На компьютере установлен антивирус ESS, вроде все работало, стал слетать IE, при попытке обновить с версии 6 до версии 7 обновление заканчивалось с ошибкой. Запустил AVZ, вирусов не обнаружено, нейтрализован 21 руткит, после перезапуска все по прежнему. Проверил сканером ESS в безопасном режиме, ничего не нашел, DrWEB заподозрил radmin и nod32view, больше ничего, RemveIT нашел 6 вирусов random.x, после лечения/удаления в трее не отображается значок вставленной флешки и значки сетевых подключений, в контекстном меню подключения PPPoE не активен пункт "Состояние" и пункт "подключение" не заменяется на "разъеденить", пока больше ничего не заметил, AVZ по прежнему находит 21 руткит.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Функция NtAssignProcessToJobObject (13) перехвачена (805A24DA->85E34580), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (80572EAD->F774E0E0), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (39) перехвачена (8065B1F5->85E35100), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (80573FF9->85E34B30), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (805735B4->F7766DA4), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80590679->F7767132), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80568EF9->F774E0C0), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805741E0->85E33CC0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (8058B59D->85E33FC0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (89) перехвачена (8057458F->85E349C0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (805732BD->F776720A), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056A392->F776708A), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (8062DD53->85E34860), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationThread (E5) перехвачена (8056C2C0->85E346E0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (ED) перехвачена (8059B1AB->85E31700), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80579A53->F776729C), перехватчик spnu.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (8062F935->85E34420), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805E0466->85E342C0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805836C0->85E33E50), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8057B4A6->85E34150), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057F1A8->85E34F50), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
!!! Внимание !!! Восстановлено 21 функций KiST в ходе работы антируткита
А если перезагрузить компьютер и не нейтрализуя "руткиты" запустить игру?
Естественно по разному пробовал, никакой разницы.
Случайно обнаружил процесс wuauclt.exe, хотя службы обновления, оповещения, слежения и прочей ереси были отключены, видимо одно из многочисленных средств диагностики/восстановления включило службы. Вырубил их к чертям, теперь игрушка запускается, правда ненадолго, через 3-5 секунд вылетает.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: