Показано с 1 по 7 из 7.

Вирус маскируется в поток NTFS, никак не выковыряю! (заявка № 58257)

  1. #1
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    26

    Thumbs up Вирус маскируется в поток NTFS, никак не выковыряю!

    Доброго вечера!
    Кусок из лога AVZ:

    Прямое чтение C:\WINXP\system32\drivers\sptd.sys
    Прямое чтение C:\WINXP\system32:Up_system.exe:$DATA
    C:\WINXP\system32:Up_system.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

    Оно висит в HKLM и еще одна гадость в HKCU (Screen3D.scr), убить в реестре нельзя, появляется заного, втч в безопасном режиме, нод и VRT бессильны, в процессах не видно.

    После загрузки системы создает безоконные процессы с Оперой и Осликом, они закачивают троянцев с китайских адресов.

    Очень интересно, как можно справиться с подобной ситуацией. Заранее спасибо!

    З.Ы. ОС - сборка нлайтом из XPSP3 VLK, обновлений никаких не делалось.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXP\system32\drivers\HH9Help.sys','');
    DelCLSID('U02EBY50-4MUH-AO1R-5C25-SG31877266ST');
     QuarantineFile('C:\WINXP\system32\scvhost.exe','');
     QuarantineFile('C:\WINXP\system32\Screen3D.scr','');
     QuarantineFile('C:\WINXP\system32:Up_system.exe','');
     DeleteFile('C:\WINXP\system32:Up_system.exe');
     DeleteFile('C:\WINXP\system32\Screen3D.scr');
     DeleteFile('C:\WINXP\system32\scvhost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    26
    Огромное спасибо, не догадался в драйверах посмотреть! Будет наука теперь )))

    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.

    Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?

    Еще раз благодарю, вопрос снят!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
    Надо отсылать, если хелпер затребовал файл

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от PhotonBox Посмотреть сообщение
    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
    Пришлите всё таки.
    Цитата Сообщение от PhotonBox Посмотреть сообщение
    Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?
    Да.

  7. #6
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    26
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Пришлите всё таки.
    Да.
    Там доморощенный самописный кейлоггер\ворователь хистори асек и скайпа. Хороший друг летом попросил проверить его девушку (нонче - жену ). Тестировал, естесственно, на себе, да так и забыл про файлик. Извините, если ввел в заблуждение , еще раз СПАСИБО!!!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\winxp\system32\screen3d.scr - Trojan.Win32.Sasfis.sgw ( DrWEB: Trojan.PWS.Multi.76 )
      2. c:\winxp\system32:up_system.exe - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\winxp\system32:up_system.exe:$data - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) PhotonBox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.09.2011, 03:00
    2. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 30.09.2011, 00:00
    3. Вирус маскируется под Winlogon.exe
      От Rubec в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.09.2009, 11:14
    4. Ответов: 6
      Последнее сообщение: 30.10.2008, 11:56
    5. Новый вирус маскируется под ролик YOUTUBE
      От XP user в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 22.09.2008, 15:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00360 seconds with 22 queries