-
Junior Member
- Вес репутации
- 51
Подозрение на руткит
Доброго времени суток. Проблема в следующем - на компьютере вижу следы действий, которых я не совершал. Всё началось 1 апреля: на раб. столе заметил mp3шку (музыкальную), это показалось мне подозрительным, т.к. музыкальный жанр совешенно не совместим с моими вкусами и за компьютером кроме меня никого не бывает. "Наверное забыл, что когда-то эту фигню скачал", подумал я и отправил её в корзину. Но потом я заметил совсем подозрительную вещь: в файрфоксе (моём основном браузере) стали появляться формы, которые я никогда не вводил. У меня почта на яндексе, пароль мой браузер не запоминает, но логин сохраняется. Так вот, когда я в очередной раз хаходил на почту, вместо формы только с моим логином вылезла форма не только с ним, но и скучей других логинов. Причём это были логины типа имя/фамилия (не мои), только написанные по разному (могу предположить, что это был подбор), короче говоря см. скриншот (стёртые области - те самые логины). Проверялся касперским с макс. настройками, cureit'ом, malwarebytes anntymalware, spybot, sophos antirootkit: ничего не дало
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\58.tmp','');
DeleteService('MEMSWEEP2');
QuarantineFile('c:\windows\felix.exe','');
DeleteFile('C:\WINDOWS\system32\58.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Последний раз редактировалось Шапельский Александр; 10.07.2010 в 13:59.
Причина: Скрипт изменил
-
-
Junior Member
- Вес репутации
- 51
Спасибо за ответ
На счёт скрипта: felix.exe - клинт авторизации (через него к интернету подключаюсь), афайцафцафаф.exe - process explorer, качал с оф. сайта майкрософта (переименовал на всякий случай). Так что есть серьёзные основания полагать, что эти файлы - безопасные.
Последний раз редактировалось loser3000; 10.07.2010 в 13:52.
-
Сообщение от
loser3000
felix.exe - клинт авторизации
Надо проверить этот файл, то, что я нашел по нему, отличается размером файла.
В скрипт изменения внес.
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил, вот логи
-
По предварительным данным файл чистый, что сейчас с проблемой?
-
-
Junior Member
- Вес репутации
- 51
В силу своего нубства я могу отследить только те две активности, которые описал в 1 посте (непонятные файлы/формы в ff): в этом плане проблем с момента обращения к вам не было.
Но у меня к вам вопрос: совсем недавно поставил APS, говорит что UDP порт 1025,B (Backdoor.Optix,Backdoor.Kilo) занят другой программой (единственный из всех). Может эта прога и есть руткит?
-
В ФФ почистите "Надстройки"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-