Здравствуйте
Касперский обнаружил:
explorer.exe\e1.dll
services.exe\e1.dll
avp.exe\e1.dll
lsass.exe\e1.dll
svchost.exe\e1.dll
winlogon.exe\e1.dll
notepad.exe\e1.dll
При попытке удалить отключаются все программы.. Вручную удалить не могу, не знаю, где всё это искать.
Что следует предпринять?
Только что выдал сообщение "Неожиданно завершён процесс C:\WINDOWS\system32\services.exe" и через минуту перегагрузился
Последний раз редактировалось Xin; 23.11.2006 в 22:33.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Порядок действий следующий : распечатаь правила поиска , отключиться от интернета , выгрузить из памяти антивирус (касперкого в данном случае )
Запустить АВЗ и поискать фалы с опцией блокировки руткитов )Полученный запароленный архив прислать поп равилам .
C:\WINDOWS\system32\spermastart.exe
C:\WINDOWS\system32\krln32.exe
C:\WINDOWS\cservv32.exe
C:\WINDOWS\SYSTEM32\brwmgr32.dll
C:\WINDOWS\SYSTEM32\mididpnh.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\confbrw.dll
C:\WINDOWS\system32\brwstat.dll
C:\WINDOWS\system32\brwmgr32.dll
IntEdReg.exe- Просто поискать по правилам
Попробовал ещё раз. В архиве всё равно .ini-файлы. В карантин не помещается intedreg.exe. "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode" включил. Вы ведь это имели ввиду?
Возможно, я чего-то не понимаю, но в справке нашёл такое: "Файлы в карантине (и соответственно в архиве) переименовываются - имена файлов формируются как avzNNNN.dta (где NNNNN - порядковый номер файла в папке). Для каждого файла avzNNNN.dta создается avzNNNN.ini, содержащий описание файла (исходное имя и местоположение файла в системе, дата и время помещения в карантин, причины карантина и размер файла).
AVZ, (C) Зайцев О.В."
Возможно, я чего-то не понимаю, но в справке нашёл такое: "Файлы в карантине (и соответственно в архиве) переименовываются - имена файлов формируются как avzNNNN.dta (где NNNNN - порядковый номер файла в папке). Для каждого файла avzNNNN.dta создается avzNNNN.ini,
Попробовал составить архив вручную, выдал: "Невозможно открыть avz0001.dta. Отказано в доступе". Что с этим можно сделать?
-временно не имею возможности просмотреть логи... но попробую угадать, доступ к файлу блокирует монитор антивируса или AVZ Guard... попробуйте их отключить.
хм.. Касперский нашёл 3 файла, заражённых Email-Worm.Win32.Warezov.gz
C:\WINDOWS\system32\brwmgr32.dll
C:\WINDOWS\system32\confbrw.dll
c:\windows\system32\brwstat.dll
В папке они есть, но невидимые.
Но AVZ найти их не может... К чему бы это?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
вставить в Блокнот и сохранить под именем "appinit.reg" (прямо так, с кавычками набирайте). Потом два щелчка мышкой по файлу и подтвердите внесение изменений.
4. Перезагрузитесь и сделайте логи ещё раз.
Последний раз редактировалось pig; 09.12.2006 в 16:37.
Причина: Ошибка в тексте reg-файла
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apeha.ru/
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm612YYRU
Первую строку кто-то недавно советовал пофиксить, а вторая просто ассоциативно похожа на бяку.
А больше всего меня засмущала вдруг нарисовавшаяся куча открытых портов и странные адреса "той стороны" на них. Прошу откликнуться тех, кто знает больше.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: