-
sp??.sys - Вирус?
Похоже, что в систему проник вирус.
Симптомы:
1.2 Поиск перехватчиков API, работающих в KernelMode
Функция NtCreateKey (29) перехвачена (80623786->B9EAA0E0), перехватчик sphc.sys
...
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC819A), перехватчик sphc.sys
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A6461F8 -> перехватчик не определен
...
\FileSystem\ntfs[IRP_MJ_PNP] = 8A6461F8 -> перехватчик не определен
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "ithzsgir"
...
>>> Подозрение на маскировку ключа реестра службы\драйвера "xhlbmgs"
Файл sphc.sys в системе отсутствует и в карантин, соответственно не помещается. Однако в прошлую загрузку системы ссылки были на файл spez.sys. Этого файла в системе тоже нет.
Дампы сделать удалось, они различаются в 168 байтах из мегабайта с лишним.
-
[url=http://virusinfo.info/showthread.php?t=48398]sp??.sys - Подозрение на RootKit, Перехватчик KernelMode [/url].
Выполните [url=http://virusinfo.info/pravila.html]Правила[/url].
-
Вложений: 3
sptd.sys удалился
С помощью отложенного удаления удалось удалить sptd.sys, после чего нераспознанных перехватов не осталось.
Однако остались подозрения на маскировку ключа реестра службы\драйвера.
-
Лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] сделайте
-
Вложений: 1
[QUOTE=thyrex;455377]Лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] сделайте[/QUOTE]
Вот:
-
Сохраните текст ниже как [B]cleanup.bat[/B] в ту же папку, где находится 5gqgq2v9.exe (gmer)
[CODE]5gqgq2v9.exe -del service ithzsgir
5gqgq2v9.exe -del service izqboj
5gqgq2v9.exe -del service katfqlo
5gqgq2v9.exe -del service knkfmddg
5gqgq2v9.exe -del service ndojbevu
5gqgq2v9.exe -del service odwmkkvk
5gqgq2v9.exe -del service skrdz
5gqgq2v9.exe -del service urykmxjdh
5gqgq2v9.exe -del service vdmbrgzek
5gqgq2v9.exe -del service wbpapsch
5gqgq2v9.exe -del service wvhfdwse
5gqgq2v9.exe -del service xhlbmgs
5gqgq2v9.exe -del file "C:\WINDOWS\system32\qubxfvfk.dll"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xhlbmgs"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xhlbmgs"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xhlbmgs"
5gqgq2v9.exe -reboot[/CODE]И запустите [B]cleanup.bat[/B]. Компьютер перезагрузится.
Повторите лог гмер.
-
Вложений: 1
На команду
[CODE]5gqgq2v9.exe -del file "C:\WINDOWS\system32\qubxfvfk.dll"[/CODE]
была диагностика "Не найден указанный файл",
а на команды
[CODE]5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xhlbmgs"[/CODE]
диагностика "Не найден указанный модуль".
Однако всё, похоже, удалилось.
Regedit и AVZ эти ключи не показывают.
-
Хорошо, теперь сделайте новые логи AVZ + HjT.
-
Вложений: 3
-
Это сами добавляли в хостс?
[CODE]127.0.0.1 static.bannerbank.ru
127.0.0.1 www.tns-counter.ru
192.168.1.31 infotech.akadem.ru[/CODE]
В логах ничего плохого не заметил. Жалобы есть?
-
Да, сам - чтобы убрать самые надоедливые баннеры.
И сделать прямой доступ к компу с нашим форумом.
Жалоб больше нет. Большое спасибо.
Page generated in 0.00007 seconds with 10 queries