”, перегрузился опять в безопасный режим, запустил KAV - была попытка отправить отчет об ошибке KAV – потом запустился.
LogWatNT.exe насколько я понимаю это приложение от программ Computer Associates, программы действительно установлены и нужны, но стоят уже более года и никаких проблем ранее не было.
[Служба Event Log Watch (Тип запуска - Авто).
Так продолжается постоянно.
Сделал все как в правилах. Высылаю файлы Вам. AVZ поместила что-то в карантин, если надо могу выслать.
Проверка KAV в безопасном режиме ничего не дала. Проверка CureIT Ver.4.44.5. в безопасном режиме выявила пару троянов во временных файлах.
Также проверял RootkitRevealer-ом, выскочили какие-то строчки из реестра и в том числе (картинку PrtScr могу выслать):
C\Windows\system32\oembios.exe – 01.09.2008 9:53 – 89 Kb – Hidden from Windows API
C\Windows\system32\sysproc64 – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc32.sys – 01.09.2008 9:54 – 12.58 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc86.sys – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
- все прописано именно тем временем, когда случился сбой. Самое интересное, что данные файлы я вижу через Total Com., но удалить не могу. Могу попробовать поместить их в карантин AVZ и отослать Вам.
Последний раз редактировалось V_Bond; 02.09.2008 в 22:40.
Причина: здесь все хорошо видят ... использование нестандартных шрифтов еще раз будет наказываться ....
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнил данный скрипт. После выполнения комп перегрузился, но при перезагрузки после пропажи Рабочего стола задумался немного. После перезагрузки нетипичная загрузка процессора вроде пропала, файл LogWatNT.exe. в процессах Диспетчера задач молчит. Высылаю новые логи и карантин. В карантин не стал бросать файлы P-Cad-а, т.к. они вроде должны быть чистые от вирусов, а во вторых весят много при том, что я сейчас в Инет выхожу с древнего компа с плохой скоростью Инета. Объясните пожалуйста: Что за файлы oembios.exe, sysproc32.sys, sysproc86.sys ?? Какой и где вирус то был?
Извиняюсь, что долго не отвечал, комп на котором работаю сейчас, ну очень древний, проблемы со связью.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: