Printable View
Началось с того, что NOD32 периодически вылавливал Win32/Kryptik.AYC в Temp-папке
Проверка DrWeb CureIT в безопасном режиме нашла Trojan.Mylbot.4 в файле C:\Windows\system32\pqrs.tmo, а AVZ показала на модифицированный Winlogon/Shell, где этот pqrs.tmo запускался.
С pqrs.tmo я вроде разобрался, реестр поправил, после чего сделал всё по правилам, прилагаю логи. Такое ощущение, что какая-то зараза всё же осталась...
ничего плохого не увидел ...
Меня смущает вот что:
virusinfo_syscheck.htm:
[QUOTE]
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание
sprb.sys F770F000 0FE000 (1040384)
[/QUOTE]
и virusinfo_syscure.htm:
[QUOTE]
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
spit.sys F770F000 0FE000 (1040384)
[/QUOTE]
подозрительный объект, кстати логи делались с промежутком на перезагрузку..
Кстати, этот самый sprb.sys вот здесь:
[QUOTE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F7E11CB6), перехватчик не определен
Функция NtCreateThread (35) перехвачена (8058E63F->F7E11CAC), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (805952BE->F7E11CBB), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (80592D50->F7E11CC5), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80570D64->F772DCA2), перехватчик sprb.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F772E030), перехватчик sprb.sys
Функция NtLoadKey (62) перехвачена (805AED5D->F7E11CCA), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80568D59->F77100C0), перехватчик sprb.sys
Функция NtOpenProcess (7A) перехвачена (805717C7->F7E11C98), перехватчик не определен
Функция NtOpenThread (80) перехвачена (8058A1BD->F7E11C9D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80570A6D->F772E108), перехватчик sprb.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F772DF88), перехватчик sprb.sys
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F7E11CD4), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064EC91->F7E11CCF), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80572889->F7E11CC0), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805822E0->F7E11CA7), перехватчик не определен
Проверено функций: 284, перехвачено: 16, восстановлено: 0
[/QUOTE]
sprb.sys - это дитя sptd.sys, т.е. эмулятора дисков