Проверил CureIT! - нашелся kdcsv.exe, опознанный как Trojan.Virtumod.based.22.
Обнаружил, что вместо "родных" DNS стоят ip из диапазона 85.255.112.0-85.255.127.255 (Одесса, Укртелеком). Забанил в файрволе. Пофиксил.
AVZ создал только virusinfo_cure.zip. Остальные логи не созданы. У Symantec EndPoint Protection 11 отвалилась Автоматическая защита файловой системы.
Одним местом чувствую, что не только Virtumod сидит у меня. Как говориться, Need help.
Лог HijackThis в комплекте.
Последний раз редактировалось an-mag; 27.01.2009 в 20:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Установлен Symantec EndPoint Protection 11.
(Защита от вирусов и программ-шпионов, Превентивная защита от угроз, Защита от угроз из сети.)
На время проверки выключал его.
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86A3A500 -> перехватчик не определен
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
загрузите себе эту утилиту: http://live.sysinternals.com/autoruns.exe
Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению
загрузите себе эту утилиту: http://live.sysinternals.com/autoruns.exe
Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению
Сделал...
Уважаемый(ая) an-mag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: