Столкнулся с такой проблемой. Неделю, две назад проверялся на вирусы с помощью касперского - нашел кое-какое добро и плюс вирус Trojan.Downloader.6177 в winlogon.exe. Файл этот я заменил на чистый.
Со вчерашнего дня система начала тормозить, особенно при работе в с папками и файлами. Проверка на вирусы NOD32 ничего не дала, однако virustotal.com засек в винлогоне опять туже заразу. Кроме того, вчера диспетчер процессов в AVZ засек замаскированный процесс. Сегодня утром в безопасном режиме с откл. сетью проверил ПК AVZ и NODом - ничего. В общем высылаю логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файлы пришлю. а что касается нортона, то ПК стоит на работе, в сети, ну соответственно всем поставили симантек. А ввиду его очевидной бесполезности, я просто его отрубил до лучших времен и поставил нод. Торможение началось еще при нортоне.
Желательно выложить протокол сканирования AVZ.
---
5. Выполните сканирование системы при помощи AVZ, для этого нажмите на кнопку Пуск сразу после запуска программы.
---
Подозрение вызывает строка в логе Hijackthis
O20 - Winlogon Notify: crypt32chain- - C:\WINDOWS\
ОК. Протокол будет как только АВЗ завершит сканирование. Что касается вчерашнего лога с замаскированным процессом - сам сейчас кусаю локти, просто не было времени вчера вплотную этим заниматься. crypt32chain - его прибивать или пока подождать результаты обследования файлов??
RA - там где он должен быть согласно отключенному процессу в msconfig не обнаружен, видать снесли его и осталась от него одна дллка. С симантеком сложнее - стоит пароль на удаление, узнать его не получится. Я все его процессы отключил, но почему то висит в списке авз длл нортоновская, ее можно как нибудь отключить? После перезагрузки - та же песня, тормоза жуткие, минут на 2-3 - все просто замирает. При запуске проводника или панели управления, все также замирает на какое то время. При чем это началось до установки НОДа. Так что 2 антивируса вместе не при чем. Вот лог без мусора, и после фикса хайджеком.
RA - там где он должен быть согласно отключенному процессу в msconfig не обнаружен, видать снесли его и осталась от него одна дллка.
там была не одна DLL от RA, а три файла (среди присланных):
C:\WINDOWS\system32\RAinit.dll
C:\WINDOWS\System32\spool\PRTPROCS\W32X86\RAproc.d ll
C:\WINDOWS\System32\DRIVERS\ramirr.sys
еще у Вас есть руткитоподобное C:\WINDOWS\System32\Drivers\kpem.SYS
возможно его выгрузка поможет.
и еще пришлите файл mksicon.dll (искать нужно из AVZ)
mksicon.dll находится в списке авз среди расширений проводника, однако при добавлении его в карантин он там не появляется. Поиск этого файла через авз или через штатный поиск ничего не дает. kpem.sys я проверял на вирустотале - результат опять нулевой ничего в нем не обнаружено. Сейчас попробую его переименовать и проверить что будет.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: