Получил данный руткит из инфицированного патча к Splinter Cell Blacklist. При запуске система на несколько минут сильно грузилась, только затем появлялась установка патча.
Был установлен Dr.Web 6, Spider работал, вирусные базы обновлены, но он ничего не обнаружен. Он начал выдавать предупреждения только, когда этот руткит пытался то ли записать файл exe.etadpuelgoog в папку %$LOCAL_APPDATA%\Google\Update... Точно уже не помню, т.к. словил его еще пару недель назад. Вероятно, он еще пытался модифицировать файл hosts, но прав у него на это не было. Казалось бы, я вылечил систему с помощью Malwarebytes и ComboFix (правда потом слетел брандмауэр Windows, пришлось его долго и нудно восстанавливать), но на днях обнаружил, что после нескольких минут бездействия выключаются USB и PS/2 и больше не включаются, помогает только перезагрузка. Обновил Dr.Web до 8 версии, т.к. поддержка 6 уже закончилась, тут я обнаружил, что svchost.exe после загрузки пытается модифицировать файл hosts. Полная проверка Dr.Web'ом, TDSKiller, AVZ, Malwarebytes (mbam и mbar), Stinger и других анти-руткитов толком ничего не выдает.
Но проверка gmer выдает много подозрительных объектов, еще в настройках восстановления системы почему-то было два диска C.
Последний раз редактировалось EXEtrimALL; 04.09.2013 в 12:54.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) EXEtrimALL, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите временно Dr.Web, выгрузите MBAM и MBAR.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Отключите временно Dr.Web, выгрузите MBAM и MBAR.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Забыл сразу упомянуть, через него вчер в первую очередь после Dr.Web прогнал - ничего не найдено.
Приложил лог:
Последний раз редактировалось EXEtrimALL; 04.09.2013 в 13:18.
Вот еще нашел скриншот того самого файла exe.etadpuelgoog, который обнаружил mbar.
Сам файл, к сожалению, я уже удалил. Возможно, он снова скоро всплывет в системе, тогда добавлю его сюда.
Образ автозапуска прикладываю. Как видно, там грузится подозрительный драйвер из папки windows\temp\, каждый раз у него случайное имя.
- - - Добавлено - - -
Отправил карантин загрузочных секторов.
- - - Добавлено - - -
Сообщение от regist
его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.
Старые логи я уже удалил, а запускать заново я не решаюсь, все равно в рошлый раз он не вылечил все до конца, зато 2 дня я восстанавливал брандмауэр.
Сообщение от regist
если можно пришлите мне в личку этот файл в архиве с паролем virus
Файл 1,7 Гб и, к сожалению, у меня его уже не созранилось - удалил его сразу, как понял, что он заражен. Из источника его тоже удалили, т.к. я сообщил туда, что файл заражен.
Сообщение от regist
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
tdsskiller.exe -qmbr -qboot
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Смог отловить тот драйвер, который загружается под рандомными именами в папке system32\temp и исчезает сразу после запуска. Он же пытается модифицировать hosts, судя по всему. Это оказался dwshield64.sys (под другим именем).
На всякий случай прикладываю, хотя у файла, вроде бы, есть цифровая подпись. Странно почему сам доктор веб спрашивает разрешения ан загрузку этого драйвер и зачем он пытается модифицировать hosts.
Кстати, на этом компьютера позевчера умер биос, хотя и комп был за ибп (со стабилизатором) - не понятна причина. Несколькими днями ранее то же самое произошло на втором компе, который находится в общей локалке, но там был Dual Bios, который мигом все восстановил (второй комп тоже за ибп). Совсем какая-то чертовщина творится.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: