День добрый!
Искал ключ для переводчика ПРОМТ, зашол на сайт и сразу же заплакал Касперский, обнаружил 3 вируса. Сразу же перестал рабатать интернет, винамп, Task manager не могу запустить тоже. (Task Manager has been disabled by your Administrator) Касперский ничего не нашол. Весь комп тормозил... После перезагрузки компа, дальше загрузки виндовса не мог попасть, только через сейф мод.(комп всегда перезагружается не заходя в виндовс) Заходя через сейф мод увидел ещё одного пользователя "Administrator".
Как удалить второго пользователя? (поможет это)?
System Restore тоже не получаеться зделать.(число и месяц не могу выделить)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
День добрый!
Искал ключ для переводчика ПРОМТ, зашол на сайт и сразу же заплакал Касперский, обнаружил 3 вируса. Сразу же перестал рабатать интернет, винамп, Task manager не могу запустить тоже. (Task Manager has been disabled by your Administrator) Касперский ничего не нашол. Весь комп тормозил... После перезагрузки компа, дальше загрузки виндовса не мог попасть, только через сейф мод.(комп всегда перезагружается не заходя в виндовс) Заходя через сейф мод увидел ещё одного пользователя "Administrator".
Как удалить второго пользователя? (поможет это)?
System Restore тоже не получаеться зделать.(число и месяц не могу выделить)
сделайте ИССЛЕДОВАНИЕ системы с помощью AVZ, а не простое сканирование
пришлите на исследование файлы по правилам форума (искать из AVZ с включенным противодействием руткитам):
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[1].exe
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[2].exe
C:\System Volume Information\_restore{E72F3D8F-E4AE-4836-BDB7-FD69D2936019}\RP135\A0164074.exe
rpcc.exe
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\aspi24159.exe
C:\WINDOWS\system32\agss32.dll
Шикарный набор. Скорее всего через VML эксплоит.
Должны быть еще:
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32:lzx32.sys
(его winmad[1].exe дропает)
Поискать по маске C:\WINDOWS\system32\vx*.*
Поискать по маске C:\WINDOWS\system32\dlh9jkdq*.*
Всё удалил через AVZ (File-Delayed file deletion)
Комп всеравно всегда перезагружается.Тут я только через сейф мод.
Прислать исследование AleXey_P и Ric?
Alexey P:
Искал по маске C:\WINDOWS\system32\vx*.*
--------------
Log of the AVZ antivirus utility version 4.20
Scanning started at 9/27/2006 11:30:27 PM
Database loaded 49931 signatures, 2 NN profile, 55 scripts cure, AV base from 27.09.2006 13:03
Heuristics microprograms loaded : 360
Digital signatures of system files loaded: 51699
Heuristic analyzer mode Medium heuristics level
Cure mode: disabled
System is loaded in the Safe Mode with Network mode
1. Searching for rootkits and programs that intercept API functions
1.1 Searching for user-mode API hooks
Analysis kernel32.dll, export table found in section .text
Analysis ntdll.dll, export table found in section .text
Analysis user32.dll, export table found in section .text
Analysis advapi32.dll, export table found in section .text
Analysis ws2_32.dll, export table found in section .text
Analysis wininet.dll, export table found in section .text
Analysis rasapi32.dll, export table found in section .text
Analysis urlmon.dll, export table found in section .text
Analysis netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver is successfully loaded
SDT found (RVA=082B80)
Kernel ntoskrnl.exe located in the memory at the address 804D7000
2. Scanning the memory
Processes found: 14
Modules loaded: 182
Memory check completed
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Check disabled by the user
7. Heuristic system check
>>> Pay attention - task manager is blocked
Check completed
Files scanned: 389, extracted from archives: 0, malicious programs found 0
Scanning terminated at 9/27/2006 11:30:48 PM
Scanning lasted 00:00:20
--------------
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: