Здравствуйте!
Не могу вывести вирус. Windows XP EN SP2. Все началось с перехода на бесплатный аваст с месяц назад. Была скачана последняя версия, настроена и проходило ежедневное обновление баз. Однако, в один прекрасный день после появления рабочего стола виндоуз стал "выпадать" в синий экран. Причина гласила DRIVER_IRQL_LESS_OR_EQUAL, а вот имя проблемной библиотеки было странным и каждый раз разным. Например: h.sys, xvuy.sys, 18.sys, bu.sys. Я заподозрил неладное.
Зашел в Save Mode - все окей. Запустил msconfig - выключил все немайкрософтовские службы и программы при логоне. Перезагрузился в нормальном режиме - синего экрана не было. Скачал последний CureIt и проверил все на максимальных настройках. DrWeb нашел следующее:
tio8x6.cmd; c:\;Trojan.MulDrop.6474;
tio8x6.cmd; d:\; Trojan.MulDrop.6474;
tio8x6.cmd; l:\; Trojan.MulDrop.6474;
tio8x6.cmd; m:\; Trojan.MulDrop.6474;
tio8x6.cmd; s:\; Trojan.MulDrop.6474;
tio8x6.cmd; x:\; Trojan.MulDrop.6474;
amvo.exe;C:\WINDOWS\system32;Trojan.MulDrop.6474;
amvo.exe;D:\;Trojan.MulDrop.6474;
7k7codj.dll; C:\Documents and Settings\Roman\Local Settings\Temp; Trojan.Nsanti.Packed
h.sys; C:\Documents and Settings\Roman\Local Settings\Temp; Trojan.NtRootKit.551
Вот он и нашелся мой h.sys, подумал я... В реестре в RUN был найден вызов amvo.exe, тут же удален. Больше ничего подозрительного не нашел. Далее я скачал пробную версию касперского, обновил базы и прошелся еще раз с максимальными настройками. Касперский нашел еще C:\WINDOWS\system32\amvo0.dll. Причем и его и все файлы, перемещенные вебом в карантин он определял как вирус Worm.Win32.AutoRun.bpn.
Теперь я замечаю три странных вещи:
1) При загрузке системы появляется окно Dial-up Connection, источник которого я не нашел. Process Explorer показывает, что окно пренадлежит процесу explorer.exe.
2) При проверке цифровых подписей Process Explorer не верифицирует подпись winlogon.exe, хотя все остальные стандартные процессы верифицированы. Странных процесов и потоков под винлогоном я сам не вижу.
3) Вирус сбросил настройку проводника об отображении скрытых файлов (у меня всегда отображение было включено). При попытке вернуть настройку все проходит нормально, но ничего не меняется. Когда снова идешь в настройки вида - выбрано не отображать.
Подскажите, пожалуйста, нормально ли то, что я перечислил в конце и стоит ли дальше искать заразу?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поясните, пожалуйста, в паре предложений что поправил AVZ последним скриптом? Winlogon.exe по прежнему не верифаится процес эксплорером, и теперь к нему присоединилась пара свхостов. Это нормально?
З.Ы. Где можно почитать про эти команды более подробно?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: