699622 Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Добрый день! Проверял вот свой ноут, как и описано в правилах темы. Просьба посмотреть логи. На флэшке носил трояны постоянно, в частности, в корневом каталоге флэшки (не в корневом каталоге системного диска, а именно флэшки) все время появлялся файл "автоэкзек", который суть троян. Также часто появлялись сообщения о троянах при проверке флэшки. При проверке после доктора вэба штатным антивирусом (нод 2.7) в безопасном режиме появилось такое вот сообщение (прилагаю скрин). При повторной чистки диска точно такая же проверка прошла "чисто", т.е. вирусов не обнаружено. В общем, основания для беспокойства есть. virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 (изменено) В логах ничего подозрительного не замечено. Сто раз предупреждвали по поводу зверских сборок. Сборки ZverCD позволяют получить доступ через Radmin Viewer Установите нормальный (лучше лицензионный) windows. Radmin попробуйте удалить через установку и удаление программ. если его нет в списке Вам необходимо найти файл "r_server.exe". Обычно он расположен в папке %windir%\system32\ (например, C:\Windows\system32\). Если его там не обнаружится, выполните "Пуск->Поиск->Файлы и папки", введите "r_server.exe", убедитесь, что поиск будет производиться по всем жёстким дискам компьютера и нажмите клавишу Enter ("Ввод"). Найденный файл r_server.exe нужно запустить параметром коммандной строки "/stop". Затем его же нужно запустить с параметром "/uninstall", дабы впоследствии он не запускался автоматически. После этого файл можно удалить. Для запуска программы с параметром коммандной строки нужно выбрать пункт "Выполнить" из меню "Пуск", затем ввести полный закавыченный путь до файла r_server.exe, после этго - пробел и сам параметр (например, "C:\Program Files\RAdmin\r_server.exe" /uninstall). Псоле этого снова выполните "Пуск->Поиск->Файлы и папки", введите "admdll.dll", убедитесь, что поиск будет производиться по всем жёстким дискам и нажмите клавишу Enter ("Ввод"). Удалите найденные файлы admdll.dll. После этого Radmin Server будет полностью удалён с вашего компьютера. Обновите ОС до SP3 Изменено 12 января, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
699622 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 В логах ничего подозрительного не замечено. Спасибо, порадовали. Сто раз предупреждвали по поводу зверских сборок. Сборки ZverCD позволяют получить доступ через Radmin Viewer Установите нормальный (лучше лицензионный) windows. Radmin попробуйте удалить через установку и удаление программ. если его нет в списке А его могло не быть? Поиском (и штатным, и в ФАРе) файлы "r_server.exe", "admdll.dll" не найдены. Кстати, с некоторых пор не могу включить в проводнике отображение скрытых файлов (вроде включаю, выхожу, смотрю - а скрытые таки не показывает, захожу обратно - "птичка" стоит на "не показывать"). Поставил ФАР, и не думаю об этом. Но тем не менее... Обновите ОС до SP3 Конечно, сейчас сделаю. Хотел сначала почистить систему, а потом уже обновлять. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 (изменено) 699622 Я по поводу сборки ничего сказать не могу, неизвестно кто и что туда напихал. А файлы радмина изолировал нод, поэтому найти не можете :bye1: Изменено 12 января, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
699622 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 699622 Я по поводу сборки ничего сказать не могу, неизвестно кто и что туда напихал. А файлы радмина изолировал нод, поэтому найти не можете :bye1: У, как! А как же его найти? Или, наверное, надо просто выполнить последовательность действий, описанную выше... В логах ничего подозрительного не замечено. А можно пояснить, что это в логе avz_sysinfo написано: 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082700) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559700 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8056E819->F84540D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056EF20->F8459FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (8057FBF4->F845A340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80567D6B->F84540B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056EC29->F845A418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B173->F845A298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80573CFD->F845A4AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 Т.е. вроде как обнаружен перехватчик C:\WINDOWS\system32\Drivers\sptd.sys ? У, как! А как же его найти? Или, наверное, надо просто выполнить последовательность действий, описанную выше... А то ведь Нод иногда и отключается "вручную" для некоторых целей... А можно пояснить, что это в логе avz_sysinfo написано: 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082700) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559700 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8056E819->F84540D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056EF20->F8459FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (8057FBF4->F845A340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80567D6B->F84540B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056EC29->F845A418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B173->F845A298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80573CFD->F845A4AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 Т.е. вроде как обнаружен перехватчик C:\WINDOWS\system32\Drivers\sptd.sys ? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Не бойтесь :) это драйвер виртуального привода, это нормально. Ссылка на комментарий Поделиться на другие сайты Поделиться
699622 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 Не бойтесь :) это драйвер виртуального привода, это нормально. Ясно, спасибо! Ссылка на комментарий Поделиться на другие сайты Поделиться
699622 Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 Вот, выполнил рекомендации AVZ по устранению проблем. Прикладываю лог. virusinfo_syscheck.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 Ничего вредоносного не вижу Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти