Два файла со случайными именами в реестре

День добрый!

И опять моя Авира пропустила что-то.

С утра проверил загрузочный список через OSAM - два каких-то .sys с явно случайными именами. Убрал из реестра средствами OSAM, перезагрузился. Старые записи исчезли, появились новые две!

никакой особенной активности я за последнее время не заметил (кроме пару раз падавшего ни с того ни с сего Windows Explorer), но случайные записи в реестре, да ещё и возобновляющиеся - странно это что-то.

Да, Avira нашла ночью в System Restore прописанный троян, вот строчка из репорта:
[QUOTE]C:\System Volume Information\_restore{8D429B78-E2DF-411E-AF28-9C012811A60C}\RP14\A0009570.exe
[DETECTION] Is the TR/Gendal.3081945 Trojan
[NOTE] The file was moved to the quarantine directory under the name '4ea28afa.qua'.[/QUOTE]Ни CureIt ни AVZ ничего не нашли.
Логи прилагаются.

ПОмогите, пожалуйста, убрать эту кутерьму, а то кто его знает чем оно живет.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\efs\search.exe','');
QuarantineFile('C:\WINDOWS\HKExt3.exe','');
QuarantineFile('C:\WINDOWS\system32\vscapi.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

исполнено :)

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]

Готово.
Странные вещи он определяет в инфекцию.

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Files Infected:
C:\Documents and Settings\Alexander\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.[/CODE]

- Больше подозрительного нет.

Опа, я закрыл скан :(

Можно их как-то удалить по-другому, не прибегая к повторному сканированию?

Можно руками.

Удалил.

Симптомы на месте: две новых записи в реестре, самих файлов, на которые записи ссылаются, как и ранее на месте нету (см. прилагающийся лог OSAM)

Ощущение, что оно оставляет записи в реестре для автозапуска, потом запустившись стирает старые файлы и кладёт себя куда-то ещё.

А может я перестраховываюсь? Но на легитимное поведение это ни разу не похоже.

...самый новый (по мнению Windows Explorer) файл в System32/drivers - [B]vdm1mte0.sys[/B], датирован вчерашним днём. И кажется я его вчера удалял (или кого-то, очень на него похожего).

"OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по [B]ac1cj7ed[/B] и [B]arzwddrl[/B] и выберите [B]"Turn Run Off"[/B]. Перезагрузку подтвердите.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\ac1cj7ed.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\arzwddrl.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Гм, OSAM не спрашивает про перезагрузку. Это нормально?
После перезагрузки старые записи остались в базе OSAM (из реестра удалены), но появились новые две. Может быть это вообще всё потому, что он не делает перезагрузку сам?

Я не стал выполнять скрипты, потому что не уверен про перезагрузку OSAM. Есть какие-нибудь настройки, чтобы он сам просил перезагрузку?

Выполните скрипт АВЗ, нужно получить эти файлы, чтобы проанализировать их.

Опс. прошу прощения, загрузил старый quarantine. Сейчас исправлюсь....

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Ага, другой загрузить не получается, видимо нужно от Вас запрос или что-то в этом роде, сделайте, пожалуйста.
Прошу прощения за неудобства.

Запроса никакого не нужно. Давайте поступим так - сможете эти два драйвера запаковать в zip-архив с паролем [B]virus[/B] и прислать по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы?

...ссылка "прислать каратнин" открывалась в уже существующей вкладке, а фокус туда не перемещался и казалось, что ничего не происходит. Отправил карантин.

Сами драйверы я не могу найти, и OSAM говорит, что их нету - ссылки в реестре есть, а файлов нету. Может быть они так хитро hidden что их не видно. Не уверен, что именно ушло в карантин, файл очень маленький.

Могу ошибаться, но думаю, что файлы он использует чтобы запуститься при перезапуске и тут же их сам удаляет. Правда, не очень понимаю, в какой момент он тогда создаёт записи в реестре, может быть при выключении системы? То есть, если просто выключить рубильник, то новых не будет?.. Не знаю.

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 19 минут[/I][/B][/color][/size]

...простите, а второй карантин дошёл?

Не пошли драйвера в карантин, не хотят. Правильно ли я понимаю - сейчас у проблемных драйверов другие имена?

Почти правильно.

У записей в реестре - другие имена. А самих драйверов, ни под старыми ни под новыми именами, в соответствующих папках нету.

В командной строке dir /a:h *.sys - ничего особенного не показывает.

Куда-то он себя пишет в другое место, видимо.

А наличие драйверов проводником смотрели? Если да - то попробуйте поиск АВЗ - Сервис - Поиск файлов на диске.

И проводником, и cmd, и теперь ещё и AVZ - нету :(