Подцепил какую-то исключительную падаль Backdoor.Win32.KeyStart.bz.
Прошла она ко мне через Firefox с какого-то сайта.
Поселилась в /windows/systems32/drivers/ в виде файла 3922e5d4.sys.
Тут же, у себя под боком она создала два файла fidbox.dat и fidbox.idx.
У всех трех файлов дата модификации меняется ежесекундно.
Размер файла fidbox.dat постепенно увеличивается. Сейчас он весит уже почти 3 мегабайта.
Все 3 файла видны файловыми менеджерами, но при удалении 3922e5d4.sys они резко его не замечают – «Файл не найден». Остальные 2 не удаляются с ошибкой «Нарушение совместного доступа».
AVZ эти файлы не находит или не считает их подозрительными.
Эта падаль не дает зайти в safe mode даже с помощью вашего скрипта – пришлось сканирование компа производить в обычном режим вместо безопасного.
Судя по всему, она еще и трафик контролирует – при попытке зайти на avp.ru, kaspersky-labs.com и virusinfo.info браузер выдает ошибку «Address not found», tracert не резолвит эти домены. Пришлось заходить к вам, используя прокси.
Вместе с тем эта падаль создает файл setupapi.dll в папках всех браузеров, что есть на машине: в Firefox, Opera и IE.
Для IE падаль пыталась зарегистрировать эту dll как надстройку – у меня эту попытку отследила прога WinPatrol.
Периодически создаются процессы типа dddd.tmp (где d – любая цифра, например, 4555.tmp) – эти процессы вручную легко убиваются из task manager, а также вручную удаляются из папки Temp текущего пользователя.
Эта падаль создала ветку в реестре HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3 922e5d4
При попытке в regedit сунуться мышкой в этот ключ выдается ошибка «Cannot open 3922e5d4: Error while opening key». При удалении то же самое, только «Error while deleting key».
Скажите пожалуйста, каковы шансы сковырнуть эту падаль без сильных разрушений?
Или все-таки придется форматировать диск Цэ и ставить форточки с нуля?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнился с таким же алертом.
Опять перегружал комп вручную.
Во время загрузки форточек на долю секунды мелькнул экран смерти.
Комп сам перегрузился. Винда загрузилась.
Произвел первое сканирование AVZ.
Перегрузил комп и всё.
После этого при каждой загрузке мелькает экран смерти и комп перегружается.
Винда предлагает загрузиться в безопасном режиме, но, как я раньше говорил, при загрузке в этом режиме комп перегружается при загрузке sptd.sys.
Кстати, во время выполнения скрипта и сканировании winpatrol выловил попытку установки в автозагрузку вызова утилиты "dumprep -k 0".
После вопроса Гриши (спустя 20 минут после выключения) включил комп и выбрал последнюю удачную конфигурацию. Загрузилось!
Произвел второй скан AVZ и HijackThis.
Логи прилагаются.
Эта падаль, когда я в сети, спамит с меня мылом.
Кстати, сразу после загрузки окон winpatrol опять ругнулся, что какая-то сволочь пытается в автозапуск прописать "dumprep 0 -k" (первый раз я ключи местами перепутал).
При выполнении скрипта выскочил тот же алерт: Invalid data type for ''.
Пришлось комп ресетить вручную, потому что через Start->Turn off он не рестартился.
Вирусняк и логи выслал.
Последний раз редактировалось skywriter; 06.04.2009 в 01:39.
Причина: опечатка в слове "data"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: