Доброго всем. Есть подозрение на вирусную активность.
Началось все с подозрительного трафика (TCP OUT), который генерит svchost.exe на адрес 193.27.246.195, порт 80. Реже на 69.64.445.229, тот же порт.
Через гугл и вышел на подозрение в Trojan-Spy.Zbot.
При этом ничего другого подозрительного на машине не происходит, iexplore работает нормально, окошек не появляется, все системные утилиты доступны (правда, в task manager перестало показывать имена пользователей у процессов). Установлен Comodo Firewall 3, в котором Defense+ ничего не сообщал - ни изменений файлов, ни новых ключей реестра. Да вообще ничего подозрительного давно уже не было, вот что-то стукнуло active connections посмотреть... и на тебе!
Проверка Ad-Aware 2008, ESET Nod32 online, "Средство удаления вредоносных..." от Микрософт ничего не дала. Поставил AVZ, который нормально отработал один раз, пока не обновился на свежие базы (хотя может и не в этом причина).
Сейчас ситуация такая:
1. Трафик на те адреса идет. Причем пытается как с локального адреса, так и когда получаю реальный ip (в инет хожу через vpn провайдера).
2. Файла twex.exe нету, так же как и других, которые появлялись у людей с похожей проблемой на этом форуме (посмотрел несколько топиков, поискал у себя те подозрительные, которые рекомендовали удалять - нету).
3. Ключ userinit "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\twex.exe" присутствует! Но не редактируется. Вернее, стираешь все до userinit.exe, стоит перейти на другу ветку даже, возвращаешься - ключ в том же виде. Тоже и в безопасном режиме.
Логи такие получились - от первого запуска, который чудом сам решил сохранить, и второй скрипт со сбором инфомрации, который отработал успешно. Первый до конца не отрабатывает, вылетает с ошибкой access violation, как при отключенном Comodo, так и с ним.
Да, и еще от HijackThis
Прошу помочь разобраться, есть у меня вирус или нет. Очень напрягает паразитный трафик.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо. Скрипт выполнил. Карантил выслал. Логи не получается повторить полностью - скрипт лечения/карантина не завершается нормально, в процессе работы много ошибок доступа (access violation), после этого даже окно программы не реагирует на действия. В папке LOG создается только файл virusinfo_cure.zip. Как бы это побороть?
Второй скрипт (сбора информации) работает нормально. Прикрепляю.
P.S. Уже есть положительные результаты - трафик на левые адреса прекратился.
Павел, сделал.
Да, забыл сказать - вернулись имена пользователей, от которых запущены процессы в Диспетчере задач. По упомянутым адресам не было обращений с последней чистки, как прислал карантин.
Имеет смысл выполнить скрипт "лечение/каратин" в safe mode? Все-таки хочется получить от него информацию...
Получилось логи AVZ сделать! Нашел виновника - Comodo, при выходе из файра и антивиря надо еще самому службы вручную останавливать (одна так и не согласилась) и прибивать процессы. После этого AVZ отработал нормально, логи прикладываю.
Похоже, еще не совсем чисто. Функции он восстановил, но эти строки беспокоят:
Функция NtEnumerateKey (47) перехвачена (8056EF30->F85B3CA2), перехватчик spoz.sys
Такого файла нету, видать опять прячется
И вот это - нормально?
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82FDD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDD1F8 -> перехватчик не определен
и т.д.
P.S. Создался еще virusinfo_cure.zip, прикладываю его на всякий.
Последний раз редактировалось Ronny; 04.03.2009 в 15:27.
Дальше интереснее. Теперь тот проблемный скрипт лечения/карантина отработал без ошибок и при запущенных Comodo Firewall и Antivirus. Результаты интересные - та же 31 функция перехвачена и восстановлена... Объясните, плиз - это комодошные функции или все-таки следы заразы в системе? Теперь и новый источник - spfs.sys. Это все тот же DAEMON?
P.S. Скрипт сделал новый карантин - на всякий случай залью.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: