Trojan.Virtumod с друзьями...
Проверил CureIT! - нашелся kdcsv.exe, опознанный как Trojan.Virtumod.based.22.
Обнаружил, что вместо "родных" DNS стоят ip из диапазона 85.255.112.0-85.255.127.255 (Одесса, Укртелеком). Забанил в файрволе. Пофиксил.
AVZ создал только virusinfo_cure.zip. Остальные логи не созданы. У Symantec EndPoint Protection 11 отвалилась Автоматическая защита файловой системы.
Одним местом чувствую, что не только Virtumod сидит у меня. Как говориться, Need help.
Лог HijackThis в комплекте.
Последний раз редактировалось an-mag; 27.01.2009 в 20:07.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пробуйте этот AVZ http://depositfiles.com/files/5k0qihqas
Точно такой же результат.... только virusinfo_cure.zipСообщение от Гриша
Outpost установлен?
Установлен Symantec EndPoint Protection 11.
(Защита от вирусов и программ-шпионов, Превентивная защита от угроз, Защита от угроз из сети.)
На время проверки выключал его.
Может снести SEP и по-новой прогнать?
Попробуйте...
К сожалению, удаление SEP не исправило ситуацию... :-)
Более того, пытаюсь выполнить Исследование системы - в AVZ выпадает ошибка - Invalid data type for "
Сделайте полную проверку AVPTool, а заодно и лог в ней попробуйте сделать...
Ну из логов получилось только <AVZ_CollectSysInfo> вытянуть...
Удалено 36 тел вирусов... Около 15 из них, из карантина SEP и Dr.Web/
Не зря чуствовал :-)
Логи: до... и после проверки.
Вы пробовали создать лог с помощью AVPTool в обычном режиме? То что вы прикрепили нам не нужно...
После проверки AVPTool говорит, что файл создан в LOG\ ... а там -пусто :-(
Гриша, если Вы не против.... Отложим до четверга... Не хочу вас напрягать... да и у меня уже 23:10... Охрана универа на меня косит лиловым глазом....
P.S.: Топик не закрывайте... пжлста.
Ок, придумаем что-нибудь
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
readme.txt появился?Код:var AVZLogDir : string; begin AVZLogDir := GetAVZDirectory + 'exit\'; CreateDirectory(AVZLogDir); // SearchRootkit(true, true); CheckSPI; SearchKeylogger; ExecuteSysChkEV; ExecuteSysChkIPU; ExecuteWizard('TSW', 1, -1, false); SetupAVZ('EvLevel=3'); SetupAVZ('ExtEvCheck=Y'); RunScan; ExecuteSysCheckEX(AVZLogDir+'readme.txt', $FFFFFFFF, true, 1+2+16+32); end.
Не появился файл readme.txt... Вместо папки LOG - папка exit :-(
А в ней пусто?
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86A3A500 -> перехватчик не определен
Это так-то может повлиять?
Я написал что сделать...
В папке абсолютно пусто. Лог Gmer'a в комплекте.
загрузите себе эту утилиту:
http://live.sysinternals.com/autoruns.exe
Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению
anti-malware.ru
Сделал...
Уважаемый(ая) an-mag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
