-
Junior Member
- Вес репутации
- 56
Розовый порнобаннер
xp sp2, словился розовый порнобаннер.Похожий удалял неделю назад, сидел в альтернативном потоке ntfs в gpedit.hlp. Видимо, этот вариант более зловредный.Запуск avz-cure-it-kav-hijaakthis приводят к завершению работы компьютера. Запускается только icesword. В нем ничего подозрительного не вижу, время от времени запускается rundll32, в нем вижу модуль со случайным именем.dll в temp.Чем можно найти заразу еще?Еще вопрос, где именно в реестре прописываются отладчики процессов?
Добавлено через 1 час 6 минут
Все нашел, сидел в mvcbx.dll, запуск через appinit_dlls. Зверек постоянно мониторит ветку, при сносе переписывает ее в новое место, в моем случае переписался в альтернативный поток ipsec.hlp, я удалил файл и reset'нулся. Тему можно закрывать.
Последний раз редактировалось kofeinik; 26.05.2010 в 22:27.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Для проверки чистоты рекомендуется сделать логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-