Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] В автозагрузке каждый раз новое значени одно и того же файла драйвера, которого после этого не существует. Антивирусы не видят

1
RSS
 
AlexRTS
AlexRTS
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 08.11.2012
Размещено 29.08.2013 16:08:49
Следующая ситуация. Просматривая SysInterals Autoruns Обратил внимание, что в строке HKLM\System\CurrentControlSet\Services при каждой новой перезагрузке появляется новое значение, одного и того же файла, но с произвольным, каждый раз разным именем. При попытке перейти к файлу, оказывается, что его не существует. На данный момент это
ahpv71k8 IDE/ATAPI Port Driver Microsoft Corporation c:\windows\system32\drivers\ahpv71k8.sys.
Антивирусы не видят ничего подозрительного. Исходя из происходящего, есть сомнения в наличие какого-то вируса.

Хотелось бы попросить совета у опытных и знающих специалистов по данному вопросу?
Скриншоты прилагаются.







 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.08.2013 16:23:31
есть сомнения или есть предположение о наличии вируса?

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
AlexRTS
AlexRTS
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 08.11.2012
Размещено 29.08.2013 16:59:34
Есть наверное и сомнение и предположение, что может это вирус а может и не зловредная программа. Файл приложил
Изменено: AlexRTS - 29.08.2013 21:26:43
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.08.2013 18:13:30
по образу нет ничего подозрительного.

сделайте проверку в tdsskiller
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте, добавьте лог программы
[ Как создать образ автозапуска? ]
 
AlexRTS
AlexRTS
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 08.11.2012
Размещено 29.08.2013 18:24:59
Просто само по себе очень странное поведение. Каждый раз новое имя. Сейчас файл называется ak2ehoqn.sys и так же не существует.

На другом форуме ответили "Оставьте в покое этот драйвер он легитимный. Все верно при каждой новой перезагрузке у этого драйвера будет новое имя. Это нормальное поведение для этого драйвера. Если подозреваете, что ваш компьютер заражен выполните правила раздела."

Лог tdsskiller вложен
Изменено: AlexRTS - 29.08.2013 21:27:35
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.08.2013 18:39:25
по логу tdsskiller чисто

Цитата
20:20:03.0812 0x0ce4  Scan finished
20:20:03.0812 0x0ce4  ============================================================­
20:20:03.0828 0x0e8c  Detected object count: 1
20:20:03.0828 0x0e8c  Actual detected object count: 1
20:22:00.0578 0x0e8c  sptd ( LockedFile.Multi.Generic ) - skipped by user
20:22:00.0578 0x0e8c  sptd ( LockedFile.Multi.Generic ) - User select action: Skip

можно еще один метод поиска скрытых файлов применить

поиск руткитов по файлу сверки, с созданием загрузочного диска Winpe&uVS
http://chklst.ru/forum/discussion/12/metod-poiska-rutkitov-v-sisteme-po-faylu-sverki-v-uvs#Item_1
[ Как создать образ автозапуска? ]
 
AlexRTS
AlexRTS
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 08.11.2012
Размещено 29.08.2013 20:39:02
Вроде сделал верно
Изменено: AlexRTS - 29.08.2013 21:27:48
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.08.2013 20:52:57
с вашего  загрузочного диска нет поддержки проверки файлов по цифровому каталогу.

суд по образу, загрузчики все чистые.

Цитата
Процесс сверки займет несколько минут...
MBR id=67644BE6[диск #0] сверен, отличий от сохраненного нет.
Загрузочный сектор диска C [сохраненное имя C] сверен, отличий от сохраненного нет.
Загрузочный сектор диска D [сохраненное имя D] сверен, отличий от сохраненного нет.

система скорее чиста, нежели с заражением
[ Как создать образ автозапуска? ]
 
AlexRTS
AlexRTS
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 08.11.2012
Размещено 29.08.2013 21:26:25
Ок. Спасибо за помощь :) Просто насторожило это явление, что каждый раз новое значение в автозагрузке и файл не существует.
 
1
Читают тему