ZEF Опубликовано 25 июля, 2008 Жалоба Поделиться Опубликовано 25 июля, 2008 (изменено) Нарисовалось еще пару машин с похожими друг на друга подозрительностями. Логи прилагаю. i Уведомление:Логи по второй машине находятся здесь PC1_hijackthis.log PC1_virusinfo_syscheck.zip PC1_virusinfo_syscure.zip PC1_hijackthis.log PC1_virusinfo_syscheck.zip PC1_virusinfo_syscure.zip Изменено 25 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 25 июля, 2008 Жалоба Поделиться Опубликовано 25 июля, 2008 Чисто, но следы от nlite почистим. Пофиксить в HijackThis следующие строчки O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user') Какие проблемы с этой машиной? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ZEF Опубликовано 25 июля, 2008 Автор Жалоба Поделиться Опубликовано 25 июля, 2008 Функция NtCreateKey (29) перехвачена (8056E861->F84250E0), перехватчик spcj.sys Функция NtEnumerateKey (47) перехвачена (8056EF68->F8442CA2), перехватчик spcj.sys Функция NtEnumerateValueKey (49) перехвачена (8057EC28->F8443030), перехватчик spcj.sys Функция NtOpenKey (77) перехвачена (80567BFB->F84250C0), перехватчик spcj.sys Функция NtQueryKey (A0) перехвачена (8056EC71->F8443108), перехватчик spcj.sys Функция NtQueryValueKey (B1) перехвачена (8056B1BB->F8442F88), перехватчик spcj.sys Функция NtSetValueKey (F7) перехвачена (80574D1D->F844319A), перехватчик spcj.sys Вот это меня смутило. :1eye: AVZ написал, что все пофиксил, но после перезагрузки и повторном скане в логах опять это. После очередного скрипта №1 от теперь перехватчик spuw.sys. То есть получается он меняет название на sp*.sys Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 25 июля, 2008 Жалоба Поделиться Опубликовано 25 июля, 2008 sp*.sys - это диамонд или алкоголь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ZEF Опубликовано 25 июля, 2008 Автор Жалоба Поделиться Опубликовано 25 июля, 2008 Спасибо. Вопрос снимаю. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.