Здравствуйте,
Возникла проблема. На компьютере установлен KIS 2009, но был момент, когда один пользователь отключил KIS, а я полез без него в интернет.
С тех пор складывается ощущение, что KIS в трее висит дляч галочки.
Показателем для меня служит отсутсвие имён пользователей в диспетчере задач. Проверял 2 раза Malwarebytes' Anti-Malware, вирусы находил (логи включил). На 3ий раз и это не помогло
Так же с помощью AVZ поотключал - как минимум один вирус. Несколько подозрительных файлов.
Так же с помощью OSAM обнаружил руткит - отключил.
Так же отметил проникновение на ВебМани с Московского IP, хотя я живу в Краснодаре. Благо, ничего не украли, включил блокировку по IP.
Надеюсь на вашу помощь.
С уважением, Валерий.
Последний раз редактировалось Rene-gad; 14.06.2009 в 19:40.
Причина: Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверял 2 раза Malwarebytes' Anti-Malware, вирусы находил (логи включил).
Так же с помощью AVZ поотключал - как минимум один вирус. Несколько подозрительных файлов.
Так же с помощью OSAM обнаружил руткит - отключил.
Адреса, пароли, явки? В смысле - что и в каких местах?
Обновления на систему все стоят или ограничились SP3?
Обновления возможно не все, т.к. инет слабый - 128 кбит/c
Но стараюсь выкачивать по мере возможности.
По поводу вируса - висел в автозапуске некий sdra64.exe - вырубил и удалил.
Похоже, выключение этого из автозапуска было излишним, извините, плохо разбираюсь.: shell32.dll
ShellServiceObjectDelayLoad - ( CDBurn, PostBootReminder, SysTray, WPDShServiceObj)
Вобщем, вложил отчёт. Там всё указано - что отключил, а что работает.
По поводу руткита, обнаруженного OSAM:
(Failed) HKLM\SYSTEM\CurrentControlSet\Services\aha4qapc aha4qapc
C:\WINDOWS\system32\drivers\aha4qapc.sys
К слову сказать, OSAM сейчвс показывает новый руткит:
an6ynb5k Microsoft Corporation C:\WINDOWS\system32\drivers\an6ynb5k.sys
Ветка реестра руткита:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k]
"Start"=dword:00000003
"Type"=dword:00000001
"Group"="SCSI miniport"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Enum]
"0"="ACPI\\PNPA000\\4&5d18f2df&0"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\an6ynb5k\Parameters\PnpInterface]
"0"=dword:00000001
По факту - в папке C:\WINDOWS\system32\drivers\ этого файла нет.
Последний раз редактировалось RED; 14.06.2009 в 21:11.
Причина: Добавил лог OSAM
Название : KB961501
Описание : Обновление безопасности для Windows XP (KB961501)
Установил : SYSTEM
Дата установки : 10.06.2009
==================================================
Название : KB968537
Описание : Обновление безопасности для Windows XP (KB968537)
Установил : SYSTEM
Дата установки : 10.06.2009
==================================================
Название : KB969897-IE7
Описание : Обновление безопасности для Windows Internet Explorer 7 (KB969897)
Установил : SYSTEM
Дата установки : 10.06.2009
==================================================
Название : KB969898
Описание : Обновление безопасности для Windows XP (KB96989
Установил : SYSTEM
Дата установки : 10.06.2009
==================================================
Название : KB970238
Описание : Обновление безопасности для Windows XP (KB97023
Установил : SYSTEM
Дата установки : 10.06.2009
==================================================
Название : KB938464-v2
Описание : Обновление безопасности для Windows XP (KB938464-v2)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB950974
Описание : Обновление безопасности для Windows XP (KB950974)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB951376-v2
Описание : Обновление безопасности для Windows XP (KB951376-v2)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB951978
Описание : Обновление для Windows XP (KB95197
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB952954
Описание : Обновление безопасности для Windows XP (KB952954)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB954550-v5
Описание : Hotfix for Windows XP (KB954550-v5)
Установил : Alien
Дата установки : 01.06.2009
==================================================
Название : KB955839
Описание : Обновление для Windows XP (KB955839)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB956572
Описание : Обновление безопасности для Windows XP (KB956572)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB959426
Описание : Обновление безопасности для Windows XP (KB959426)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB960225
Описание : Обновление безопасности для Windows XP (KB960225)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB961118
Описание : Исправление для Windows XP (KB96111
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB961373
Описание : Обновление безопасности для Windows XP (KB961373)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : KB963027-IE7
Описание : Обновление безопасности для Windows Internet Explorer 7 (KB963027)
Установил : SYSTEM
Дата установки : 01.06.2009
==================================================
Название : XPSEPSCLP
Описание :
Установил : Alien
Дата установки : 01.06.2009
Добавлено через 31 минуту
Что-то странное творится, повключал всё отключенное из автозапуска, перезагрузился и из оборудования вылетели оба сидирома - реальный и виртуальный.
Пишет:Драйвер этого устройства успешно загружен, но само устройство не обнаружено. (Код 41)
При этом появилось какое-то новое устройство, подписанное, как - неизвестное устройство.
Может ли это быть связано с вирусом?
Последний раз редактировалось RED; 14.06.2009 в 21:56.
Причина: Добавлено
Что же можете посоветовать?
Вот список обновлений последних дней
Могу посоветовать: www.windowsupdate.com, разрешить установку Active X + нажать Быстрый поиск, все найденные в автоматическом поиске обновления ОБЯЗАТЕЛЬНО установить.
Сообщение от RED
Что-то странное творится, повключал всё отключенное из автозапуска, перезагрузился и из оборудования вылетели оба сидирома - реальный и виртуальный.
Реальный можно попробовать удалить в диспетчере оборудования, виртуальный - переустановить.
Сообщение от RED
При этом появилось какое-то новое устройство, подписанное, как - неизвестное устройство.
Из высокоприоритетных только:
Пакет обновления 1 (SP1) для среды Microsoft .NET Framework 3.5 и обновление для семейства .NET Framework 3.5 (версии 2.0—3.5) для систем на базе процессоров x86 (KB951847)
Пакет обновления 1 (SP1) для среды Microsoft .NET Framework 3.5 и обновление для семейства .NET Framework 3.5 (версии 2.0—3.5) для систем на базе процессоров x86 (KB951847)
Эти обновления не обязательны. А остальные, значит, все стоят? Чудненько...
Видимо проблема решилась... либо отсутствовала вовсе... нашёл в KIS хорошую функцию - восстановление после заражения. Надеюсь, что всё в порядке. А с сидиромом проблема - в реестре что-то вылетело. Исправил. Спасибо за внимание
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: