Win32/Kryptik.AYC + Trojan.Mylbot.4
Началось с того, что NOD32 периодически вылавливал Win32/Kryptik.AYC в Temp-папке
Проверка DrWeb CureIT в безопасном режиме нашла Trojan.Mylbot.4 в файле C:\Windows\system32\pqrs.tmo, а AVZ показала на модифицированный Winlogon/Shell, где этот pqrs.tmo запускался.
С pqrs.tmo я вроде разобрался, реестр поправил, после чего сделал всё по правилам, прилагаю логи. Такое ощущение, что какая-то зараза всё же осталась...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ничего плохого не увидел ...
Меня смущает вот что:
virusinfo_syscheck.htm:
и virusinfo_syscure.htm:Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание
sprb.sys F770F000 0FE000 (1040384)
подозрительный объект, кстати логи делались с промежутком на перезагрузку..Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
spit.sys F770F000 0FE000 (1040384)
Кстати, этот самый sprb.sys вот здесь:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F7E11CB6), перехватчик не определен
Функция NtCreateThread (35) перехвачена (8058E63F->F7E11CAC), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (805952BE->F7E11CBB), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (80592D50->F7E11CC5), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80570D64->F772DCA2), перехватчик sprb.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F772E030), перехватчик sprb.sys
Функция NtLoadKey (62) перехвачена (805AED5D->F7E11CCA), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80568D59->F77100C0), перехватчик sprb.sys
Функция NtOpenProcess (7A) перехвачена (805717C7->F7E11C9, перехватчик не определен
Функция NtOpenThread (80) перехвачена (8058A1BD->F7E11C9D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80570A6D->F772E10
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F772DF8
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F7E11CD4), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064EC91->F7E11CCF), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80572889->F7E11CC0), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805822E0->F7E11CA7), перехватчик не определен
Проверено функций: 284, перехвачено: 16, восстановлено: 0
sprb.sys - это дитя sptd.sys, т.е. эмулятора дисков
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Lexyc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
