Доброго времени.
Ноутбук с WinXP SP2(поставлена второй раз, поэтому рабочий каталог windows.0). Некоторое время назад появилась зараза, разнообразная и многочисленная, была убита антивирусами(NOD32, DrWeb) и утилитами. Но упорно появляется снова. При проверке AVZ вызывает подозрение строка "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", такого файла не видно даже под параллельной системой. Был руками создан каталог "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", но все равно эта строка присутствует в логе AVZ.
При просмотре "Модули пространства ядра" были замечены пути файлов,указывающие на каталог "C:\WINDOWS.0\0\", в их числе C:\WINDOWS.0\0\system32\hal.dll. Думаю излишне писать, что такого каталога не существует.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнил скрипт, прикладываю новые логи.
В карантине кроме "честных" файлов(EZINIT.EXE - драйвер для выброса лотка привода, OPCBBrsItem.exe - часть от OPC-сервера) не содержиться ничего "вкусного".
Вы уверены?
Вызывают сомнение наличее следующих записей:
1. Подозрение на RootKit C:\WINDOWS.0\system32\Drivers\utezmtu5.sys.
2 C:\WINDOWS.0\0\system32\hal.dll и аналогичных.
Повторюсь - этих файлов не существует.
WinXP дико долго включается и выключается. В данный момент на этом ноутбуке никаких работ не производится, отдан на "лечение".
1. C:\WINDOWS.0\system32\Drivers\utezmtu5.sys - драйвер AVZ, только непонятно, почему он не прошел по базе безопасных. Возможно, глюк.
2. Похоже на глюк... На всякий случай можете в IceSword, внизу слева в меню File, в аналоге проводника поискать эту папку. Если ее не найдете, то ее нет.
kps
1. Вы ничего не путаете? В логе запись - "vdezmtu5.sys - AVZ-BC Kernel Driver", подозрение вызывает "utezmtu5.sys". Или это от какой-то прошлой версии AVZ?
2. IceSword показал, что такой папки нет. Но объясните мне, как может работать windows без "Hardware Abstraction Layer DLL"(hal.dll), "VGA Boot driver"(BOOTVID.dll), "Системной библиотеки NT"(ntdll.dll)? Список можно продолжить, в результате вывода "Модули пространства ядра" 11 позиций, для которых явно видел "левый" путь.
1. Этот драйвер от AVZ BC, как Вы сами написали (т.е. от BootCleaner). А я говорил о другом.
2. Эти файлы есть, просто они находятся по правильному пути. А отображение этого пути с нулем - похоже, глюк AVZ. Можете написать об этом здесь: http://virusinfo.info/showthread.php?t=21108&page=17
1. И в самом деле "хвост" от AVZ. После выполнения скрипта "Удаление всех драйверов ... AVZ" ссылка на "utezmtu5.sys" из лога пропала.
2. Хотелось бы верить, что проблема заключается в работе AVZ. Но смущает то, что ВСЕ файлы, имеющие такие пути, подозрительны с точки зрения уязвимости системы.
На данный момент у этого компютера не замечено странной сетевой активности.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: