На работе в локальной сети началась эпидемия Downadup.b. Пропатчил все рабочие станции и сервера (MS08-067). После чего на каждом компьютере запускал утилиту Anti-Downadup-console.exe от BitDefender, которая вычищала зловредный сервис. Все вроде бы поршло успешно. Сразу скажу, что после Anti-Downadup-console.exe делал проверку свежайшими версиями AVPTool, CureIT и windows-kb890830-v2.6.exe от Microsoft. Следов вирусов ими найдено не было.
Смутил меня лог AVZ, запущенной на моем ПК. А именно очень странный драйвер, работающий в KernelMode. Во-первых, файла с таким именем не существует в системе, как и упоминаний о нем в реестре. Во-вторых, после его "удаления" (или выгрузки, если это можно так назвать) средствами AVZ, он уже не обнаруживается при повторном сканировании. В присланном логе он фигурирует под именем spgm.sys. Однако, после перезагрузки компьютера он появляется снова, хотя уже и под другим именем. Выяснил закономерность его именования: s***.sys, где *** - это случайны буквы латинского алфавита. На других компьютерах после лечения и сканирования с помощью AVZ (новая 4.32) подобного не нахожу. Не исключаю, что это даже не следы Downadup.b, а что-то другое. Проблем с системой не наблюдал раньше и н наблюдаю после лечения от Downadup.b. Однако обнаружение этого модуля меня настораживает. Добавлю, что эксперименты с его "удалением" и наблюдение его "возрождения" под новым именем наблюдал при отключенной ЛВС. При попытке отправить его в карантин, утилита не ругается, однако в папке карантина он не появляется.
Извиняюсь, что забыл про скрипт лечения и карантина (завтра обязательно выполню). Скажу лишь, что более ничего подозрительного при сканировании найдено не было. Оперативно отправить не могу, т.к. на работе из-за эпидемии пока нет интернета. Приходится брать файлы домой.
Очень надеюсь на Вашу помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Autorun.inf у меня безобидный. Он - средство стилизации иконки диска после установки Vistamizer. В нем лишь только это:
[autorun]
ICON=vistadrive.ico
А на счет эмулятора дисков... Если я правильно понял, то этот зверь запускается остатком sptd.sys от удаленных DAEMON Tools. Т. е. удаляю "ручками" sptd.sys - и проблема, мучающая меня решена?
Уважаемый(ая) Tathagata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: