gkassian 0 Опубликовано 11 июня, 2009 Share Опубликовано 11 июня, 2009 (изменено) Несколько дней назад Касперский поймал ICQ за попыткой записать в реестр \Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/MenuExt После перезапуска аськи больше не повторялось, но в отчете AVZ аська почему-то использует библиотеки из VS7 Список процессов: .... c:\program files\icq\icq.exe PID 1456 ICQ c:\winxp\system32\mdm.exe PID 3884 Machine Debug Manager .... имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll handle 1418592256 описание: Microsoft Visual Studio 7.0 Debugging Proxy/Stub используется процессами: 1456, 3884 имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\pdm.dll handle 1420951552 описание: Process Debug Manager используется процессами: 1456 Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\PROGRA~1\ICQ\Icq.exe" >> обнаружена подмена имени, новое имя = "c:\program files\icq\icq.exe" Анинстолировать аську культурно не получается, анинстоллер не работает, так что только грубой силой. Сканировал и не обнаружил ничего подозрительного следующими антивирусами: KAV 2009, AVZ, CureIt, BitDefender (online), Malwarebytes, PCtools SpywareDoctor, Radix GMER находит вот эти строки в реестре, которые нельзя прочесть или удалить в regedit HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E} HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F ... Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов Логи прриатачены. Спасибо! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Vba32ArkitLog.zip gmer.zip RootRepeal.zip Изменено 11 июня, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 июня, 2009 Share Опубликовано 11 июня, 2009 HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E} HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F Здесь ничего плохого Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов Это от gmer Цитата Ссылка на сообщение Поделиться на другие сайты
gkassian 0 Опубликовано 11 июня, 2009 Автор Share Опубликовано 11 июня, 2009 спасибо, так уже спокойнее а с тем что аська почему-то к дебагеру подсоединяется что посоветуете делать? Проверял на другой машине, такой проблемы нет. Аську пока боялся трогать, потому что думал, что если это вирус, то хоть известно где он себя проявляет. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 июня, 2009 Share Опубликовано 11 июня, 2009 По поводу ICQ ничего точно сказать не могу. Но думаю волноваться и здесь не стоит Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.