Подозрение на Seneka* и на какую-то нездоровую шутку
Добрый день! Благодаря Вашей замечательной программе AVZ удалось почти полностью очистить свою систему от выловленных вирусов, но осталось две проблемы.
1. AVZ пишет, что у меня на харде обитает вредоносный файл
>> Маскировка драйвера: Base=F5A21000, размер=159744, имя = "\systemroot\system32\drivers\senekaimusipjk.s ys"
, причём этот файл маскируется так, что его ни удалить, ни выловить, в логах точно есть детали об этом файле. "Прогонял" несколько раз полное сканирование системы на всех настройках по максимуму - не ловит. Как от него избавиться?
2. Время от времени, когда я работаю в Сети или просто набираю заготовки текстов в "Блокноте", компьютер совершенно самостоятельно начинает печатать в активном на данный момент поле ввода текста либо какую-либо случайную повторяющуюся последовательность букв, либо бесконечно повторяющееся слово test. Такие случаи были как до чистки системы, так и после. Можно ли как-то выловить и удалить этот "прикол"?
Логи прилагаются, снятые по всем правилам и обычаям.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Слетело переключение языка ввода текста, пишу, принудительно выставив русский основным.
Прошу прощения за задержку между логами, компьютер в этот промежуток времени не запускался.
...Что-то "скорая" запаздывает...
Последний раз редактировалось N-Guns; 22.02.2009 в 21:05.
Причина: поднимаю тему
Честно прождал почти сутки с момента ответа.
Пока ждал, "прогнал" стандартный скрипт анти-кернел анти-руткит (№1 который в списке). Переключение языка ввода текста от этого восстановилось (перезагрузки не помогали), Outpost Firewall снова будто проснулся. Алсо, в процессе загрузки моей ХР на фоне надписи "Подождите" выпрыгивает окно системного сообщения с одним-двумя чёрными квадратными иероглифами в заголовке, ещё с парой в тексте и с нормальной кнопкой ОК. Пока ОК не нажму - загрузка не продолжается.
Логи повторить?
Последний раз редактировалось N-Guns; 22.02.2009 в 21:11.
Причина: орфография
Спайбот удалил с превеликим удовольствием.
Скрипт выполнил.
Последствия прилагаю. Сделаны по всем правилам и обычаям.
Окошко, при загрузке выпрыгивающее, к слову, пока никуда не пропало... Больше, вроде, ничего подозрительного.
Сэйф мод не загрузился. Загрузка в сэйф мод была нормальной, потом высветилась досовская мессага Press ESC to cancel load SPDT.SYS .
При повторной попытке загрузки в сэйф моде загрузился почему-то в нормальном режиме. Окно с квадратными иероглифами таки выскочило.
При попытке выполнить "Диспетчер задач - завершение сеанса "Администратор" на фоне окна "Завершение работы" выпрыгнуло знакомое окно, без иероглифов, но с такой инфой.
Заголовок окна: \какие-то символы\1033tts.lxa\какие-то символы\
Содержимое окна: \какие-то символы\00000001:0000006C:\\?\pci#ven_8086&dev_24d 5&subsys_82121565&rev_02#3&13coboc5&0&fd#6994ad0 4-93\дальше не успел записать, а скопировать в буфер обмена не догадался от офигения, каюсь\
И всё та же кнопка ОК.
После этого появилось штатное окно логина в систему. Залогинился. Аутпост Фаерволл заголосил, что через svchost.exe в Сеть хотят выйти сразу несколько приложений (Эксплорер, Авира АнтиВир, soundman.exe и ещё что-то, на автопилоте блокировал), все 4 заблокировал фаерволлом. Выскочило ещё одно предупреждение от Аутпоста, что некое приложение хочет получить над чем-то контроль, заблокировал. Результат: опять слетело переключение языка ввода текста (приходится опять принудительно переключать и английский текст набирать в отдельном окне "Блокнота"). Пока, вроде, больше ничего не стряслось.
Прочесал автозагрузку и через msconfig, и через соответствующий пункт меню AVZ. В автозагрузке нету ни того, ни того. Зато SPTD.sys есть в c:\windows\system32\drivers . Дата создания 18-07-2006, дата последнего изменения почему-то 07-01-2009 0_о
Перезагрузился. Outpost Firewall не рыпается, переключение раскладки клавиатуры работает нормально. Окошко с квадратными иероглифами таки появляется. Сэйф мод не запускается.
Выполнил скрипт.
В процессе выключения комп завис, пришлось вручную перезагружать.
Сразу при загрузке F8 - safe mode
Сообщение "Press ESC to cancel load SPTD.SYS" таки выскочило, но компьютер таки загрузился в сэйф моде без каких либо нажатий клавиш. Знакомое окно с квадратными символами таки появилось.
Из новых процессов появился c:\windows\system32\wbem\wmiprvse.exe . AVZ на него ноль внимания.
Загрузился в нормальный режим. И в нормальном режиме при загрузке тоже появляется это окно. И без wmiprvse.exe , нет его в диспетчере задач. Всё остальное стабильно, раскладка клавиатуры переключается нормально и в сэйф, и в норм режимах, самопечатающиеся буквы тоже перестали проявляться.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: