AVZ говорит - Маскировка драйвера: Base=BF8C4000, размер=86016, имя = "\SystemRoot\System32\VGA.dll". Перехвата нет. Сама эта .длл вроде родная. NOD и CureIt молчат. AVZ в процессе работы скриптов мнооого чего 'почистил' (особенно подозрительность к MSDN порадовала), но маскировка осталась.
Из прочего процесс IE остается в памяти после закрытия окна.
Что это ???
Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ой... Я тут пока суть да дело temp почистил, а Hiew32.exe NOD удалил. Но после перезагрузки в temp появился файл tmp44.tmp - не дается - кем-то заблокирован.
Выполнил аналогичный скрипт для этого файла. Перегрузился. Файла нет. Карантин пуст. Гадость на месте. Сделал новый лог исследования системы. Прилагаю...
Последний раз редактировалось Rene-gad; 03.10.2008 в 18:28.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
2 Rene-gad >
- закрыл\выгрузил (NODа просто закрыл, службу не останавливал - не знаю правильно-ли...)
- отключил (кроме сист.восстановления - win2k не знаю как - не описано)
- скрипт выполнил
- очистил
- снял новые логи. Шлю вместе с карантином.
PS часто видел чтобы эвристика ругалась на компилированные VB файлы. От греха все удалил.
СТРАННО, но файл bcqr00001.dta содержащий эту vga.dll ни в какую не хотел добавляться в архив средствами AVZ
ДОБАВИЛ его туда руцями поетому он без пароля.
Относительно notify2.dll - это зверь или не зверь??? В теле есть ссылки типа winsta0\default \tpfnf2.exe /RESTORE SOFTWARE\IBM\TPHOTKEY
что намекает на то, что эта длля часть IBM TrackPoint Software установленного на моем буке.
если это не зверь, то я ее лучше на место положу, а то TrackPoint работать не будет или еще че...
Так же добавил в карантин ручками два странных на мой взгляд файла
C:\WINNT\SYSTEM32\~.exe
C:\WINNT\SYSTEM32\9C983277D1.dll
Антивирусы на них не ругаются, но выглядят они однако странновато...
vga.dll не хотел добавляться в архив средствами AVZ из-за того, что он в базе безопасных файлов.
C:\WINNT\SYSTEM32\9C983277D1.dll - мусор
C:\WINNT\SYSTEM32\~.exe - поврежден
По поводу C:\WINNT\System32\notifyf2.dll пишут: http://www.castlecops.com/o20list-201.html что это компонент ПО для ноутбуков Thinkpad.
Вобщем понял:
vga.dll - нормальная длл
C:\WINNT\SYSTEM32\9C983277D1.dll, C:\WINNT\SYSTEM32\~.exe - мусор оставшийся возможно от предыдущей деятельности вирусов\анивирусов или еще чего - угрозы не представляет - удалить и забыть
C:\WINNT\System32\notifyf2.dll - ложу на место - у меня как раз ThinkPad
НЕ ПОНЯЛ:
КТО И ЗАЧЕМ У МЕНЯ МАСКИРУЕТСЯ. МОЖЕТ ГЛЮК AVZ ??? МОЖЕТ ТАК ДОЛЖНО БЫТЬ ??? МОЖЕТ СУПЕРВИРУС ВЫВЕЛСЯ??? У МЕНЯ МАШИНА ЧИСТАЯ ИЛИ НЕТ???
Кстати RkUnhooker не находит в системе маскирующейся vga.dll. Он вообще драйвера vga.dll не видит, но зато видит нормальный работающий драйвер C:\WINNT\SYSTEM32\drivers\vga.sys. А в диспетчере устройств есть отключенный драйвер vga - vga.sys и работающее устройство VgaSave - сведения о файле драйвера недоступны... Бред какой-то ...
Дело в том, что утилита AVZ создана для того чтобы находить вредоносные программы тогда, когда антивирусы не справляются. Поэтому она чрезвычайно придирчива к любым отклонениям.
vga.dll это действительно не драйвер, это библиотека, которую использует один из драйверов (надо думать, драйвер видеоадаптера).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: