Тоже порнобаннер

**Hexpl0rer** · 01.12.2009, 00:05

Схема стандартная, как и у других.
Но, в пятницу этот же порнобаннер был совсем другой модификации - было несколько библиотек в system32, их видел NOD32 из-под чистой системы, после очистки всех временных папок, корзины, и этих файлов, а так же восстановления с помощью AVZ, вирус был поборот.
Сегодня же попалась новая модификация:
- AVZ, NOD32, Cureit ничего не видят из-под чистой системы.
- попытка запуска в зараженной системе любого исполняемого файла (ехе, pif, com и др.) приводит к вылезанию порнобаннера, т.к. изменены параметры запуска этих файлов.
- заблокированы диспетчер задач и редактор реестра
- при попытке запуска хайджека, AVZ или combofix система уходит в завершение работы.

Что удалось обнаружить - запускаемые файлы, положенные в автозагрузку, запускаются без вылезания порнобаннера и работают около 5 секунд, после чего либо закрываются, либо система выключается.
Было вручную прибито пара десятков запускаемых файлов из корня диска, из темпа, файлы свежие.
Экземпляр вируса пойман на сайте

www.urod.ru, NOD32 даже не пискнул, просто система повисла. Достаточно просто было открыть сайт.

Попытки сделать хоть какие-то логи пока безуспешны - не запускается вообще ничего. Безопасный режим - та же ситуация.

Подскажите программку для анализа файлов реестра без загруженной системы, может там что-то найду в автозапуске и службах.

Добавлено через 7 минут

Запуск полиморфной версии AVZ, переименованной версии и попытки переименования всех остальных антивирусных программ - 5 секунд работают из автозагрузки, затем завершение работы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 01.12.2009, 00:19

Hijack можете запустить?

**Hexpl0rer** · 01.12.2009, 02:36

Нет.
В зараженной системе невозможно запустить никакие exe, com, bat, pif, scr файлы иначе, как через автозагрузку.
Через автозагрузку есть только 5 секунд работы, я за это время успеваю только ткнуть в кнопку, затем программа прибивается, компьютер выключается.

Добавлено через 1 час 14 минут

с чистой операционки система просканирована свежим касперским (обновление базы 1 час назад) Чисто. Но не работает, вирус активен.

Добавлено через 51 минуту

Проблема устранена. Удалось через автозагрузку запустить gmer. В нем нашел библиотеку с непривычным именем - opYVu.dll, грохнул её. После перезапуска запустился AVZ.

Библиотека не определяется антивирусами, могу скинуть для анализа, если кому-то надо.

Метод лечения - в папку автозагрузки закинуть исполняемый файл gmer. C его помощью снять логи автозапуска и загружаемых драйверов. Он не вырубается данным вирусом.
Всем спасибо. Готов сотрудничать дальше.

**Шапельский Александр** · 01.12.2009, 09:00

Логи АВЗ сделайте!

**Hexpl0rer** · 01.12.2009, 11:01

лог.
Вот только систему я уже почистил немного

**thyrex** · 01.12.2009, 13:33

toy3hp8e.bat, toy3hp8e.exe в автозагрузке - это что?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\opYVu.dll','');
DeleteFile('C:\WINDOWS.0\system32\opYVu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог