уже давно сидит что-то. почувствовал после того, как Maxthon стал неустойчивым в инете, подвисать... к слову сказать другие (навигатор и гугловский хром) более устойчивы и ведут себя нормально.
попытка провериться в безопасном режиме, загрузившись в флешки ERD командером - ничего нет. в частности свежий сurit ничего не нашел. он лайн панда - тоже. но!загрузить онлайн каспера не могу. после нажатия явовской кнопки закрыть - попап закрывается, но нажатие принимаю (или продолжить) - ноль эмоций.
имеем некий spaz.sys безимени и пути, который как я понимаю создает иные *.sys (4 буквы, случаные), которые перехватывают некие функции.
недавно появился еще и modmgaco.sys. когда успел? вроде ничего не инсталил...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
прикладываю простой лог
и бонус, не знаю, нужен или нет
вот копия письма роботу
Файл сохранён как 090325_104240_virusinfo_files_LIGE_49c9e070a68f5.z ip
Размер файла 20195205
MD5 4474320cef3633773b7b5ade29041b60
небольшой комментарий, возможно поможет
все что лежит в d:\EWA net\ и d:\opt\ - дилерские программы мерседес
tbmux32.exe - субдб от transBase
tomcat.exe - апачевый сервер
это две версии программ, но обе лицензируются через привязку к МАС сетевухи
все что лежит в c:\program files\thinkpad\ - это родные дрова к моему н.буку. но брал я их уже с винта, а не на диске.
вот это c:\WINDOWS\System32\QCONSVC.EXE тоже оттуда, имхо.
весьма тревожит вот это: Ошибка карантина файла, попытка прямого чтения (spaz.sys)
ибо такого нет. даже загрузившись в флешки erd'ом я не могу такого найти. модуль пространства ядра по avz
и есть руткит процесс, каждый раз новое имя для драйвера, случайный набор букв, тоже четыре. лечение avz результата не дает - говрит, что исправлено, но после перезагруза все по новой.
кроме того дисп служб и драйверов находит незапущенный modmgaco.sys, группа PNP_TDI, пути нет, файла нет
вот это не поместилось в карантин даже после прямого чтения
\Program Files\DAEMON Tools\daemon.dll (каспер сегодня сказал чисто,
проверял загружая файл на их сайт)
\System32\Drivers\dump_atapi.sys (любопытно, но я не нашел файла)
\System32\Drivers\dump_WMILIB.SYS (не нашел)
хотя мне помнится, что раньше я их видел. ложная память?
deskpan.dll (ясно дело не нашел)
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServe r {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} (каспер - чисто)
System
PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE (каспер - чисто)
в догонку - хотя в логе и написано что функция восстановлена успешно, и перехват нейтрализован - после перезагрузки все по новой. только имя драйвера другое
запустил скрипт - все осталось по прежнему. карантин слать? если да - то все 4 файла?
если это эмулятор, то может это vfd.sys - виртуалный привод дискет?
любопытно, что такой же неведимка был на компе друга, я ставил прчти все то же, что и себе , но я ему виртуалку не ставил...
Добавлено через 6 минут
myokent - это давно как то скачаный дравер миди звука для дос игрух под хр.
что-то в этом духе, уже забыл. каспер онлайн сканер сказал все чисто. поскольку файл старый, думаю он чист. неможет быть, чтобы не вылезло наружу давно. хотя, как знать
Добавлено через 6 минут
кстати, а что такое modmgaco ? AVZ сослался на modmgaco.sys, но такого нет. есть прописи в реестре но хайджек их убрать не может. могу их убрать загрузившись с флешки, но нужно ли? раньше их точно не было. откуда взялись - сказать сложно. помню, что ставил виртулаьные принтеры для печати в pdf документ. больше вроде не ставил ничего.
Последний раз редактировалось Lige; 26.03.2009 в 12:06.
Причина: Добавлено
под выгрузкой я имел ввиду удаление из загрузки.
нашел монстра. как ни странно это SPTD.sys
файл демонтулза. после его "выгрузки" перехваты пропали.
можно дышать спокойно, НО... чтоже тогда случилось год назад с макстоном, что он стал тупить и вешаться?... боюсь этого я уже не узнаю.
за внимание и помощь - спасибо, мне бы без подсказки и в голову не пришло его выгрузить, хотя он и не в доверенных файлах
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
нечто невидимое, создающее подставные левые драйвера ????.sys
