Скрытый руткит

[Jsilv]

Здравствуйте. Прошу помочь разобраться с хитрым вирусом руткитом. Поймал сегодня, полагаю что из этих файлов:
первая ссылка на virustotal
Вторая

Cureit результатов не дал.

Логи avz, hijack прилагаю

[Rene-gad]

- В логах ничего подозрительного.
Подозрительные файлы найдите с помощью АВЗ (Меню Сервис//Поиск файлов) и пришлите по правилам Приложение 3

[Jsilv]

Прошу прощения, не совсем понял, что нужно сделать.Когда я захожу в меню сервис-поиск файлов AVZ просит задать критерии поиска. В правилах не нашел пункта касательно подозрительных файлов.

Немного расскажу о том как возникли подозрения. Дело в том, что с AVZ я знаком давно, и периодически проверяю систему с функцией Anti-Rootkit.
При обычной проверки этой части лога никогда не было:
moderated::: *Логи нужно прикрепить к теме вложениями (а не запостить в теме).
*Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
Так же проверяю периодически систему программой svv вот этой .
При проверке она всегда выдавала уровень опасности 0-Blue.
В этот раз появилось следующее :
moderated::: *Логи нужно прикрепить к теме вложениями (а не запостить в теме).
*Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.

[Rene-gad]

Когда я захожу в меню сервис-поиск файлов AVZ просит задать критерии поиска.

Те файлы, которые Вы проверяли на Вирустотал, пришлите нам. Критерий поиска - имя файла.

В правилах не нашел пункта касательно подозрительных файлов.

Приложение 3. Как прислать запрошенные файлы правил раздела Помогите.

При обычной проверки этой части лога никогда не было

Всегда была. По крайней мере - сколько я помню АВЗ.

Так же проверяю периодически систему программой svv вот этой

Я эту программу не знаю. Почему Вы доверяете ей больше, чем какой-то другой?

При проверке она всегда выдавала уровень опасности 0-Blue.
В этот раз появилось следующее :

Код:

ntdll.dll            (7c900000 - 7c9b0000)... innocent hooking

innocent hooking - безобидный хук

[Jsilv]

Запрошенные подозрительные файлы отправил через форму вверху темы.

Всегда была. По крайней мере - сколько я помню АВЗ.

Я естественно не спец. Но вот просто если пройти поиском в гугле по строчке из лога
>>CopyFileA перехвачена, найдется всего несколько ссылок, одна из которых на эту тему. Это позволяет косвенно предположить, что сообщение нетипичное.

В то же время если поискать что то вроде >>IRP перехватчик не определен, сообщение которое появляется у многих, найдется уже более 1500 результатов.

Я эту программу не знаю. Почему Вы доверяете ей больше, чем какой-то другой?

Написал про нее на всякий случай, подумал, что чем больше информации тем вам проще, читал про нее в одной статье, которая упоминается также на этом форуме.

innocent hooking - безобидный хук

Перевод понятен. Почему меня это смутило - дело в том что я буквально два дня назад этой же программой проверял систему, и ничего подобного не было. AVZ тоже тогда же пользовался, и совершенно уверен, что таких сообщений в логе не было.

Добавлено через 2 часа 9 минут

Разобрался. Прошу прощения за паранойю svv выдала что обращения шли к cmdguard.dll, недавно установленный Comodo Firewall ввел в заблуждение. После удаления Comodo ни в AVZ ни в svv вышеуказанных подозрительных записей не появляется.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены