-
Junior Member
- Вес репутации
- 49
Неизвестный драйвер
Доброго времени суток, уважаемые эксперты!
Возникли опасения на руткит. Посмотрел в IceSword'e модули ядра и обнаружил новый модуль vimfdy.sys 212992 байта, скрытый, в проводнике и Тотал коммандере не видно. Сделал дамп в AVZ, проверил на вирустотале, 2алерта. Перезагрузился, на том же месте такой же драйвер того же размера, но с другим именем - fxuvm.sys. То есть имя при каждом запуске системы случайное. В Gmer этот модуль отобразился во вкладке Malware-rootkit:
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 fxuvm.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 fxuvm.sys
К сожалению, отчетов не сохранил.
В AVZ выполнил скрипты - "Поиск и нейтрализация Rootkit", "Сбор информации для раздела "Помогите" Virusinfo", "Сбор неопознанных и подозрительных файлов". Во время выполнения скриптов выдавались ошибки "Ошибка чтения модуля" (не помню точно, вроде так), а во время перезагрузки вылетели с ошибками все svchost.
После перезагрузки проверил, подозрительного модуля не оказалось нигде. Зата объявился другой - pgpcqfow.sys (второй отчет скрипта AVZ).
Перезагрузка, скрипт в AVZ (третий) и ничего лишнего вроде нет.
Вот и вопросы:
1. Что это за модуль ядра и как он мог попасть в ядро системы? На протяжении нескольких недель на жестком диске вообще ничего не менялось, кроме пары вордовских документов, т.е. никакое ПО не ставилось. А пару дней назад этого драйвера точно не было.
2. Когда я запускал три скрипта, AVZ что-то поместил в карантин, но все вроде безопасное - драйвер звуковой карты, драйверы алкоголя...
3. Что за модуль pgpcqfow.sys, который обнаруживался в папке Temp? Есть подозрения на Gmer, но хотелось бы уточнить.
4. В разделе "автозагрузка" есть пункт о Миранде. Но ее нигде не видно в автозагрузке и тем более она не активна, как сказано в отчете. Что это значит?
Вот логи и файлы:
Вложение 300014 - отчет вирустотала о дампе модуля.
Вложение 300012 - отчеты AVZ
Вложение 300013 - дампы модулей
Файлы, которые AVZ поместил в карантин, не влезают. (архив 4 Мб)
Буду очень признателен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Сообщение от
SergioR
3. Что за модуль pgpcqfow.sys, который обнаруживался в папке Temp? Есть подозрения на Gmer, но хотелось бы уточнить.
Гмер и есть.
Сохраните лог Гмер, как в инструкции
-
-
Junior Member
- Вес репутации
- 49
Olejah,
Прилагаю лог Гмера.
Вложение 300047
После лечения AVZ все кажется чистым, по крайней мере того подозрительного драйвера ни одна утилита больше не видит.
Есть архив с карантином от AVZ, но он под паролем. Так должно быть? Еще была папка, но я сдуру ее удалил так что взглянуть еще раз не могу.
Нужно ли мне выслать Вам этот архив? Он не прикрепляется из-за размера.
-
Сообщение от
SergioR
Нужно ли мне выслать Вам этот архив? Он не прикрепляется из-за размера.
Нет необходимости.
Не вижу повода для беспокойств, никаких руткитов нет в логах.
-
-
Junior Member
- Вес репутации
- 49
Спасибо за помощь!
Но хотелось бы немного разьяснить для себя по поводу драйвера. До скриптов Гмер выдавал такие стоки в логе, сейчас их нет:
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 fxuvm.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 fxuvm.sys
Что это значит?
И как можно распаролить архив от авз? Мне бы хотелось взглянуть, ведь после выполнения скриптов в авз модуль перестал грузиться.