Смысл открытия данной темы - если это какая-то новая модификация зловреда - может быть эта информация окажется полезной, если это известный зловред - то тему в топку.
Стандартные сукрипты - "сбор инор-ции для раздела помогите"+"скрипт сбора неопознанных и подозрительных файлов"= зависание AVZ(4.29).
Приаттачен протокол исследования системы.
до исследования системы было сделано:
Nod32 v2 базы за 01.08.2008 - нашел неск вирей, они были прибиты +
sptd*.sys был удален из папки system32/drivers/ (анинстален даемон тулз)
ntos.exe - удален
Внешние проявления - загрузка svchost'ом CPU на 90-95%
+ перехват нескольких функций из библиотек wininet user32 ntdll ws2_32.
Может быть эта информация будет для Вас полезной. Спасибо.
Последний раз редактировалось Mad Scientist; 09.01.2008 в 02:59.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
HijackThis под рукой не было, т.к. был в гостях, с собой был только АВЗ, опять же QuarantineFile привело к повисанию АВЗ, отредактировал скрипт убрав помещение в карантин, и похоже, какой-то из этих екзешников перестал грузиться с автозагрузкой, внедрять длл в svchost (как я это понимаю), svchost перестало колбасить.Единственное что насторожило в этой истории - это то, что в менеджере автозапуска невозможно было отредактировать запись в реестре, отвечающую за запуск ntos.exe - как это сделано в АВЗ для системных файлов.
Людям будет легче жить, но я не успел, они уже записали и передали своим знакомым диски, а один из вирей был файловым)). Правда эти знакомые уехали в Питер, так что думаю история продолжиться но уже без моего участия)).
Большое спасибо.
Надо было ERD Commander взять и скопировать эти файлы, под рукой не было, а ходить домой - боюсь у людей была бы неадекватная реакция))
Последний раз редактировалось Mad Scientist; 10.01.2008 в 00:01.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: