-
Новый червь с руткитом? (заявка №29423)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Компьютер не может получить доступ к сетевым ресурсам и к любым сайтам в интернете. При этом и то, и то прекрасно пингуется как по IP, так и по символьным именам. В "безопасном режиме с поддержкой сети" доступ в сеть и Интернет прекрасно работает. Пользователь работал с административными правами.
AVZ находит перехват кучи функций в "KiST". Иногда у AVZ получается восстановить перехваченную неизвестным модулем функцию NtConnectionPort (1F), после чего все перехваты исчезают до следующей перезагрузки. Также AVZ восстанавливает (делает Disabled) CmpCallCallBack для процессора 2 в секции "IDT и SysEnter".
На другом компьютере с аналогичной проблемой удалось установить демо-версию KIS 2011. Он сообщает что: "IOAllocateIrp (804EAFBD) модификация машинного кода, метод не определен, внедрение с байта 15".
При логине в соседние пользовательские профили может выскакивать сообщение "Ошибка при инициализации приложения 0xc0000017" и система дальше не загружается. Иногда бывают BSODы.
Дата обращения: 10.09.2010 13:41:03
Номер заявки: 29423
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
not-a-virus:RemoteAdmin.Win32.RAdmin.20
10.09.2010 15:50:13 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\WINDOWS\system32\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20
- размер: 90112 байт
- дата файла: 05.12.2001 12:27:56
- детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.21
-
-
Итог лечения
10.09.2010 15:52:14 лечение успешно завершено
-
