699622 Posted January 12, 2010 Report Share Posted January 12, 2010 Добрый день! Проверял вот свой ноут, как и описано в правилах темы. Просьба посмотреть логи. На флэшке носил трояны постоянно, в частности, в корневом каталоге флэшки (не в корневом каталоге системного диска, а именно флэшки) все время появлялся файл "автоэкзек", который суть троян. Также часто появлялись сообщения о троянах при проверке флэшки. При проверке после доктора вэба штатным антивирусом (нод 2.7) в безопасном режиме появилось такое вот сообщение (прилагаю скрин). При повторной чистки диска точно такая же проверка прошла "чисто", т.е. вирусов не обнаружено. В общем, основания для беспокойства есть. virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Quote Link to comment Share on other sites More sharing options...
edde Posted January 12, 2010 Report Share Posted January 12, 2010 (edited) В логах ничего подозрительного не замечено. Сто раз предупреждвали по поводу зверских сборок. Сборки ZverCD позволяют получить доступ через Radmin Viewer Установите нормальный (лучше лицензионный) windows. Radmin попробуйте удалить через установку и удаление программ. если его нет в списке Вам необходимо найти файл "r_server.exe". Обычно он расположен в папке %windir%\system32\ (например, C:\Windows\system32\). Если его там не обнаружится, выполните "Пуск->Поиск->Файлы и папки", введите "r_server.exe", убедитесь, что поиск будет производиться по всем жёстким дискам компьютера и нажмите клавишу Enter ("Ввод"). Найденный файл r_server.exe нужно запустить параметром коммандной строки "/stop". Затем его же нужно запустить с параметром "/uninstall", дабы впоследствии он не запускался автоматически. После этого файл можно удалить. Для запуска программы с параметром коммандной строки нужно выбрать пункт "Выполнить" из меню "Пуск", затем ввести полный закавыченный путь до файла r_server.exe, после этго - пробел и сам параметр (например, "C:\Program Files\RAdmin\r_server.exe" /uninstall). Псоле этого снова выполните "Пуск->Поиск->Файлы и папки", введите "admdll.dll", убедитесь, что поиск будет производиться по всем жёстким дискам и нажмите клавишу Enter ("Ввод"). Удалите найденные файлы admdll.dll. После этого Radmin Server будет полностью удалён с вашего компьютера. Обновите ОС до SP3 Edited January 12, 2010 by edde Quote Link to comment Share on other sites More sharing options...
699622 Posted January 12, 2010 Author Report Share Posted January 12, 2010 В логах ничего подозрительного не замечено. Спасибо, порадовали. Сто раз предупреждвали по поводу зверских сборок. Сборки ZverCD позволяют получить доступ через Radmin Viewer Установите нормальный (лучше лицензионный) windows. Radmin попробуйте удалить через установку и удаление программ. если его нет в списке А его могло не быть? Поиском (и штатным, и в ФАРе) файлы "r_server.exe", "admdll.dll" не найдены. Кстати, с некоторых пор не могу включить в проводнике отображение скрытых файлов (вроде включаю, выхожу, смотрю - а скрытые таки не показывает, захожу обратно - "птичка" стоит на "не показывать"). Поставил ФАР, и не думаю об этом. Но тем не менее... Обновите ОС до SP3 Конечно, сейчас сделаю. Хотел сначала почистить систему, а потом уже обновлять. Quote Link to comment Share on other sites More sharing options...
edde Posted January 12, 2010 Report Share Posted January 12, 2010 (edited) 699622 Я по поводу сборки ничего сказать не могу, неизвестно кто и что туда напихал. А файлы радмина изолировал нод, поэтому найти не можете :bye1: Edited January 12, 2010 by edde Quote Link to comment Share on other sites More sharing options...
699622 Posted January 12, 2010 Author Report Share Posted January 12, 2010 699622 Я по поводу сборки ничего сказать не могу, неизвестно кто и что туда напихал. А файлы радмина изолировал нод, поэтому найти не можете :bye1: У, как! А как же его найти? Или, наверное, надо просто выполнить последовательность действий, описанную выше... В логах ничего подозрительного не замечено. А можно пояснить, что это в логе avz_sysinfo написано: 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082700) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559700 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8056E819->F84540D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056EF20->F8459FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (8057FBF4->F845A340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80567D6B->F84540B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056EC29->F845A418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B173->F845A298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80573CFD->F845A4AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 Т.е. вроде как обнаружен перехватчик C:\WINDOWS\system32\Drivers\sptd.sys ? У, как! А как же его найти? Или, наверное, надо просто выполнить последовательность действий, описанную выше... А то ведь Нод иногда и отключается "вручную" для некоторых целей... А можно пояснить, что это в логе avz_sysinfo написано: 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082700) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559700 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8056E819->F84540D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056EF20->F8459FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (8057FBF4->F845A340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80567D6B->F84540B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056EC29->F845A418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B173->F845A298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80573CFD->F845A4AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 Т.е. вроде как обнаружен перехватчик C:\WINDOWS\system32\Drivers\sptd.sys ? Quote Link to comment Share on other sites More sharing options...
edde Posted January 12, 2010 Report Share Posted January 12, 2010 Не бойтесь :) это драйвер виртуального привода, это нормально. Quote Link to comment Share on other sites More sharing options...
699622 Posted January 12, 2010 Author Report Share Posted January 12, 2010 Не бойтесь :) это драйвер виртуального привода, это нормально. Ясно, спасибо! Quote Link to comment Share on other sites More sharing options...
699622 Posted January 17, 2010 Author Report Share Posted January 17, 2010 Вот, выполнил рекомендации AVZ по устранению проблем. Прикладываю лог. virusinfo_syscheck.zip virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 Ничего вредоносного не вижу Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.