Два файла со случайными именами в реестре

[seeeking]

День добрый!

И опять моя Авира пропустила что-то.

С утра проверил загрузочный список через OSAM - два каких-то .sys с явно случайными именами. Убрал из реестра средствами OSAM, перезагрузился. Старые записи исчезли, появились новые две!

никакой особенной активности я за последнее время не заметил (кроме пару раз падавшего ни с того ни с сего Windows Explorer), но случайные записи в реестре, да ещё и возобновляющиеся - странно это что-то.

Да, Avira нашла ночью в System Restore прописанный троян, вот строчка из репорта:

C:\System Volume Information\_restore{8D429B78-E2DF-411E-AF28-9C012811A60C}\RP14\A0009570.exe
[DETECTION] Is the TR/Gendal.3081945 Trojan
[NOTE] The file was moved to the quarantine directory under the name '4ea28afa.qua'.

Ни CureIt ни AVZ ничего не нашли.
Логи прилагаются.

ПОмогите, пожалуйста, убрать эту кутерьму, а то кто его знает чем оно живет.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\efs\search.exe','');
 QuarantineFile('C:\WINDOWS\HKExt3.exe','');
 QuarantineFile('C:\WINDOWS\system32\vscapi.dll','');   
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[seeeking]

исполнено

[olejah]

Сделайте лог полного сканирования МВАМ

[seeeking]

Готово.
Странные вещи он определяет в инфекцию.

[olejah]

Удалите в МВАМ -

Код:

Files Infected:
C:\Documents and Settings\Alexander\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

- Больше подозрительного нет.

[seeeking]

Опа, я закрыл скан

Можно их как-то удалить по-другому, не прибегая к повторному сканированию?

[olejah]

Можно руками.

[seeeking]

Удалил.

Симптомы на месте: две новых записи в реестре, самих файлов, на которые записи ссылаются, как и ранее на месте нету (см. прилагающийся лог OSAM)

Ощущение, что оно оставляет записи в реестре для автозапуска, потом запустившись стирает старые файлы и кладёт себя куда-то ещё.

А может я перестраховываюсь? Но на легитимное поведение это ни разу не похоже.

[seeeking]

...самый новый (по мнению Windows Explorer) файл в System32/drivers - vdm1mte0.sys, датирован вчерашним днём. И кажется я его вчера удалял (или кого-то, очень на него похожего).

[olejah]

"OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по ac1cj7ed и arzwddrl и выберите "Turn Run Off". Перезагрузку подтвердите.

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\drivers\ac1cj7ed.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\arzwddrl.sys','');    
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[seeeking]

Гм, OSAM не спрашивает про перезагрузку. Это нормально?
После перезагрузки старые записи остались в базе OSAM (из реестра удалены), но появились новые две. Может быть это вообще всё потому, что он не делает перезагрузку сам?

Я не стал выполнять скрипты, потому что не уверен про перезагрузку OSAM. Есть какие-нибудь настройки, чтобы он сам просил перезагрузку?

[olejah]

Выполните скрипт АВЗ, нужно получить эти файлы, чтобы проанализировать их.

[seeeking]

Опс. прошу прощения, загрузил старый quarantine. Сейчас исправлюсь....

Добавлено через 2 минуты

Ага, другой загрузить не получается, видимо нужно от Вас запрос или что-то в этом роде, сделайте, пожалуйста.
Прошу прощения за неудобства.

[olejah]

Запроса никакого не нужно. Давайте поступим так - сможете эти два драйвера запаковать в zip-архив с паролем virus и прислать по ссылке Прислать запрошенный карантин над первым сообщением этой темы?

[seeeking]

...ссылка "прислать каратнин" открывалась в уже существующей вкладке, а фокус туда не перемещался и казалось, что ничего не происходит. Отправил карантин.

Сами драйверы я не могу найти, и OSAM говорит, что их нету - ссылки в реестре есть, а файлов нету. Может быть они так хитро hidden что их не видно. Не уверен, что именно ушло в карантин, файл очень маленький.

Могу ошибаться, но думаю, что файлы он использует чтобы запуститься при перезапуске и тут же их сам удаляет. Правда, не очень понимаю, в какой момент он тогда создаёт записи в реестре, может быть при выключении системы? То есть, если просто выключить рубильник, то новых не будет?.. Не знаю.

Добавлено через 9 часов 19 минут

...простите, а второй карантин дошёл?

[olejah]

Не пошли драйвера в карантин, не хотят. Правильно ли я понимаю - сейчас у проблемных драйверов другие имена?

[seeeking]

Почти правильно.

У записей в реестре - другие имена. А самих драйверов, ни под старыми ни под новыми именами, в соответствующих папках нету.

В командной строке dir /a:h *.sys - ничего особенного не показывает.

Куда-то он себя пишет в другое место, видимо.

[olejah]

А наличие драйверов проводником смотрели? Если да - то попробуйте поиск АВЗ - Сервис - Поиск файлов на диске.

[seeeking]

И проводником, и cmd, и теперь ещё и AVZ - нету