После борьбы с "антиштрафом" и парой других мелких зловредов уперся в то, что не могу избавиться от
внедренного модуля ядра. Имя при каждой перезагрузке меняется выглядит как spXX.sys.
Авира, ДРвеб, Касперские, его не видят.
Сам не справился с логикой UVS-a. Такое впечатление, что зараза живет и при загрузке с флэшки(WinPe+UVS).
Проявляется куча отсутствующих файлов при анализе автозагрузки.
Виртуализация реестра показывает наличие еще нескольких веток в HKLM с неудобоваримыми именами. AnVir task manager "видит" его в драйверах. Удалось сделать дамп данного модуля GMER-ом и АВЗ. Четыре из 45 на Вирустотал что-то заподозрили.
Блокируется запуск CureIt (ошибка 1722), зависает VBA32.
В общем, или паранойя или новый зверский руткит. Отладчиком пройтись не могу -- квалификации не хватает.
Это не на основном рабочем месте, поэтому буду выскакивать с 18:00 и делать, что скажете.
С уважением, Макс Тараненко.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Maxim Taranenko, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
thyrex, спасибо! Уже легче.
Вроде демон тулза на машине нет.
Что мне тормознуть, что бы убедиться, что это не маскировка под эмулятор, SPTD.SYS?
Интересно, что они курили, что бы так грубо "входить в ядро"?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: