-
Похоже на нового руткита
Доброе время суток! На компьютере, похоже, завёлся новый зловред. Симптомы:
1. Авира больше не грузится.
2. Повторный реинсталл антивирусных пакетов приводит к сбою проверки CRC - похоже, что к исполняемым файлам цепляется какой-то паразит.
3. Не рессолвится ДНС.
4. Постоянно загружаются новые зловреды - последним был ntos.exe
5. Запуск cure.it удалил вирусы, запуск утилиты Каспера обнаружил заражение всех exe-файлов неизвестным вирусом.
6. Запуск сторонних антируткит-утилит не обнаружил подозрительных процессов и сервисов, однако очевиден перехват zwOpenFile. и многое другое - трудно симптомы самого вируса отличить от того, что он подгружает и запускает.
Help!
Последний раз редактировалось gjf; 12.06.2009 в 14:46.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
P.S. Да в принципе все перехваты и в логах имеются
Добавлено через 2 минуты
V_Bond,
А к чему вы мне это указали? Проверка выполнялась чётко по правилам, как раз CureIt считает, что всё ок. А заражение файлов, обнаруженное утилитой Касперского, это не реальное заражение, как мне кажется, а результат перехвата функций. Вы логи не смотрели?
Добавлено через 3 часа 36 минут
Кажется, картина становится понятной. Смутила разница в размерах файлов до и после запуска на заражённой машине с флешки.
Вот результаты скана AVZ4 и IceSword после их запуска на заражённой машине:
http://www.virustotal.com/ru/analisi...0b8606a9da90be
http://www.virustotal.com/ru/analisi...f088e8fe119e32
По-видимому, новая модификация Virut, которую пока надёжно детектят только несколько антивирусных вендоров.
Добавлено через 4 минуты
По-видимому, новая модификация Virut, которую пока надёжно детектят только несколько антивирусных вендоров. Единственное, что неясно: Virut - это первопричина или просто одна из набора вторичной заразы? Это он перехватывает системные функции или нет?
Последний раз редактировалось gjf; 17.02.2009 в 20:32.
Причина: Добавлено
-
-
Отправьте пару exe файлов в ВирЛаб Доктора [email protected] отправлять в запароленном архиве, пароль: virus
-
-
Сообщение от
Гриша
Отправьте пару exe файлов в ВирЛаб Доктора
[email protected] отправлять в запароленном архиве, пароль: virus
Уже отправлено через веб-форму на сайте, идентификатор #793864
-
-
И нам пришлите по красной ссылке вверху темы...
-
-
Прислал. Без пароля ибо уже задолбался паролить - к часу ночи так и не оживил машину, зато активно напереписывался с разрабами Авиры, Каспера и Веба.
Честно признаюсь: просто удивлён, что далеко не фавориты битв за лучший антивирус раньше всех создали не просто сигнатуры, но и модули лечения этой заразы. И что теперь? Ждать, когда подтянется отечественный разработчик с бесплатными утилитами? :-(
Добавлено через 30 минут
Подозреваю, что красная ссылка сверху не сработала, на всякий случай дубляж:
Последний раз редактировалось V_Bond; 18.02.2009 в 09:37.
-
-
На данный момент AVPTool способен детектировать и удалять эту версию Вирута. К сожалению, утилита не позволяет лечит системные заражённые файлы (svchost.exe, services.exe и т.д.). Идеально было бы попробовать LiveCD, но Касперский такого не предоставляет - нужно делать самому...
Добавлено через 4 часа 46 минут
Всё оказалось не так просто. Касперский лечит файл, но откуда-то он появляется опять. Учитывая постоянные попытки svchost залезть в сеть и получить доступ к разделу диска на низком уровне - вирус ещё есть где-то, но не в файлах.
Товарищи Хелперы, товарищи представители вендоров - будет решение моей проблемы? Уже сутки, а в ветке пишу я один! :-(
Последний раз редактировалось gjf; 18.02.2009 в 22:06.
Причина: Добавлено
-
-
-
-
А вы нажмите на ссылку " Последний раз редактировалось V_Bond; Сегодня в 08:37 "
-
-
читаем правила ...
11. Запрещено распространение через форум проекта любых видов вредоносного программного обеспечения. Запрещена публикация активных ссылок на заражённые файлы и сайты.
-
-
Я вижу правила, очень уважаю данный ресурс и всё понимаю, но что делать, если скрипт загрузки не работает? Мне ничего не оставалось...
-
-
-
-
Вот сейчас уже да! Спасибо - вирусы закачаны, смотрите!
-
-
KIS 2009= Virus.Win32.Virut.ce; DrWEB 5.0= Win32.Virut.56 ....
-
-
Уже да - не зря я им вчера его слал. Проблема в том, что уже активное заражение убить не получается: системные файлы обещает очистить после перезагрузки, но в итоге не чистит.
Установил вторую систему, с неё запустил AVPTool, всё вычистил в два прохода (второй не обнаружил вирус).
Загрузил заражённую систему, удалил вторую, установил KIS 2009 - опять вирус!
Сейчас пролечил, второй проход активной инфекции не обнаружил, но есть подозрительная активность с svchost. Дам машине проработать ночь с выходом в сеть, а завтра проверю всё снова. Если результат будет отрицательный - можно судить о излечении.
-
-
-
-
По-видимому, победил.... После проделанных манипуляций сейчас с утра запустил CureIt, если ничего не найдёт - можно будет говорить об излечении.
После проверки выложу новые логи.
-
-
Антивирусный поиск CureItом выявил кучу недобитой заразы, в частности Trojan.Spambot.4336, Win32.HLLW.ASutorun.6315, множество Win32.HLLW.Gavir.ini.
Видимо, это ещё не конец...
Логи прилагаю.
Последний раз редактировалось gjf; 12.06.2009 в 14:46.
-
-
пуск - выполнить Sfc /scannow (понадобится диск с дистрибутивом)
-