Перейти к содержанию
Правила раздела

Подозрение на руткит, помогите справиться [LOG+]

gkassian

От gkassian
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

gkassian Новичок

gkassian

Опубликовано
Опубликовано (изменено)

Несколько дней назад Касперский поймал ICQ за попыткой записать в реестр

\Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/MenuExt

 

После перезапуска аськи больше не повторялось, но в отчете AVZ аська почему-то использует библиотеки из VS7

Список процессов:

....

c:\program files\icq\icq.exe PID 1456 ICQ

c:\winxp\system32\mdm.exe PID 3884 Machine Debug Manager

....

 

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll

handle 1418592256

описание: Microsoft Visual Studio 7.0 Debugging Proxy/Stub

используется процессами: 1456, 3884

 

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\pdm.dll

handle 1420951552

описание: Process Debug Manager

используется процессами: 1456

 

Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\PROGRA~1\ICQ\Icq.exe"

>> обнаружена подмена имени, новое имя = "c:\program files\icq\icq.exe"

 

 

Анинстолировать аську культурно не получается, анинстоллер не работает, так что только грубой силой.

 

Сканировал и не обнаружил ничего подозрительного следующими антивирусами:

KAV 2009, AVZ, CureIt, BitDefender (online), Malwarebytes, PCtools SpywareDoctor, Radix

 

GMER находит вот эти строки в реестре, которые нельзя прочесть или удалить в regedit

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F ...

 

 

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

 

Логи прриатачены.

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Vba32ArkitLog.zip

gmer.zip

RootRepeal.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F

Здесь ничего плохого

 

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

Это от gmer

Ссылка на комментарий
Поделиться на другие сайты
gkassian Новичок

gkassian

Опубликовано
  • Автор
Опубликовано

спасибо, так уже спокойнее

а с тем что аська почему-то к дебагеру подсоединяется что посоветуете делать? Проверял на другой машине, такой проблемы нет.

Аську пока боялся трогать, потому что думал, что если это вирус, то хоть известно где он себя проявляет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • foxlape
      Подозрения на вирус
      От foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Kopitian
      [РЕШЕНО] Подозрение на майнер и вирус
      От Kopitian
      Обнаружил, что при открытии диспетчера задач, резко падает нагрузка на CPU и GPU, затем через какое то время диспетчер задач самостоятельно выключался. Проверил антивирусом, антивирус нашел вирусы и майнеры. Компьютер стал работать значительно лучше. Подскажите, что-либо еще требуется сделать? Логи прикрепляю.
      CollectionLog-2025.02.01-21.19.zip
    • Buzhor13
      [РЕШЕНО] Подозрение на майнер или вирус
      От Buzhor13
      Здравствуйте,
      Столкнулась с такой проблемой. До нового года (не могу сказать как долго сохранялась проблема), долго запускался компьютер. После ввода пароля открывался рабочий стол и минуты 3 запускались остальные системы (360 Тотал Секьюрити засекал время), программы открывались не с 1 (а иногда даже не с 3) раза, вылетали ошибки, связанные с библиотекой. Ближе к новому году полетела материнская плата (а может быть это был процессор). После того как я заменила обе детали, все было хорошо, но вот  сейчас проблема вернулась. 
      Из общего: я активировала Офис с помощью программы KMS, ее я удалила и антивирус обезвредил какой-то вирус, но проблему это не решило.
      Так же вчера я обнаружила, что если отключить провод интернета - компьютер запускается за 17 сек, с включенным - за 2-3 минуты.
      CollectionLog-2025.02.01-13.35.zip
    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Quester1337
      Подозрение на вирус в роутере.
      От Quester1337
      Дело в том, что в последние дни заметил, что скорость сети упала на всех устройствах кроме пк. Т.е. скорость wi-fi сети была 40-60мб/сек., а стала 20-30 мб/сек. Утилитой провайдера проверил - по её словам днс не изменён и вообще всё ок в безопасности, но есть подозрения, что не всё так однозначно. Не знаю, стоило ли писать сюда, модераторы поправьте если не сюда с таким обращаются. Даже не знаю какие логи присылать...
×
×
  • Создать...