Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Подозрение на руткит, помогите справиться [LOG+]

gkassian

Автор gkassian
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gkassian Новичок

gkassian

Опубликовано
Опубликовано (изменено)

Несколько дней назад Касперский поймал ICQ за попыткой записать в реестр

\Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/MenuExt

 

После перезапуска аськи больше не повторялось, но в отчете AVZ аська почему-то использует библиотеки из VS7

Список процессов:

....

c:\program files\icq\icq.exe PID 1456 ICQ

c:\winxp\system32\mdm.exe PID 3884 Machine Debug Manager

....

 

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll

handle 1418592256

описание: Microsoft Visual Studio 7.0 Debugging Proxy/Stub

используется процессами: 1456, 3884

 

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\pdm.dll

handle 1420951552

описание: Process Debug Manager

используется процессами: 1456

 

Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\PROGRA~1\ICQ\Icq.exe"

>> обнаружена подмена имени, новое имя = "c:\program files\icq\icq.exe"

 

 

Анинстолировать аську культурно не получается, анинстоллер не работает, так что только грубой силой.

 

Сканировал и не обнаружил ничего подозрительного следующими антивирусами:

KAV 2009, AVZ, CureIt, BitDefender (online), Malwarebytes, PCtools SpywareDoctor, Radix

 

GMER находит вот эти строки в реестре, которые нельзя прочесть или удалить в regedit

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F ...

 

 

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

 

Логи прриатачены.

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Vba32ArkitLog.zip

gmer.zip

RootRepeal.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F

Здесь ничего плохого

 

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

Это от gmer

Ссылка на комментарий
Поделиться на другие сайты
gkassian Новичок

gkassian

Опубликовано
  • Автор
Опубликовано

спасибо, так уже спокойнее

а с тем что аська почему-то к дебагеру подсоединяется что посоветуете делать? Проверял на другой машине, такой проблемы нет.

Аську пока боялся трогать, потому что думал, что если это вирус, то хоть известно где он себя проявляет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Snak3EyeS92
      [РЕШЕНО] Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      Автор ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...