Подозрение на остатки от Win32/Rootkit.Agent.ODG. Пожалуйста, помогите.

[ksand]

Подключала внешний HDD, после подключения получила странное сообщение от spoolsv.exe(к сожалению, сразу не сохранила, а больше оно не повторилось), обнаружила на всех дисках autoran.inf, тут же диск отсоединила, из безопасного режима запустила CureIt! от 28.05.09, он автораны убил, больше ничего не нашел.
Так как на домашней машине интернет не подключен, то больше ничего не делала.
Но потом выяснилось, что тот диск подключали к машине, где был Win32/Rootkit.Agent.ODG.
Скачала последний AVZ, он в расширенном режиме сканирования пишет.

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=B7A67000, размер=86016, имя = "\SystemRoot\System32\VGA.dll"
Поиск маскировки процессов и драйверов завершен
Ошибка загрузки драйвера - проверка прервана [C0000034]

Это немного смущает.

Может, уже перестраховываюсь, но очень не хочется стать дальнейшим разносчиком заразы, Пожалуйста. посмотрите, не осталось ли огрызков от Win32/Rootkit.Agent.ODG?

Логи AVZ и Hijack(кажется, сделала по правилам).

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
 QuarantineFile('L:\WINNT\System32\VGA.dll','');
 QuarantineFile('L:\WINNT\system32\autorun.exe','');
end.

Пришлите карантин, как написано в правилах.

Думаю, эти файлы чистые.

[ksand]

Спасибо за оперативность, файл карантина пришлю завтра.

[ksand]

Файл сохранён как 090602_094115_virus_4a24bb7b9ace3.zip
Размер файла 25560
MD5 872246076a7b7652f966212fa0b0b8ca

Карантин высылаю.

Но vga.dll не попадает в карантин никакими методами (ни счерез скрипт, ни через "добавить по списку". Пишет "процесс добавления запущен-процесс добавления завершен", не выдает никаких ошибок, но сам файл в карантине не появляется).
Заархивировала его в "обычный" архив, но не знаю, как теперь прикрепить в тему.

Пожалуйста, если все в файлах нормально, напишите тоже!

Добавлено через 5 часов 0 минут

Эмм... Так все таки, мне можно считать, что в системе ничего вредоносного нет?

[Bratez]

Как ни странно, вредоносного кода в этом autorun.exe не обнаружено, хотя такой объект автозапуска да еще из системной папки выглядит более чем подозрительно. Я предлагаю пофиксить в HijackThis:

Код:

O4 - HKLM\..\Run: [Soltek] L:\WINNT\system32\autorun.exe

Больше ничего подозрительного не видно. Маскировка vga.dll на Win2k всегда вылазит, это нормально. Файл не идет в карантин видимо потому, что он проходит по базе безопасных.

[ksand]

light59, Bratez -Спасибо!
[Soltek] L:\WINNT\system32\autorun.exe - это появилось сразу после установки драйверов на солтековский чипсет(с диска для материнки), так что, если нет вредоносного ничего, то пока оставлю.
Еще раз спасибо!(+1)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены