Показано с 1 по 6 из 6.

Червь Win32/AutoRun.FakeAlert.M (заявка № 36224)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34

    Thumbs up Червь Win32/AutoRun.FakeAlert.M

    Здраствуйте
    Антивирус NOD32 обнаружил червя Win32/AutoRun.FakeAlert.M, в журнале событий такая запись:
    "Защита файловой системы в режиме реального времени файл C:\Temp\rdl86.tmp Win32/AutoRun.FakeAlert.M червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Common\svchost.exe."
    Удалил папку Microsoft Common, там был модифицированный svchost.exe и еще два файла, названия не схоранились.
    После чего использовал AVZ для восстановления системы (не запускался рабочий стол). Сейчас AVZ показыввает каких-то неопознанных перехватчиков. Посмотрите пожалуйста логи, что еще можно сделать для лечения системы и приведения ее в нормальное состояние?
    Последний раз редактировалось MidasInc; 25.04.2011 в 00:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    Пожалуйста подскажите, как все-таки быть?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Что Вам в системе не нравится?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    Собственно сама система и с трояном работала, так что после лечения собственно ничего не изменилось в ее поведении.
    Но вот при проверке AVZ пишет красным, и вот это меня и беспокоит:
    Код:
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
       SDT = 80562520
       KiST = 804E48A0 (284)
    Функция NtCreateKey (29) перехвачена (80577925->F770F0E0), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80578E1C->F772DCA2), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (80587691->F772E030), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (80572BFC->F770F0C0), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (80578A1C->F772E108), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (8057303F->F772DF88), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (80582294->F772E19A), перехватчик spbz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D41F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 867D41F8 -> перехватчик не определен

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    spbz.sys - Даемон.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    То есть ничего страшного в системе похоже нет?
    Спасибо за ответы.

  • Уважаемый(ая) MidasInc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/AutoRun.FakeAlert.M
      От cruel_hedgehog в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2009, 00:13
    2. Червь Autorun.FAKEALERT.AF
      От FOXX в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 14.08.2009, 22:30
    3. Win32/autoRun.FaKeAlert.AF червь
      От Riddick в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.07.2009, 13:52
    4. Червь Win32/autorun.FakeAlert.AF
      От Ил Владимирович в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2009, 12:51
    5. Вирус Win32/AutoRun.FakeAlert.M
      От Red Fox в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.02.2009, 12:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00109 seconds with 16 queries