Подозрительное поведение машин

[ZEF]

Нарисовалось еще пару машин с похожими друг на друга подозрительностями. Логи прилагаю.

i

Уведомление:

Логи по второй машине находятся здесь

PC1_hijackthis.log

PC1_virusinfo_syscheck.zip

PC1_virusinfo_syscure.zip

PC1_hijackthis.log

PC1_virusinfo_syscheck.zip

PC1_virusinfo_syscure.zip

Изменено 25 июля, 2008 пользователем akoK

[akoK]

Чисто, но следы от nlite почистим.

Пофиксить в HijackThis следующие строчки

 	O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user')

Какие проблемы с этой машиной?

[ZEF]

Функция NtCreateKey (29) перехвачена (8056E861->F84250E0), перехватчик spcj.sys

Функция NtEnumerateKey (47) перехвачена (8056EF68->F8442CA2), перехватчик spcj.sys

Функция NtEnumerateValueKey (49) перехвачена (8057EC28->F8443030), перехватчик spcj.sys

Функция NtOpenKey (77) перехвачена (80567BFB->F84250C0), перехватчик spcj.sys

Функция NtQueryKey (A0) перехвачена (8056EC71->F8443108), перехватчик spcj.sys

Функция NtQueryValueKey (B1) перехвачена (8056B1BB->F8442F88), перехватчик spcj.sys

Функция NtSetValueKey (F7) перехвачена (80574D1D->F844319A), перехватчик spcj.sys

Вот это меня смутило. :1eye: AVZ написал, что все пофиксил, но после перезагрузки и повторном скане в логах опять это.

После очередного скрипта №1 от теперь перехватчик spuw.sys. То есть получается он меняет название на sp*.sys

[akoK]

sp*.sys - это диамонд или алкоголь.

[ZEF]

Спасибо. Вопрос снимаю.