Показано с 1 по 10 из 10.

Перехваты в User-Mode - не понимаю, чьи. (заявка № 9900)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    39

    Exclamation Перехваты в User-Mode - не понимаю, чьи.

    Доброе время суток!
    Наблюдаются интересные руткиты User-Mode. Т.е. в Kernel-Mode перехваты тоже есть, но я знаю, кто их перехватил и вполне им верю.

    Вирусов нет - проверено DrWeb перед сносом оного, и NOD32 со свежими базами.
    Поведение руткитов тоже выявить не могу, лишней сетевой активности нет, ZoneAlarm спокоен.
    Требуемые логи прилагаю.

    ЗЫ: Я уже голову сломал, пытаясь определить, что это. Скоро систему в виртуалку клонирую и за SoftIce возьмусь!
    Вложения Вложения
    [I]Deus daemonus inversus est.[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\AxisCamControl.ocx','');
     QuarantineFile('C:\Program Files\Bug Doctor\BugDoctor.exe','');
     QuarantineFile('LEXLMPM.DLL','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\NetCologne.lnk','');
     QuarantineFile('\SystemRoot\System32\Drivers\Av630cn.SYS','');
     QuarantineFile('\SystemRoot\System32\Drivers\Av630bn.SYS','');
     QuarantineFile('\SystemRoot\System32\Drivers\Av630an.SYS','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
    O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    Пришлите файлы карантина по правилам раздела "Помогите". Настройки прокси-сервера сами прописывали?

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    39
    Спасибо, сейчас сделаю.

    А здесь, собственно, вообще прокси не используются...
    [I]Deus daemonus inversus est.[/I]

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    39
    Скрипт выполнил, файлы карантина залил; правда, пароль на архив не поставил.
    [I]Deus daemonus inversus est.[/I]

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    правда, пароль на архив не поставил
    А вот это зря... Правила писали не дураки.

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    39
    Цитата Сообщение от MaXim Посмотреть сообщение
    А вот это зря... Правила писали не дураки.
    Сорри!.. Я только потом увидел, что надо пароль ставить.
    [I]Deus daemonus inversus est.[/I]

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от Blasphemie Посмотреть сообщение
    Сорри!.. Я только потом увидел, что надо пароль ставить.
    По правилам автоматом пароль ставиться , главное выполнять точно.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Архив действительно без пароля

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    39
    Я успокаиваю себя тем, что там вирусов ТОЧНО нет.
    Огрызки драйвера от AverMedia, ЕМНИП; линк на RASовое соединение и еще что-то, уже не помню: машина не моя и я от нее ушел.

    Но в следующий раз буду внимательнее, обещаю!
    [I]Deus daemonus inversus est.[/I]

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Blasphemie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу избавиться от Rootkit user mode
      От Eitelkeit в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.05.2011, 11:43
    2. маскировки, перехваты, aec.sys.bak
      От IntelInside в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 28.07.2010, 16:13
    3. Won't boot in normal mode - only safe mode
      От Jkdxc в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 13.05.2010, 13:44
    4. NDIS User Mode I/O driver
      От Snake_man в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 04:34
    5. my computer save mode cannot reach safe mode
      От areeve в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 25.11.2008, 16:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00167 seconds with 17 queries