Принесли на лечение системник - диагноз: впадение в ступор сразу после загрузки
предыдущий "лекарь" сдался на третьи сутки, ибо так не смог запустить на нём AVZ...конфиг: Windows XP sp3, ESS 5 с базами от 20 декабря 2011, использование - бухгалтерия детсада
1. подключил диск слэйвом на другую машину и прогнал своим антивирусом NOD32 v.4
Scan LogVersion of virus signature database: 6925 (20120229)Date: 29.02.2012 Time: 21:15:50Scanned disks, folders and files: F:\Boot sector;F:\;J:\Boot sector;J:\
F:\WINDOWS\system32\msejfdwi.exe - a variant of Win32/Kryptik.ABPG trojan
F:\WINDOWS\system32\msgkbfyl.exe - a variant of Win32/Kryptik.ABNG trojan
Number of scanned objects: 523301Number of threats found: 2Number of cleaned objects: 0Time of completion: 21:40:07 Total scanning time: 1457 sec (00:24:17)
нашел и удалил
2. Собрал машину обратно и загрузился с live CD (лично мне нравится ERD)открыл автозагрузку и стёр точки входа ранее найденных зловредов... ---остальное казалось нормальным... но на всякий случай поискал файлики, созданные тем же числомв \WINDOWS\system32\ нашел ещё два интересных персонажа:
xtgina.dll - компонента троянского перехвата управления при загрузке
betwinservicexp.exe - дополнительная служба, формирующая удалённый доступ к системе
файлы стёр, затем нашел и убил точки загрузки (не буду занимать место - эти две гадости описаны хорошо)
3. загрузился в родной системе - винда стартанула шустро, ESS-5 приняла ключик и обновила базы...сканирование показало наличие в оперативной памяти Carberp, удаление невозможно
4. скачиваю пакет Русиновича, AVZ....танцы с бубном помогают слабо - всё чисто
5. начинаю повторный осмотр диска - внимание привлекают:
> корневые папки содержат нулевые скрытые файлы khy - при попытке удалить - сносится без вопросов после перезагрузки заново появляется
> в корневой папке системного диска появляется скрытый неудаляемый файл ntldl.inf (блокирован процессом svchost, unlocker - удаляет, после перезагрузки заново появляется)
> в \WINDOWS\system32 повторно появляется xtgina.dll
> в :\Documents and Settings\All Users\Application Data - повторно появляется папка mpk с кейлоггером mipko
> в корне С - повторно появляется папка usVGhvDaxUjcvDS с файлами klpclst.dat, wndsksi.inf, bot.plug
> и текстовый файлик plg.txt следующего содержания:
bot.plug|ycZRrx4CfVNGpjQAdgDWBTXba7HSsv.bmp
cyberplat.plug|ZTKbnxfdzcSB4vM32.psd
ddos.plug|w1fTaJpsV4xR9mDrACNnQdgjy6k7Kq5P.tiff
miniav.plug|30X29yCZQ8gNbGfdm76jzJ.bmp
passw.plug|8D6s53GH9MNZahdtzwr.tiff
sb.plug|v2Z8pKCFxjaW7h5Rs3d9w1z4Pbm.bmp
stopav.plug|zp31CZ62D9MSfXjJt7hcGw0TrBNPRmK.tiff
(ленивые люди - программеры - одних заголовков хватило, чтобы понять заточенность сей программы - позвонил в бухгалтерию - пусть бегут менять все пароли на платёжные системы)
на этом этапе я зациклился - приходилось постоянно возвращаться на п.2, чтобы убивать возрождавшихся зловредов
6. Тут вспомнил про Cureit - скачал и запустил
программа сразу нашла и удалила вирус Trojan.Mayachok.5 в бут секторе диска, а затем попыталась напасть на служебные файлы дистрибутива программы электронного банкинга, обозвав их троянцами - пришлось останавливать.
7.На этом вирус прекратил активность.
8.Попутно Cureit нашел и обругал плохими словами мой PSW-viewer на флэшке (это нормально). Каково же было моё удивление, когда Cureit повторно нашел и обругал мой PSW-viewer, но лежащий в папочке С:\WINDOWS\system32\storage\
при детальном рассмотрении в этой папочке оказалось всё содержимое моей флэшки!!!!дата создания сего чуда - п.3 боевых действий
Ответить с цитированием
