-
Junior Member
- Вес репутации
- 51
Запуск драйвера INSTB32.SYS
Беспокоит странная активность некоторых программ.
Сначала обнаружил повторяющееся событие в логах каспера:
09.07.2010 8:46:37 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
08.07.2010 0:01:29 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
06.07.2010 23:22:49 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
05.07.2010 18:22:09 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
04.07.2010 11:14:05 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
03.07.2010 3:42:24 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
01.07.2010 20:17:19 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
30.06.2010 9:38:46 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
29.06.2010 1:14:15 Разрешено: Запуск драйвера Отсутствует Запуск драйвера C:\INSTB32.SYS Запуск драйвера
(никаких INSTB32.SYS в корне и вообще на дисках нет)
Связать запуск с каким-либо событием не могу. Путем анализа выяснил, что в запуске участвуют C:\WINDOWS\system32\instg32.exe и C:\WINDOWS\system32\instsrv.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Подозрение есть на руткит -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\lers\LOCALS~1\Temp\iatmunin.sys','');
DeleteFile('C:\DOCUME~1\lers\LOCALS~1\Temp\iatmunin.sys');
DeleteService('iatmunin');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи + лог Гмер
-
-
Junior Member
- Вес репутации
- 51
Сделано.
Гмер качнуть не могу:
-
Junior Member
- Вес репутации
- 51
Качнул Гмер, но он аварийно закрывается...
-
Антивирус выгружали, закрывается во время проверки?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Антивирус выгружали, закрывается во время проверки?
Да, антивирь выгружать пробовал. Гмер начинает сканирование, и через пару секунд вываливается.
-
Для Вас не сложно будет попробовать такой лог сделать? - http://virusinfo.info/showthread.php?t=78057
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Вот.
-
Junior Member
- Вес репутации
- 51
плиз хелп
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfsync02.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a6yyimzh.SYS','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Сделайте ещё раз логи АВЗ, теперь с драйвером расширенного мониторинга, он будет включён после перезагрузки.
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось pig; 16.07.2010 в 05:33.
Причина: карантин в теме неуместен
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-