Показано с 1 по 5 из 5.

Неизвестный драйвер (заявка № 98352)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2011
    Сообщений
    3
    Вес репутации
    48

    Неизвестный драйвер

    Доброго времени суток, уважаемые эксперты!
    Возникли опасения на руткит. Посмотрел в IceSword'e модули ядра и обнаружил новый модуль vimfdy.sys 212992 байта, скрытый, в проводнике и Тотал коммандере не видно. Сделал дамп в AVZ, проверил на вирустотале, 2алерта. Перезагрузился, на том же месте такой же драйвер того же размера, но с другим именем - fxuvm.sys. То есть имя при каждом запуске системы случайное. В Gmer этот модуль отобразился во вкладке Malware-rootkit:
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 fxuvm.sys
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 fxuvm.sys
    К сожалению, отчетов не сохранил.
    В AVZ выполнил скрипты - "Поиск и нейтрализация Rootkit", "Сбор информации для раздела "Помогите" Virusinfo", "Сбор неопознанных и подозрительных файлов". Во время выполнения скриптов выдавались ошибки "Ошибка чтения модуля" (не помню точно, вроде так), а во время перезагрузки вылетели с ошибками все svchost.
    После перезагрузки проверил, подозрительного модуля не оказалось нигде. Зата объявился другой - pgpcqfow.sys (второй отчет скрипта AVZ).
    Перезагрузка, скрипт в AVZ (третий) и ничего лишнего вроде нет.

    Вот и вопросы:
    1. Что это за модуль ядра и как он мог попасть в ядро системы? На протяжении нескольких недель на жестком диске вообще ничего не менялось, кроме пары вордовских документов, т.е. никакое ПО не ставилось. А пару дней назад этого драйвера точно не было.
    2. Когда я запускал три скрипта, AVZ что-то поместил в карантин, но все вроде безопасное - драйвер звуковой карты, драйверы алкоголя...
    3. Что за модуль pgpcqfow.sys, который обнаруживался в папке Temp? Есть подозрения на Gmer, но хотелось бы уточнить.
    4. В разделе "автозагрузка" есть пункт о Миранде. Но ее нигде не видно в автозагрузке и тем более она не активна, как сказано в отчете. Что это значит?

    Вот логи и файлы:
    Вложение 300014 - отчет вирустотала о дампе модуля.
    Вложение 300012 - отчеты AVZ
    Вложение 300013 - дампы модулей
    Файлы, которые AVZ поместил в карантин, не влезают. (архив 4 Мб)

    Буду очень признателен за помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Доброго времени суток

    Цитата Сообщение от SergioR Посмотреть сообщение
    3. Что за модуль pgpcqfow.sys, который обнаруживался в папке Temp? Есть подозрения на Gmer, но хотелось бы уточнить.
    Гмер и есть.

    Сохраните лог Гмер, как в инструкции

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2011
    Сообщений
    3
    Вес репутации
    48
    Olejah,
    Прилагаю лог Гмера.
    Вложение 300047

    После лечения AVZ все кажется чистым, по крайней мере того подозрительного драйвера ни одна утилита больше не видит.
    Есть архив с карантином от AVZ, но он под паролем. Так должно быть? Еще была папка, но я сдуру ее удалил так что взглянуть еще раз не могу.
    Нужно ли мне выслать Вам этот архив? Он не прикрепляется из-за размера.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от SergioR Посмотреть сообщение
    Нужно ли мне выслать Вам этот архив? Он не прикрепляется из-за размера.
    Нет необходимости.

    Не вижу повода для беспокойств, никаких руткитов нет в логах.

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2011
    Сообщений
    3
    Вес репутации
    48
    Спасибо за помощь!
    Но хотелось бы немного разьяснить для себя по поводу драйвера. До скриптов Гмер выдавал такие стоки в логе, сейчас их нет:
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 fxuvm.sys
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 fxuvm.sys
    Что это значит?
    И как можно распаролить архив от авз? Мне бы хотелось взглянуть, ведь после выполнения скриптов в авз модуль перестал грузиться.

  • Уважаемый(ая) SergioR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Слетел драйвер МФУ!
      От slavik1019 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.01.2011, 00:03
    2. Драйвер
      От Ольга_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 13:23
    3. Неизвестный драйвер
      От nvhost в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.04.2010, 18:18
    4. Странный драйвер
      От Serrrgio в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 18.02.2009, 22:23
    5. Драйвер без имени
      От faye в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 08.02.2009, 21:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00085 seconds with 17 queries