Здравствуйте!
Извините за беспокойство, но к сожалению не смог справиться самостоятельно с весьма интересным вредоносным ПО. Симптомы такие:
через некоторое время после старта Windows XP (ориентировочно 3 - 5 минут) в списке процессов появляется ещё один svchost, запущенный от имени NT AUTHORITY\SYSTEM. При чём не видно ни исходного файла - образа ни времени запуска. Поведение весьма похоже на корневой процесс System, то есть:
version: n/a
Time: n/a
Path: Not Available
Единственно показано, что запускается вроде как от services.exe:
Parent: Services.exe (PID). При чём PID соответствует реально запущенному рабочему C:\WINDOWS\system32\services.exe.
Далее практически сразу же запускается по 1 экземпляру C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\System32\svchost.exe
уже как обычные рабочие приложения родителем которых является процесс Winlogon.exe:
Parent: Winlogon.exe
Далее запускается экземпляр C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
При этом начинается отправка почты на сторонние адреса.
При попытке завершения исходного svchost или
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe или
C:\WINDOWS\system32\braviax.exe или
C:\WINDOWS\System32\svchost.exe
появляются экземпляры C:\WINDOWS\System32\svchost.exe при этом происходит активная рассылка писем. В итоге остаётся минимум 2 процесса C:\WINDOWS\System32\svchost.exe убить которые можно путём манипуляции с их тредами
Путём удаления тредов из процессов C:\WINDOWS\System32\svchost.exe всё таки добился, что оба процесса завершились. После этого произвёл удаление замеченных мною и, как мне показалось, связанных с "пиратской" деятельностью непрошенных гостей, файлов:
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\wisdstr.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\dllcache\figaro.sys
C:\WINDOWS\system32\wisdstr.exe
C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\system32\drivers\927365d4.sys
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
и плюс ещё 2 файла
msword98.exe
ikowin32
где какой располагается уже не помню (вчера до 6 утра всю ночь боролся с заразой)
Однако после перезагрузки всё начиналось заново. При этом практически идентичная картина была и при чистке в безопасном режиме.
Прошу меня простить за довольно длительный рассказ, однако ОЧЕНЬ хотелось бы избавиться от подобной заразы побыстрей. Пожалуйста помогите!
С Уважением, Михаил
Последний раз редактировалось mike999666; 13.08.2009 в 22:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Извините! Я не удержался и уже удалил
C:\WINDOWS\system32\regedit.exe (антивирус нашёл).
В общем на первый взгляд паразитическая активность более не наблюдается. СПАСИБО ВАМ БОЛЬШОЕ!
Высылаю логи
P.S.
Вы знаете сейчас обнаружил у себя в панели управления такой элемент как Windows Security Center. У него иконка точь в точь как была у такого файла как C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
В результате понял, что рано радовался и, воспользовавшись реестром, убедился в этом.
Были замечены подозрительные объекты в реестре:
- ключ braviax в следующем имени раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- в значении ключа braviax.exe 11 КБ 13.08.2009 131 по имени FriendlyName, находящегося в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\hashes\{eb524ebe-b2bf-46f8-aa98-2f3f73df0bb0}
- в значении ключа C:\WINDOWS\system32\braviax.exe по имени ItemData, находящегося в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\paths\{672bd281-9aac-4eba-bbcb-35a0ce254b6c}
- в имени ключа braviax в разделе
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\run
- в имени ключа braviax в разделе
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\run
- в подразделе
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\ComDlg32\OpenSaveMRU
имеется 3 подраздела в каждом из которых присутствует множество ключей с "заразными" файлами
Кстати в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\paths
имеется всего 6 папок подразделов, в которых есть аналогичные указания на крайне подозрительные файлы
C:\WINDOWS\system32\dllcache\figaro.sys
C:\WINDOWS\system32\drivers\beep.sys
WINDOWS\system32\drivers\927365d4.sys
C:\WINDOWS\system32\wisdstr.exe
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
Аналогичная ситуация и в
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{69338521-27E4-4BA1-9803-28F7FDC043F7}Machine\Software\Policies\Microsoft\W indows\Safer\CodeIdentifiers\0\Hashes
В папке C:\Windows появилась куча разных файлов, имена и пути которых в реестре встречаются в одном разделе с уже известными figaro.sys, beep.sys, braviax.exe и т. д.
Возможно всё это просто мусор, оставшийся от вируса, но всё таки хотелось бы услышать Ваше мнение по этому поводу
Просто есть желание быть относительно уверенным, что "зараза ушла окончательно".
Может быть ещё парочку скриптиков подбросите
Заранее Спасибо
Последний раз редактировалось mike999666; 15.08.2009 в 02:05.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сообщение от mike999666
P.S.
Вы знаете сейчас обнаружил у себя в панели управления такой элемент как Windows Security Center.
В принципе Windows Security Center принадлежит к системе
- ключ braviax в следующем имени раздела реестра:
Все элементы реестра с ключом braviax надо удалить.
Кстати в разделе... есть аналогичные указания на крайне подозрительные файлы
Кроме C:\WINDOWS\system32\drivers\beep.sys, кторый может быть как хорошим, так и патченным, все остальные - зловреды.
В папке C:\Windows появилась куча разных файлов, имена и пути которых в реестре встречаются в одном разделе с уже известными figaro.sys, beep.sys, braviax.exe и т. д.
ок да, в общем то активность вируса пропала. Да и из панели Windows Security Center тоже исчез. Большое Вам СПАСИБО!
Надеемся, что вирус не ушёл как нибудь вообще глубоко, что его уже ничем не достать
ОГРОМНОЕ ВАМ СПАСИБО! а то уже готовился сносить винду
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: