Перейти к содержанию
СофтФорум - всё о компьютерах и не только

подозрение на руткиты и кейлогеры


Рекомендуемые сообщения

Здравствуйте!

Использую NOD, периодически вылавливаю шпионов с помощью Ad-Aware, и особых претензий к компу не имею (разве что курсор мыши иногда скачет куда ему вздумается). Но вот наткнулся на ликбез, проводимый Saule на одном из форумов (объясняется работа с логом программы HijackThis) и решил проверить комп.

Провел проверку Касперским в on-line (отчет имею)

Провел проверку AVZ (восстановление системы не отключал; имею 2 лога)

Провел проверку HijackThis (имею лог)

Касперский, как я понял, обнаружил не то 7, не то 9 вирусов

В логе AVZ количество обнаруженных файлов, модулей, служб, драйверов как правило, не совпадает с количеством опознанных как безопасные; кроме того есть подозрение (не у меня, у программы) на наличие KeyLogger и RootKit. Еще не понятно некое предупреждение "Таймаут завершения служб находится за пределами допустимых значений"

В логе HijackThis прописан (R1) какой-то прокси??? (я прокси не пользуюсь)

Больше я ничего не понял. Могу ли я прислать Вам логи для анализа, и если ДА, то какие именно?

С уважением, Сергей.

Ссылка на комментарий
Поделиться на другие сайты

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты

Вот логи AVZ и HijackThis (txt), а также, на всякий случай, отчет проверки Касперского.

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.logreport.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

report.txt

Ссылка на комментарий
Поделиться на другие сайты

Явных зловредов не видно, на всякий случай можно проверить кое-что

Выполните скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\Program Files\Styler\StylerHelper.dll','');

QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');

QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll','');

QuarantineFile('C:\Documents and Settings\test\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_34ac4c3c.exe','');

QuarantineFile('E:\NTGLM7X.sys','');

QuarantineFile('E:\NTACCESS.sys','');

QuarantineFile('C:\WINDOWS\system32\Drivers\cc_4g.sys','');

QuarantineFile('C:\Program Files\Styler\unrar\unrar.dll','');

QuarantineFile('C:\Program Files\Clock Tray Skins\Clock.dll','');

QuarantineFile('c:\program files\clock tray skins\clocktrayskins.exe','');

BC_QrSvc('cc_4g');

BC_QrSvc('NTACCESS');

BC_QrSvc('SetupNTGLM7X');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

Ссылка на комментарий
Поделиться на другие сайты

Некоторые ваши файлы отправлены на доп. анализ. Диск E это у вас что?

E:\NTGLM7X.sys

E:\NTACCESS.sys

в карантин не попали, поищите их вручную и проверьте на virustotal.com

Ссылка на комментарий
Поделиться на другие сайты

Некоторые ваши файлы отправлены на доп. анализ. Диск E это у вас что?

E:\NTGLM7X.sys

E:\NTACCESS.sys

в карантин не попали, поищите их вручную и проверьте на virustotal.com

Диск E это CD-Rom дисковод. Откуда там могут быть файлы?

Ссылка на комментарий
Поделиться на другие сайты

При проверке АВЗ в CD-Rom дисковод был диск?

Не мешало бы логи повторить.

Диска точно не было. Я думаю, что это какие-то неудаленные ярлыки (при установке некоторых программ с диска ярлыки могут иметь размещение E:\)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...