Открыл для себя AVZ. Вчера подхватил вирус (отключил проактивную защиту в Comodo и момент заражения прошёл для меня незаметно). Symantec Endpoint Protection даже ухом ес-но не повёл.
AVZ выдал следующее:
Функция NtClose (19) перехвачена (805BC4DC->A2C7144A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtConnectPort (1F) перехвачена (805A4596->87936B30), перехватчик не определен
Функция NtCreateFile (25) перехвачена (80579084->A54BB48A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (806237C8->A2C71240), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtCreateSection (32) перехвачена (805AB38E->A54BDC26), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C39A6->A54BDFA4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D0FD2->A54BA7BC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80623C64->A2C710F8), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDeleteValueKey (41) перехвачена (80623E34->A2C7112E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtDuplicateObject (44) перехвачена (805BDFB4->A54BA5C2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80624014->A2C7103E), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtEnumerateValueKey (49) перехвачена (8062427E->A2C70F9A), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtFlushKey (4F) перехвачена (806244E8->A2C71092), перехватчик C:\WINDOWS\system32\Drivers\PROCMON20.SYS
Функция NtLoadDriver (61) перехвачена (8058413A->A54BD658), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys, драйвер опознан как безопасный
PROCMON20.SYS ни на диске, ни в реестре не обнаруживался, хотя в памяти он был, что подтверждалось списком модулей пространстве ядра (один из инструментов в AVZ). Ну, думаю, вирус перехватывает обращения и аккуратно убирает свои файлы и ключи реестра из возвращаемых значений. Однако нифига - файлы не были обнаружены и в офлайне.
Помогла ещё одна зацепка в логе от AVZ:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\kmnxtnk.dll"
Проверка завершена
А вот такая библиотека наличествовала на диске. Я просто её переименовал и после ребута вирус не смог активироваться. Упоминание про PROCMON20.SYS также исчезло.
Отличная хрень этот AVZ.