-
Junior Member
- Вес репутации
- 52
Проблема с USB Autorun вирусом
Добрый день, уважаемые!
Имею жесткую проблему с USB Autorun вирусом на 2 машинах с XP
При каждом подлючении флешки на ней создается файл autorun.inf и папка TAJO с файлом selma.exe.
NOD32, DrWeb CureIT!, на этот файл молчат.
У меня большое подозрение на файл C:\WINDOWS\System32\Drivers\spyk.sys,
но в системе его как бы нет, и при каждой перезагрузке он изменяет имя, после 5 перезагрузок менялись последние 2 буквы (типа sprr.sys, spwt.sys).
В безопасном режиме файлов с похожим именем в папке нет.
Все остальное видно в логах.
Заранее спасибо за помощь.
Последний раз редактировалось Bratez; 26.01.2010 в 18:27.
Причина: убрал лишнее вложение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5199616857-3620719806-780939298-4667\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5199616857-3620719806-780939298-4667\nissan.exe');
DeleteFile('C:\WINDOWS\innounp.exe');
DeleteFile('E:\autorun.inf');
RegKeyParamDel( 'HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=68829).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
одну машину вылечил (2 раза пришлось скрипт прогнать), карантин выслал, (только нет там вроде ничего...)
к сожалению, со второй машиной проблемы продолжаются, после третьего прогона все по-прежнему, висят перехватчики
Грузился с LiveCD, файлов nissan.exe, innounp.exe, sp**.sys на диске нет.
AVP детектирует его файл на флешке, как Trojan.Win32.Agent.dgdj, хотя по описанию действий, ничего похожего не замечено (http://www.securelist.com/ru/descrip...n32.Agent.dgdj), но этот файл антивирус как раз ловит, а вот кто его туда пишет...
Последний раз редактировалось sera99; 27.01.2010 в 13:02.
-
Здесь работаем только с тем ПК, с которого логи!
Выполнили скрипт, прислали карантин - теперь новые логи нужны.
Для второго ПК - создайте отдельную тему с его логами.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Bratez, в этой теме логи с той системы, которую не удалось вылечить
Логи после выполнения скрипта:
Последний раз редактировалось sera99; 28.01.2010 в 10:42.
-
В логах ничего подозрительного.
Сообщение от
sera99
sp**.sys на диске нет
Это модули от эмулятора CD, не обращайте внмание.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Bratez, спасибо, успокоил
А от какого эмулятора, не подскажешь?
И почему каждый раз он с разным именем?
UPD: Удалил Alcohol 120%, козявки остались, отключил в "скрытых" устройствах "sptd", перезагрузился, все пропало, спасибо огромное
Но все равно, зачем ему каждый раз имя менять, это же типичное поведение для вирусняков...
Последний раз редактировалось sera99; 28.01.2010 в 16:55.
-
Алкоголь или Даемон Тулз. "Главный" там sptd.sys, у него имя не меняется и прописка постоянная в реестре и на диске. А эти создаются в памяти во время выполнения и на диске не хранятся.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Bratez, Еще раз спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \selma.exe - Trojan.Win32.Agent.dgdj ( DrWEB: BackDoor.IRC.Sdbot.8136, BitDefender: Backdoor.SDBot.DGED, AVAST4: Win32:Rootkit-gen [Rtk] )
-