Доброго всем дня!
На днях вылечил с Вашей помощью систему (ещё раз большое спасибо!) и там среди прочего была папка w\system32\sysuser, которая, как я понял, содержала программу/мы для взлома/слежения. И вот теперь встретил такую папку ещё на одной машине. Вызвался помочь, проверил на вирусы по Вашим рекомендациям - в sysuser CureIT нашёл Trojan.HideProc.42 в виде файла Sys2.dll. Будьте добры, посмотрите прилагаемые логи и подскажите, что и как ещё исправить (обновления, это понятно - поставлю).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Будет DrWeb, Нортона удалил.
Файл hosts очистил. Попытался удалить за ненадобностью ICQ - не получается, ошибка открытия reg.key.
После перезагрузки стала выскакивать такая ошибка: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Похоже я что-то не так сделал?
Файл hosts поправил - ошибка пропала. С ICQ тоже справился.
Вот только система как и предыдущем случае (http://virusinfo.info/showthread.php?t=52486) стала надолго задумываться при перезагрузке/выключении. - 2 мин и более. Изменения в реестре, предложенные уважаемым Rene-Gad-ом влияют лишь на скорость исчезновения ярлыков и элементов интерфейса на "рабочем столе", но "обои" всё-равно висят 2 мин и более. В чём беда?
Уважаемый Rene-gad, если Вас обидел, то прошу прощения, но указанный Вами файл правда отсутствует - AVZ выдаёт ошибку при попытке добавить файл в карантин по списку.
Лог GMER прилагаю.
Да нет же Ну подумайте сами - мы же не ясновидящие и если видим В ЛОГЕ файл, вызывающий у нас подозрения, то просим его прислать для анализа.
Если бы Вы сказали: Не могу найти файл - другое дело, но утверждать, что его нет Вы не можете, т.к. он виден в логе.
Вы в GMER на кнопку SCAN нажимали? Что-то лог очень маленький.
Уважаемый Rene-gad! С некоторым трудом, но всё-таки получилось записать лог GMER-а! Около десятка запусков оканчивались сохранением практически пустого лог-файла, пока не додумался скачать эту прогу ещё раз! Сообщение о том, что найден руткит видел, однако свои ручонки держу при себе - жду мнения экспертов.
Кстати про файл C:\WINDOWS\System32\drivers\ASUSHWIO.sys - прошу меня извинить за некорректную формулировку, но удивительно, что программа записавшая файл в лог не видит его при попытке поместить в карантин. Это что, такой юркий "червячок"?!
Последний раз редактировалось androstan; 29.08.2009 в 19:58.
Увы, но файл не находится ни при помощи АВЗ, ни из коммандной строки, про эксплорер уж и не говорю. В логах АВЗ он по прежнему присутствует.
Сервис-пак на винду установил.
Кстати, про главный вопрос: что это за папка "sysuser"? - расскажите хоть что зверь её организовал. Нужно ли её удалять? Несмотря на выполненный скрипт, эта папка всё ещё присутствует на своём месте.
Во вложении архив с текстовым файлом со списком полного содержимого каталога sysuser (за исключением файла Sys2.dll, который был удалён CureIt - первый пост, он располагался в корне папки + несколько файлов, удалённых при выполнении скрипта в AVZ). Папка имеет аттрибут "скрытая", подпапка Logs и её содержимое было недоступно.
Последний раз редактировалось androstan; 31.08.2009 в 18:11.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: