Показано с 1 по 7 из 7.

Подозрительный драйвер (заявка № 125879)

  1. #1
    Junior Member Репутация
    Регистрация
    17.10.2012
    Сообщений
    3
    Вес репутации
    42

    Подозрительный драйвер

    Извините, что пишу с нового аккаунта, но существует риск, что мой компьютер заражен кейлоггером и потому, чтобы не усугублять проблему, я решил зарегистрировать новый акк.

    И так. Суть проблемы. Несколько дней назад я оказался на самом переднем фронте антивирусной войны - мой компьютер был заражен новой модификацией вируса, которая на тот момент была известна только 3 антивирусам и 20 самых популярных. Обнаружилось это по смене иконки флэшки, а флэшка до этого была 100% чистой. Проверка флэшки подтвердила опасения, однако лицензионный антивирус Dr.Web с самыми последними базами не смог опознать вирус. Проверка утилитой AVZ, которую я делаю регулярно, показала, что появились новые перехватчики функций работы с файловой системой, а так же был подменен диспетчер задач.

    Вирус был отправлен на исследование и спустя менее чем сутки был добавлен в вирусную базу и удален с моего компьютера. Он оказался простым флэшкомарателем. Однако после него остались весьма подозрительные следы. В списке модулей ядра периодически(чаще всего после длительной работы с компьютером) появляется подозрительный драйвер, а вместе с ним и сообщения о перехвате функций файловой системы в логе AVZ. Подозрительный он потому, что у него рандомное имя и грузится он из папки "Local Settings\Temp", что характерно для вирусов. Проблема заключается в том, что ни удалить его, ни поместить в карантин я не могу, так как указанного файла(даже скрытого) там попросту не оказывается, что наталкивает меня на мысль, что он каким то образом себя защищает.

    Многократные проверки всего компьютера как антивирусом, так и специальными утилитами ничего не выявили. А моя душа не спокойна, пока существует вероятность, что в моей системе где-то сидит кейлоггер или еще не дай бог криптор. Я бы конечно снес систему, чтобы мне было спокойнее, но я решил все таки сначала спросить совета у вас. Врага нужно не избегать, а побеждать. Проблема в том, что данный драйвер пропадает при перезагрузке компьютера и на момент сканирования его не не было. Скорее всего он появляется при определенной деятельности на компьютере. Если понадобится, то я сделаю повторное сканирование, если он снова появится.

    А пока что вот логи AVZ и HijackThis.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) TempAccount, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    - Сделайте лог полного сканирования MBAM.


  5. #4
    Junior Member Репутация
    Регистрация
    17.10.2012
    Сообщений
    3
    Вес репутации
    42
    Сделал
    Вложения Вложения
    Последний раз редактировалось TempAccount; 18.10.2012 в 15:45.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM:
    Код:
    C:\System Volume Information\_restore{85183C4F-8EB2-4624-879B-348A81E0E7B4}\RP555\A0259690.exe (Trojan.Agent) -> Действие не было предпринято.
    D:\WINDOWS\gendel32.exe (Trojan.Agent) -> Действие не было предпринято.
    G:\Documents and Settings\Система\Local Settings\Temp\513964.exe (Trojan.Inject) -> Действие не было предпринято.G:\System Volume Information\_restore{A822D7B1-7680-45C1-A2FB-A9665FC74110}\RP84\A0024595.exe (Trojan.Inject) -> Действие не было предпринято.
    G:\System Volume Information\_restore{A822D7B1-7680-45C1-A2FB-A9665FC74110}\RP84\A0025582.exe (Trojan.Inject) -> Действие не было предпринято.
    Больше ничего необычного.

    Удалите старые точки восстановления и создайте новую.


  7. #6
    Junior Member Репутация
    Регистрация
    17.10.2012
    Сообщений
    3
    Вес репутации
    42
    Удалил. Тока сначала удалил точки восстановления, т.к. сканирование идет долго и я не успел это сделать вчера, потому 2 из 5 файлов были удалены вместе с точкой восстановления.

    Требуется еще что-нибудь? Просто когда я пробил этот вирус еще в первый день по virustotal, то в описании было написано, что вирус возможно имеет функции кейлоггера. По классификации Dr.Web я название точно не скажу, но Win32 и Autorunner там точно было и в описании ничего не было про функцию кейлоггера. Какова вероятность, что что-то могли упереть? Стоит ли поменять все пароли?
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от TempAccount Посмотреть сообщение
    Стоит ли поменять все пароли?
    Меняйте.


  • Уважаемый(ая) TempAccount, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Драйвер
      От Ольга_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 13:23
    2. Какой-то подозрительный скрытый драйвер
      От taishigo в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.10.2009, 20:55
    3. Подозрительный драйвер drmkaud.sys
      От cartesius в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 09:22
    4. Подозрительный драйвер (дубль 2)
      От p1o9o6h6 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:35
    5. GMER 1.0.13 Подозрительный драйвер.
      От p1o9o6h6 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.10.2007, 11:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00886 seconds with 18 queries