sp??.sys - Вирус?

[Termar]

Похоже, что в систему проник вирус.

Симптомы:

1.2 Поиск перехватчиков API, работающих в KernelMode
Функция NtCreateKey (29) перехвачена (80623786->B9EAA0E0), перехватчик sphc.sys
...
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC819A), перехватчик sphc.sys

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A6461F8 -> перехватчик не определен
...
\FileSystem\ntfs[IRP_MJ_PNP] = 8A6461F8 -> перехватчик не определен

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "ithzsgir"
...
>>> Подозрение на маскировку ключа реестра службы\драйвера "xhlbmgs"

Файл sphc.sys в системе отсутствует и в карантин, соответственно не помещается. Однако в прошлую загрузку системы ссылки были на файл spez.sys. Этого файла в системе тоже нет.
Дампы сделать удалось, они различаются в 168 байтах из мегабайта с лишним.

[AndreyKa]

sp??.sys - Подозрение на RootKit, Перехватчик KernelMode .
Выполните Правила.

[Termar]

С помощью отложенного удаления удалось удалить sptd.sys, после чего нераспознанных перехватов не осталось.
Однако остались подозрения на маскировку ключа реестра службы\драйвера.

[thyrex]

Лог gmer сделайте

[Termar]

Лог gmer сделайте

Вот:

[Белый Сокол]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 5gqgq2v9.exe (gmer)

Код:

5gqgq2v9.exe -del service ithzsgir
5gqgq2v9.exe -del service izqboj
5gqgq2v9.exe -del service katfqlo
5gqgq2v9.exe -del service knkfmddg
5gqgq2v9.exe -del service ndojbevu
5gqgq2v9.exe -del service odwmkkvk
5gqgq2v9.exe -del service skrdz
5gqgq2v9.exe -del service urykmxjdh
5gqgq2v9.exe -del service vdmbrgzek
5gqgq2v9.exe -del service wbpapsch
5gqgq2v9.exe -del service wvhfdwse
5gqgq2v9.exe -del service xhlbmgs
5gqgq2v9.exe -del file "C:\WINDOWS\system32\qubxfvfk.dll"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xhlbmgs"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xhlbmgs"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xhlbmgs"
5gqgq2v9.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится.

Повторите лог гмер.

[Termar]

На команду

Код:

5gqgq2v9.exe -del file "C:\WINDOWS\system32\qubxfvfk.dll"

была диагностика "Не найден указанный файл",
а на команды

Код:

5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ithzsgir"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\izqboj"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\katfqlo"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\knkfmddg"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndojbevu"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\odwmkkvk"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\skrdz"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\urykmxjdh"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vdmbrgzek"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wbpapsch"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wvhfdwse"
5gqgq2v9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xhlbmgs"

диагностика "Не найден указанный модуль".

Однако всё, похоже, удалилось.
Regedit и AVZ эти ключи не показывают.

[Белый Сокол]

Хорошо, теперь сделайте новые логи AVZ + HjT.

[Termar]

Логи:

[Белый Сокол]

Это сами добавляли в хостс?

Код:

127.0.0.1	static.bannerbank.ru
127.0.0.1	www.tns-counter.ru
192.168.1.31	infotech.akadem.ru

В логах ничего плохого не заметил. Жалобы есть?

[Termar]

Да, сам - чтобы убрать самые надоедливые баннеры.
И сделать прямой доступ к компу с нашим форумом.

Жалоб больше нет. Большое спасибо.