Slavina Опубликовано 27 февраля, 2008 Share Опубликовано 27 февраля, 2008 Добрый день! Проблема следующая: вчера заметила, что память процессора перегружена, хотя никаких программ задействовано не было. Проверка антивирусом не нашла никакого сбоя. Решила проверить программой AVZ. В результате, в 4 файлах WINDOWS:\Installer ..... было обнаружено подозрение на данный вирус + какие-то странные перехватчики. Программа все удалила, я провела повторное тестирование Он-лайн сканером Касперского, программой AVZ и своим антивирусом - все чисто. Но сегодня с утра опять начались проблемы. Память процессора снова стала загружена на 100%, все тормозило. Я опять включила проверку AVZ - результат тот же, что и вчера, обнаружился данный вирус, только теперь уже не в той траектории, что вчера, а в C:\ Volume.... AVZ всё это опять удалила. Но сдаётся мне, что это опять временно, и вирус опять появится. Прикрепила все 4 файла, как было описано в вашей инструкции. Только во второй раз AVZ этого вируса уже не нашел, и к вам ушел отчет без данного трояна, но с какими-то перехватчиками. Помогите, пожалуйста ! sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mona Sax Опубликовано 27 февраля, 2008 Share Опубликовано 27 февраля, 2008 Slavina, добро пожаловать на форум попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information. Ссылка на комментарий Поделиться на другие сайты More sharing options...
vidocq89 Опубликовано 27 февраля, 2008 Share Опубликовано 27 февраля, 2008 если не ошибаюсь, то у ТС отключено восстановление системы... PS: никаких опасных файлов что-то я в логах не увидел... Хотя все, что можно потенциально опасное включено ( Ссылка на комментарий Поделиться на другие сайты More sharing options...
Slavina Опубликовано 28 февраля, 2008 Автор Share Опубликовано 28 февраля, 2008 (изменено) Slavina, добро пожаловать на форум попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information. Спасибо, все еще раз проделала с отключенным восстановлением системы, подозрение на вирус пропало. Но откуда эти перехватчики? Сегодня их почему-то больше стало определяться. Вот что пишет: Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=0846E0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055B6E0 KiST = 80503A70 (284) Функция NtConnectPort (1F) перехвачена (805A31EA->EE2E5EB0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный и т.д. в количестве 28 штук. Далее: проверено функций: 284, перехвачено: 28, восстановлено: 0 если не ошибаюсь, то у ТС отключено восстановление системы...PS: никаких опасных файлов что-то я в логах не увидел... Хотя все, что можно потенциально опасное включено ( Спасибо за ответ. А можно с этого места поподробней? Про потенциально опасное ПО? Что конкретно мне надо включить? Я просто мало что в этом понимаю. У меня стоят Нод32 + ЗонАларм, вирусы ловила до этого ну ооочень редко. Изменено 28 февраля, 2008 пользователем Slavina Ссылка на комментарий Поделиться на другие сайты More sharing options...
vidocq89 Опубликовано 28 февраля, 2008 Share Опубликовано 28 февраля, 2008 (изменено) количестве 28 штук Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке... Опасным я посчитал то, что у вас включено следующее: административный доступ к локальным дискам возможность подключения анонимных пользователей отправка приглашений удаленному помошнику Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); end. Также использование браузера IE является нежелательным. Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу. Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip Изменено 28 февраля, 2008 пользователем vidocq89 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Slavina Опубликовано 28 февраля, 2008 Автор Share Опубликовано 28 февраля, 2008 (изменено) Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке... Еще раз спасибо за развернутый ответ. Опасным я посчитал то, что у вас включено следующее: административный доступ к локальным дискам возможность подключения анонимных пользователей отправка приглашений удаленному помошнику Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); end. Также использование браузера IE является нежелательным. Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу. Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip Немного проясню ситуацию по поводу : имеется 2 ноутбука - мой и мужа, имеется адсл-модем в режиме роутера, имеется принтер, подключенный к моему ноутбуку. Локальная сеть объединяет наши 2 ноута, чтобы мы оба имели возможность выхода в интернет, а также, чтобы муж мог распечатывать свои документы через мой компьютор. Если я выполню скрипты, приведенные Вами выше, не упадет ли наша "домашняя сеть"? Изменено 28 февраля, 2008 пользователем Slavina Ссылка на комментарий Поделиться на другие сайты More sharing options...
Олег777 Опубликовано 29 февраля, 2008 Share Опубликовано 29 февраля, 2008 Здравствуйте. Сеть у Вас упасть не должна. Кстати вопрос: антивирус у Вас на обоих компьютерах? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vsoft Опубликовано 29 февраля, 2008 Share Опубликовано 29 февраля, 2008 Хочется узнать о приоритетах , всех процессов. Будите "свободны" пишите в ЛС - решим траблу. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Slavina Опубликовано 29 февраля, 2008 Автор Share Опубликовано 29 февраля, 2008 Здравствуйте. Сеть у Вас упасть не должна. Кстати вопрос: антивирус у Вас на обоих компьютерах? Да, антивирус стоит на обоих компьюторах, у меня Нод32+ЗонАларм, у мужа Нод32+виндосский файерволл. Вот еще кое-что странное заметила. Не знаю, может у меня просто паранойя уже... Но система постоянно тормозит. Открываю папку "Сетевые подключения" - все в порядке, как было и всегда А вот если нажать на "Сетевое окружение" - там появился странный значок подключения к роутеру, которого раньше не было. Скрины во вложении. Это не значит, что ко мне кто-то еще подключился? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти