-
Junior Member
- Вес репутации
- 56
Создал .7z архив, и вдруг оказалось, что в него попали неведомых 4 dll файла (я их туда не клал) [not-a-virus:PSWTool.Win32.MPR.cx
]
Создал .7z архив, и вдруг оказалось, что в него попали неведомых 4 dll файла (я их туда не клал). Virustotal совсем ничего в них не обнаружил. Имена этих DLL-ок: KBDDV.DLL KBDUSL.DLL KBDUSR.DLL KBDUSX.DLL После этого заподозрил заражение компа вирусами. Запустил avz, сделал быстрый скан памяти, в логе насторожило:
9. Мастер поиска и устранения проблем >> Обнаружен отладчик системного процесса >>> Обнаружен отладчик системного процесса - исправлено Проверка завершена
Ни антивируса, ни фаерволла - нет, так что откуда взяться отладчику - не понятно. После этого попытался создать новый .7z архив - в нём уже не было DLLок (возможно avz нейтрализовал вирус, убив отладчик системного процесса). После этого решил делать всё как написано в памятке "помогите". Логи прикрепил, в них есть вещи, которые мне показались странными (а всё остальное - чистым): В virusinfo_syscure.htm есть не очень понятные мне записи в разделе "Модули пространства ядра": C:\WINDOWS\System32\Drivers\dump_atapi.sys C:\WINDOWS\System32\Drivers\dump_dumpata.sys C:\WINDOWS\System32\Drivers\dump_dumpfve.sys C:\WINDOWS\system32\Drivers\PROCEXP152.SYS и "Драйверы": C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys (причём папки c:\windows\systemroot\ не существует) C:\WINDOWS\system32\Drivers\PROCEXP151.SYS C:\Windows\system32\pwdrvio.sys C:\Windows\system32\pwdspio.sys C:\WINDOWS\system32\Drivers\uzkxmzi3.sys Файла C:\WINDOWS\system32\Drivers\PROCEXP151.SYS не существует, но подозреваю, что это файл от Process Explorer. Из остальных файлов существует только sptd.sys. Из подозрительного установленного у меня софта - имеется Steam.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Drug0y, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
-
-
Junior Member
- Вес репутации
- 56
Этот скрипт создаёт пустой архив. Могу прислать virusinfo_autoquarantine.zip
-
-
-
Junior Member
- Вес репутации
- 56
Прогнал проверку ещё раз, а после этого выполнил предложенный скрипт.
Таким образом, архив quarantine.zip оказался не пустым, его и отправил:
Результат загрузки
Файл сохранён как 130208_141904_quarantine_511509584ef88.zip
Размер файла 22333938
MD5 64f308422379580d623fc67d0cd35c61
Файл закачан, спасибо!
-
Drug0y, Лог RSIT подготовьте!
-
-
Junior Member
- Вес репутации
- 56
-
Drug0y, В логах чисто! Может быть файлы и должны были туда попасть? Например скрытые были!
-
-
Junior Member
- Вес репутации
- 56
Нет, файлы туда не могли попасть просто так (у меня отображаются скрытые файлы).
И потом - а чей же тогда отладчик системного процесса обнаружил avz?
-
Drug0y, Может быть драйвер MPR, точно не скажу! Скажу одно,вирусов нет, беспокоиться не о чем!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\utils\\qip\\mpr.exe.bak - not-a-virus:PSWTool.Win32.MPR.cx ( DrWEB: Tool.PassView.422 )
-