Подозрение на остатки от Win32/Rootkit.Agent.ODG. Пожалуйста, помогите.
Подключала внешний HDD, после подключения получила странное сообщение от spoolsv.exe(к сожалению, сразу не сохранила, а больше оно не повторилось), обнаружила на всех дисках autoran.inf, тут же диск отсоединила, из безопасного режима запустила CureIt! от 28.05.09, он автораны убил, больше ничего не нашел.
Так как на домашней машине интернет не подключен, то больше ничего не делала.
Но потом выяснилось, что тот диск подключали к машине, где был Win32/Rootkit.Agent.ODG.
Скачала последний AVZ, он в расширенном режиме сканирования пишет.
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=B7A67000, размер=86016, имя = "\SystemRoot\System32\VGA.dll"
Поиск маскировки процессов и драйверов завершен
Ошибка загрузки драйвера - проверка прервана [C0000034]
Это немного смущает.
Может, уже перестраховываюсь, но очень не хочется стать дальнейшим разносчиком заразы, Пожалуйста. посмотрите, не осталось ли огрызков от Win32/Rootkit.Agent.ODG?
Логи AVZ и Hijack(кажется, сделала по правилам).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл сохранён как 090602_094115_virus_4a24bb7b9ace3.zip
Размер файла 25560
MD5 872246076a7b7652f966212fa0b0b8ca
Карантин высылаю.
Но vga.dll не попадает в карантин никакими методами (ни счерез скрипт, ни через "добавить по списку". Пишет "процесс добавления запущен-процесс добавления завершен", не выдает никаких ошибок, но сам файл в карантине не появляется).
Заархивировала его в "обычный" архив, но не знаю, как теперь прикрепить в тему.
Пожалуйста, если все в файлах нормально, напишите тоже!
Добавлено через 5 часов 0 минут
Эмм... Так все таки, мне можно считать, что в системе ничего вредоносного нет?
Последний раз редактировалось ksand; 02.06.2009 в 14:47.
Причина: Добавлено
Как ни странно, вредоносного кода в этом autorun.exe не обнаружено, хотя такой объект автозапуска да еще из системной папки выглядит более чем подозрительно. Я предлагаю пофиксить в HijackThis:
Больше ничего подозрительного не видно. Маскировка vga.dll на Win2k всегда вылазит, это нормально. Файл не идет в карантин видимо потому, что он проходит по базе безопасных.
light59, Bratez -Спасибо!
[Soltek] L:\WINNT\system32\autorun.exe - это появилось сразу после установки драйверов на солтековский чипсет(с диска для материнки), так что, если нет вредоносного ничего, то пока оставлю.
Еще раз спасибо!(+1)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: