Убил сегодня три файла вируса Trojan-PSW.Win32.Agent.ep. Это были *tmp*.exe, shellapi.dll и reginf.exe . Однако, даже при загрузке в безопасном режиме при просмотре в диспетчере процессов AVZ у 3-4 системных процессов висят красные строки с пустыми значениями всех полей кроме PID. При удалении этих процессов они создаются заново, иногда в большем количестве. Режим AVZGuard на них не действует. Никаких файлов эти процессы не используют. Проверял винт на другой машине - кроме удалённых файлов "агента" ничего не нашёл ни AVZ, ни KIS6.0. В автозапуске AVZ чисто. Система Win2003 SP2 ENG.
Есть мысли по убийству этой гадости?
ps: завтра попробую другими утилитами
Последний раз редактировалось PLAstic; 13.07.2007 в 11:42.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пытался прикрепить файлы к первому сообщению, но получилось только с hijackthis.log . Драйверов HP нет ни в каком виде. В AVZ в kernel mode обнаружил драйвер с бредовым именем (типа am43ty8.sys), которого не было на диске по указанному пути. Ну, думаю, перехватывает перебор файлов в каталоге и скрывает себя. Дёрнул ресет, загрузился с InfraCD - этого файла не было на диске. Вероятно, файл создаётся, процесс загружается в память и файл стирается с диска. Завтра попробую снять права на создание файлов в %systemroot%\system32\drivers. Посмотрим, как тогда он активируется.
Все указанные на сайте z-oleg.com и тут средства пробовал - никто ничего не нашёл и даже не видит процессов. Процессы видит только AVZ и Process Monitor от sysinternals. Autoruns ничего подозрительного не показал. Я заметил, что со временем "красные" процессы множатся. При попытке удаления также размножаются - один удалил, появилось два.
С Win2003 надо быть поосторожнее. Сделайте backup. AVZ еще не совсем отработана для этой версии.
Временные файлы типа am43ty8.sys создает Alcohol 120% и Deamon tools. Есть такие?
А логи попробуйте с другого компьютера/браузера выложить.
Я бы выложил, да при помещении их на форум выдаётся какая-то ошибка. Файл hijack'а прикрепился. Может от вас какой запрос на эти файлы нужен?
Заметил, что после запуска в безоп.режиме "красные" процессы - всгда три штуки - сидят под smss.exe и все остальные процессы "зелёные" (в AVZ). Со временем процессы чернеют и под некоторыми начинают появляться "красные". Плодятся, гады. smss.exe лежит где положено и совпадает по длине с SP'шным файлом.
Дописано позже:
Наврал! "Красные" процессы видит только AVZ. Procexp.exe ничего подозрительного не видит ни в процессах, ни в их деталях. Кстати, такая ситуация наблюдается ещё на одном сервере в другой сети. Не знаю, что и делать теперь...
И логи удалось прикрепить.
По логам:
aze0r6ua.SYS - это от daemon tools.
sptd - тоже.
\??\C:\WINDOWS\TEMP\Sddrv.tmp - эти три модуля от SecretDisk'а.
Последний раз редактировалось PLAstic; 14.07.2007 в 20:27.
В общем, ничего так и не было обнаружено ни одним средством. Одна AVZ видела множащиеся процессы, определяя их как FU Rootkit Kernel mode. Но автор сослался на то, что это глюк утилиты. После загрузки памяти было занято около 800 метров и этот показатель рос. Сегодня плюнул на это дело, поставил всё с нуля заново. Система жрёт 260 метров памяти. Никаких красных процессов AVZ уже не видит.
Спасибо за попытку помочь.
Уважаемый(ая) PLAstic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: