-
Junior Member
- Вес репутации
- 52
Новый вирус ychan.exe
Здравствуйте, дамы и господа! Поздравляю вас с новым вирусом!
Похоже, что данный вирус, уже гуляет два месяца или более, так как косвенные признаки я наблюдал ещё в ноябре 2009, но не придал им значение, а зря.
Итак, CureIt и AVPTool ничего не находят. Тем не менее, заражение флэшек происходит (правда почему-то не каждый раз, хитрость что-ли какая).
У меня есть сохранённые ветки реестра больной машины и почти все файлы зараженной флэшки, т.е. autorun и каталог где хранится или хранился exe файл. К сожалению самого файла C:\Grand\Terror\ychan.exe (вы его увидите в отчетах) никакими способами добыть не удалось. Зато есть подозрительная Shell32.dll у которой дата изменения 17/06/08 в то время как у нормальных сейчас дата 18/06/08. При копировании с зараженной машины подсовывается dll c нормальной датой изменения. Dll с датой 17/06/08 была получена после загрузки с диска аварийного восстановления. По правилам выкладываю пока только отчёты AVZ и HijackThis.
P/s/ самое главное, найти ответ на вопрос, не является ли это неким червём-трояном, который затем закачивает следующего качальщика, а тот в свою очередь следующего или вирусы или ещё какую дрянь.
Последний раз редактировалось pdn_mail; 22.01.2010 в 15:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Grand\Terror\ychan.exe','');
DeleteFile('C:\Grand\Terror\ychan.exe');
DelCLSID('{67KLN5J0-4OPM-01WE-AAX5-314CCA003177}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал. Но там только autorun который скриптом или ещё не знаю чем был выдернут с моей проверочной флэшки
В общем снял с машины винчестер, подцепил к другой и прогнал ещё раз на вирусы, ничего нет.
Но тут произошло следующее: Полез в логи машины на которой проверялся винчестер и вот что обнаружил, оказывается дней десять назад SpiderGuard таки лечил мою флэшку и вот он паразит, и он оказывается совсем не новый, а довольно таки старый:
Время: 15/01/2010 13:53:27.692
Источник: Dr.Web (R) Scanner for Windows
Объект: "G:\Grand\Terror\ychan.exe" (\Все:\Все)
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.7244
Результат: вылечен
Остаётся загадкой почему на проверяемой машине, назовём её машина "Б", avz сдетектировал этот самый "c:\Grand\Terror\ychan.exe"
Тут напрашивается два ответа:
1. Перед тем как пихать флэшку на этой машине были установлены самые наисвежайшие обновления, включая январские 2010 года. Может они не дали вирусу закончить свою работу, т.е. самому прописаться в корзине.
2. Этот гад мутировал во что-то более мерзкое и это меня тревожит более всего, или может я зря беспокоюсь? это было бы сильно круто для него?
К тому же неизвестен и ищется пока источник заращения, назовём его машина "А".
p/s/ Извиняюсь, забыл повторно hijackthis.log снять. Если нужен, то завтра выложу.
-
Internet Explorer обновите. ничего плохого не обнаружил. Проблема решена?
-
-
Junior Member
- Вес репутации
- 52
Да спасибо. Уже нашёл заражённую "машину "A" и пролечил.
А обновить до версии 3.0.17 ? Или поставить 3.5.3 ?
-
По моему Internet Explorer последняя версия восьмая
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-