Показано с 1 по 3 из 3.

Следы зверя (заявка № 37410)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    33

    Question Следы зверя

    На работе в локальной сети началась эпидемия Downadup.b. Пропатчил все рабочие станции и сервера (MS08-067). После чего на каждом компьютере запускал утилиту Anti-Downadup-console.exe от BitDefender, которая вычищала зловредный сервис. Все вроде бы поршло успешно. Сразу скажу, что после Anti-Downadup-console.exe делал проверку свежайшими версиями AVPTool, CureIT и windows-kb890830-v2.6.exe от Microsoft. Следов вирусов ими найдено не было.

    Смутил меня лог AVZ, запущенной на моем ПК. А именно очень странный драйвер, работающий в KernelMode. Во-первых, файла с таким именем не существует в системе, как и упоминаний о нем в реестре. Во-вторых, после его "удаления" (или выгрузки, если это можно так назвать) средствами AVZ, он уже не обнаруживается при повторном сканировании. В присланном логе он фигурирует под именем spgm.sys. Однако, после перезагрузки компьютера он появляется снова, хотя уже и под другим именем. Выяснил закономерность его именования: s***.sys, где *** - это случайны буквы латинского алфавита. На других компьютерах после лечения и сканирования с помощью AVZ (новая 4.32) подобного не нахожу. Не исключаю, что это даже не следы Downadup.b, а что-то другое. Проблем с системой не наблюдал раньше и н наблюдаю после лечения от Downadup.b. Однако обнаружение этого модуля меня настораживает. Добавлю, что эксперименты с его "удалением" и наблюдение его "возрождения" под новым именем наблюдал при отключенной ЛВС. При попытке отправить его в карантин, утилита не ругается, однако в папке карантина он не появляется.

    Извиняюсь, что забыл про скрипт лечения и карантина (завтра обязательно выполню). Скажу лишь, что более ничего подозрительного при сканировании найдено не было. Оперативно отправить не могу, т.к. на работе из-за эпидемии пока нет интернета. Приходится брать файлы домой.

    Очень надеюсь на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    страшный драйвер - эмулятор дисков
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    33
    Autorun.inf у меня безобидный. Он - средство стилизации иконки диска после установки Vistamizer. В нем лишь только это:

    [autorun]
    ICON=vistadrive.ico

    А на счет эмулятора дисков... Если я правильно понял, то этот зверь запускается остатком sptd.sys от удаленных DAEMON Tools. Т. е. удаляю "ручками" sptd.sys - и проблема, мучающая меня решена?

  • Уважаемый(ая) Tathagata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ничего не берёт это зверя
      От nbyte в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.07.2011, 10:11
    2. Подцепил зверя...
      От Exorian в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.10.2010, 07:49
    3. как завалить зверя?
      От кика в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:43
    4. Надо добить зверя
      От Sergo73 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2008, 19:17
    5. Выловил зверя :)
      От maXmo в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 27.05.2006, 20:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01382 seconds with 17 queries