Подозрение на руткит, помогите справиться [LOG+]

11 июня, 2009

Несколько дней назад Касперский поймал ICQ за попыткой записать в реестр

\Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/MenuExt

После перезапуска аськи больше не повторялось, но в отчете AVZ аська почему-то использует библиотеки из VS7

Список процессов:

....

c:\program files\icq\icq.exe PID 1456 ICQ

c:\winxp\system32\mdm.exe PID 3884 Machine Debug Manager

....

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll

handle 1418592256

описание: Microsoft Visual Studio 7.0 Debugging Proxy/Stub

используется процессами: 1456, 3884

имя модуля C:\Program Files\Common Files\Microsoft Shared\VS7Debug\pdm.dll

handle 1420951552

описание: Process Debug Manager

используется процессами: 1456

Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\PROGRA~1\ICQ\Icq.exe"

>> обнаружена подмена имени, новое имя = "c:\program files\icq\icq.exe"

Анинстолировать аську культурно не получается, анинстоллер не работает, так что только грубой силой.

Сканировал и не обнаружил ничего подозрительного следующими антивирусами:

KAV 2009, AVZ, CureIt, BitDefender (online), Malwarebytes, PCtools SpywareDoctor, Radix

GMER находит вот эти строки в реестре, которые нельзя прочесть или удалить в regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F ...

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

Логи прриатачены.

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 11 июня, 2009 пользователем Falcon

11 июня, 2009

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{784A601A-E27E-B019-BC3C-F8FA243F3E9E}@oacedjpgagnfeciodjfcoacnojoood 0x64 0x61 0x63 0x6F

Здесь ничего плохого

Vba32 AntRootKit находит драйвер TEMP\aujasnkj.sys, который не видно в списке файлов

Это от gmer

11 июня, 2009

спасибо, так уже спокойнее

а с тем что аська почему-то к дебагеру подсоединяется что посоветуете делать? Проверял на другой машине, такой проблемы нет.

Аську пока боялся трогать, потому что думал, что если это вирус, то хоть известно где он себя проявляет.

11 июня, 2009

По поводу ICQ ничего точно сказать не могу. Но думаю волноваться и здесь не стоит

Подозрение на руткит, помогите справиться [LOG+]

Рекомендуемые сообщения

gkassian

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

gkassian

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum