Позавчера один из компов на работе словил винлокер. Из последних, как я понимаю, потому что мимо NOD32 просвистел незамеченно. Блокировал только вход тем пользователем, который его подцепил, как в обычном, так и в безопасном режиме. Администратором я мог зайти без проблем, но ... в реестре я не видел в разделе HKUS ветки того пользователя - только свою администратора и системные. Хоть и догадывался, что он сидит в локальном winlogon, но вычистить его оттуда не мог. Визуальный поиск по диску не помог обнаружить слишком подозрительные файлы, видимо они меняли дату. А те которые обнаружил - не смог удалить.
Сегодня утром, после выхода очередного обновления NOD32 наконец при сканировании нашел и обезвредил эту заразу сразу в двух файлах, распознав в ней модифицированный Win32/Kryptik.ZVI. Блокировка снялась и я смог войти пользователем. В реестре обнаружил все ветви - и собственно пользователя и администратора. Определил. что запускались зловреды из HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и из HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Вычистил реестр от следов. зашел снова Администратором - видится только собственная ветка. Ветка пользователя не видна! Создал еще одного администратора - та же картина.
Что только не делал. Обнаружил, похоже еще странный неубиваемый процесс RtkBtMnt.exe, гнездящийся в локальных временных папках и мигрирующих между ними. Вроде бы удалил. Но ветки реестра не появились.
В профайле пользователя лежит странный файл .exe - т.е. без имени. AVZ на него ругается но отложенное удаление не помогает, не говоря уже про обычное.
Такое ощущение, что в системе еще остался какой-то руткит, маскирующий зараженную ветку реестра. Но найти не могу. Может быть как раз этот "безымянный" ... А может быть нет, какая разница, если все равно не удаляется.
Поможите, кто чем может, люди добрые. сами мы не совсем дураки, но что-то концов не вижу.
Последний раз редактировалось Никита Соловьев; 02.02.2012 в 20:03.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Pochemuk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Отключите Восстановление системы (Приложение 1 правил).
1. Базы обновил.
2. Скрипты выполнил. Правда, 5.tmp удалил еще вчера, но в карантине он присутствует. Сейчас вышлю.
3. RtkBtMnt не восстанавливал - он уже самовосстановился сам и спокойно лежит в папках %TEMP% администраторского и пользовательского профайла. Правда, ключей его запуска под администратором не нашел. Если надо, поищу под юзером. Возможно, что я там это находил.
Странный этот RtkBtMnt. Если это легальная программа, то почему она запускается из пользовательских %TEMP%? И почему самовосстанавливается?
RtkBtMnt.exe можете проверить на virustotal.com.
Восстанавливают его наверное другие компоненты программы Realtek HD Audio Data Rerouter.
А зачем - это спрашивайте у ее авторов.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
))
