Slavina Опубликовано 27 февраля, 2008 Опубликовано 27 февраля, 2008 Добрый день! Проблема следующая: вчера заметила, что память процессора перегружена, хотя никаких программ задействовано не было. Проверка антивирусом не нашла никакого сбоя. Решила проверить программой AVZ. В результате, в 4 файлах WINDOWS:\Installer ..... было обнаружено подозрение на данный вирус + какие-то странные перехватчики. Программа все удалила, я провела повторное тестирование Он-лайн сканером Касперского, программой AVZ и своим антивирусом - все чисто. Но сегодня с утра опять начались проблемы. Память процессора снова стала загружена на 100%, все тормозило. Я опять включила проверку AVZ - результат тот же, что и вчера, обнаружился данный вирус, только теперь уже не в той траектории, что вчера, а в C:\ Volume.... AVZ всё это опять удалила. Но сдаётся мне, что это опять временно, и вирус опять появится. Прикрепила все 4 файла, как было описано в вашей инструкции. Только во второй раз AVZ этого вируса уже не нашел, и к вам ушел отчет без данного трояна, но с какими-то перехватчиками. Помогите, пожалуйста ! sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar
Mona Sax Опубликовано 27 февраля, 2008 Опубликовано 27 февраля, 2008 Slavina, добро пожаловать на форум попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information.
vidocq89 Опубликовано 27 февраля, 2008 Опубликовано 27 февраля, 2008 если не ошибаюсь, то у ТС отключено восстановление системы... PS: никаких опасных файлов что-то я в логах не увидел... Хотя все, что можно потенциально опасное включено (
Slavina Опубликовано 28 февраля, 2008 Автор Опубликовано 28 февраля, 2008 (изменено) Slavina, добро пожаловать на форум попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information. Спасибо, все еще раз проделала с отключенным восстановлением системы, подозрение на вирус пропало. Но откуда эти перехватчики? Сегодня их почему-то больше стало определяться. Вот что пишет: Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=0846E0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055B6E0 KiST = 80503A70 (284) Функция NtConnectPort (1F) перехвачена (805A31EA->EE2E5EB0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный и т.д. в количестве 28 штук. Далее: проверено функций: 284, перехвачено: 28, восстановлено: 0 если не ошибаюсь, то у ТС отключено восстановление системы...PS: никаких опасных файлов что-то я в логах не увидел... Хотя все, что можно потенциально опасное включено ( Спасибо за ответ. А можно с этого места поподробней? Про потенциально опасное ПО? Что конкретно мне надо включить? Я просто мало что в этом понимаю. У меня стоят Нод32 + ЗонАларм, вирусы ловила до этого ну ооочень редко. Изменено 28 февраля, 2008 пользователем Slavina
vidocq89 Опубликовано 28 февраля, 2008 Опубликовано 28 февраля, 2008 (изменено) количестве 28 штук Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке... Опасным я посчитал то, что у вас включено следующее: административный доступ к локальным дискам возможность подключения анонимных пользователей отправка приглашений удаленному помошнику Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); end. Также использование браузера IE является нежелательным. Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу. Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip Изменено 28 февраля, 2008 пользователем vidocq89
Slavina Опубликовано 28 февраля, 2008 Автор Опубликовано 28 февраля, 2008 (изменено) Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке... Еще раз спасибо за развернутый ответ. Опасным я посчитал то, что у вас включено следующее: административный доступ к локальным дискам возможность подключения анонимных пользователей отправка приглашений удаленному помошнику Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); end. Также использование браузера IE является нежелательным. Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу. Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip Немного проясню ситуацию по поводу : имеется 2 ноутбука - мой и мужа, имеется адсл-модем в режиме роутера, имеется принтер, подключенный к моему ноутбуку. Локальная сеть объединяет наши 2 ноута, чтобы мы оба имели возможность выхода в интернет, а также, чтобы муж мог распечатывать свои документы через мой компьютор. Если я выполню скрипты, приведенные Вами выше, не упадет ли наша "домашняя сеть"? Изменено 28 февраля, 2008 пользователем Slavina
Олег777 Опубликовано 29 февраля, 2008 Опубликовано 29 февраля, 2008 Здравствуйте. Сеть у Вас упасть не должна. Кстати вопрос: антивирус у Вас на обоих компьютерах?
Vsoft Опубликовано 29 февраля, 2008 Опубликовано 29 февраля, 2008 Хочется узнать о приоритетах , всех процессов. Будите "свободны" пишите в ЛС - решим траблу.
Slavina Опубликовано 29 февраля, 2008 Автор Опубликовано 29 февраля, 2008 Здравствуйте. Сеть у Вас упасть не должна. Кстати вопрос: антивирус у Вас на обоих компьютерах? Да, антивирус стоит на обоих компьюторах, у меня Нод32+ЗонАларм, у мужа Нод32+виндосский файерволл. Вот еще кое-что странное заметила. Не знаю, может у меня просто паранойя уже... Но система постоянно тормозит. Открываю папку "Сетевые подключения" - все в порядке, как было и всегда А вот если нажать на "Сетевое окружение" - там появился странный значок подключения к роутеру, которого раньше не было. Скрины во вложении. Это не значит, что ко мне кто-то еще подключился?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти