gkassian Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 (изменено) Несколько дней назад Касперский поймал ICQ за попыткой записать в реестр \Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/MenuExt После перезапуска аськи больше не повторялось, но в отчете AVZ аська почему-то использует библиотеки из VS7 Список процессов: .... c:\program files\icq\icq.exe PID 1456 ICQ c:\winxp\system32\mdm.exe PID 3884 Machine Debug Manager .... имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll handle 1418592256 описание: Microsoft Visual Studio 7.0 Debugging Proxy/Stub используется процессами: 1456, 3884 имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\pdm.dll handle 1420951552 описание: Process Debug Manager используется процессами: 1456 Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\PROGRA~1\ICQ\Icq.exe" >> обнаружена подмена имени, новое имя = "c:\program files\icq\icq.exe" Анинстолировать аську культурно не получается, анинстоллер не работает, так что только грубой силой. Сканировал и не обнаружил ничего подозрительного следующими антивирусами: KAV 2009, AVZ, CureIt, BitDefender (online), Malwarebytes, PCtools SpywareDoctor, Radix GMER находит вот эти строки в реестре, которые нельзя прочесть или удалить в regedit HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E} HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F ... Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов Логи прриатачены. Спасибо! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Vba32ArkitLog.zip gmer.zip RootRepeal.zip Изменено 11 июня, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E} HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F Здесь ничего плохого Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов Это от gmer Ссылка на комментарий Поделиться на другие сайты Поделиться
gkassian Опубликовано 11 июня, 2009 Автор Поделиться Опубликовано 11 июня, 2009 спасибо, так уже спокойнее а с тем что аська почему-то к дебагеру подсоединяется что посоветуете делать? Проверял на другой машине, такой проблемы нет. Аську пока боялся трогать, потому что думал, что если это вирус, то хоть известно где он себя проявляет. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 По поводу ICQ ничего точно сказать не могу. Но думаю волноваться и здесь не стоит Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти