Показано с 1 по 8 из 8.

Совершенно ничем не видимый вирус (заявка № 89825)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    19
    Вес репутации
    33

    Совершенно ничем не видимый вирус

    Ось -Windows XP SP3 с самыми свежими обновлениями. Вирус блокирует антивирусы, в том числе и утилиту AVZ (а в безопасном режиме, даже если запускать с ключём ag=y). Других симптомов не выявил, но наверняка они имеются). Загружался со свежей сборки LiveCD (от 6 октября), прогонял Mcafee, Cureit-ом, вставлял жёсткий диск в другой компьютер, просканировал 6-м касперем и 4-м нодом (естественно с самыми свежими обновлениями). Никакой заразы они не видят, точнее другую какую-то заразу удалили (Trojan-downloader.java.agent.dm Exploit.Java.Agent.e Trojan.Java.Agent.I..), но после этого ничего не изменилось, зараза по-прежнему блокирует антивирус.. В отличие от проблемматичных "агентов", не блокирует ни cmd ни безопасный режим, но даже в безопасном режиме замаскированный процесс висит в памяти и не даёт запустить AVZ. Собствено вот этот список процессов:

    Имя образа PID Имя сессии № сеанса Память
    ========================= ====== ================ ======== ============
    System Idle Process 0 0 16 КБ
    System 4 0 208 КБ
    smss.exe 168 0 392 КБ
    csrss.exe 220 0 3 680 КБ
    winlogon.exe 244 0 2 644 КБ
    services.exe 288 0 6 948 КБ
    lsass.exe 300 0 1 328 КБ
    svchost.exe 456 0 3 488 КБ
    svchost.exe 500 0 4 320 КБ
    svchost.exe 552 0 10 008 КБ
    explorer.exe 1572 0 28 252 КБ
    wmiprvse.exe 1756 0 4 960 КБ
    cmd.exe 1928 0 1 448 КБ
    tasklist.exe 1936 0 3 300 КБ
    wmiprvse.exe 1968 0 5 784 КБ

    taskkill-ом пытался глушить 552 1756 и 1968, в результате чего убирается только один из wmiprvse, оба других вроде как успешно завершаются и моментально возобновляются. ..
    Кстати если завести нового пользователя (с правами пользователя) то при первом сеансе удаётся запустить AVZ, спокойно без всяких ключей и переименовываний, но в процессах ничего подозрительного не показывает, всё "зелёным" отмечено, тоесть AVZ-шка тоже не видит эту дрянь в списке активных процессов. При втором и дальнейших сеансах происходит таже ерунда,и AVZ уже не срабатывает. Заражение произошло как только я перешёл по этой ссылке из-под файрфокса [DELETED]
    Сразу закрылся антивирус (Нод32) и при перезагрузке больше не стартовал. На мой взгляд совершенно гениально написанный вирус, раз он так спокойно обошёл все защиты и внедрился. Надеюсь что я не первый, кто его подцепил, и о нём уже что-то известно..хотя судя по тому, что его не видит ни один антивирус, то врядли. Сейчас вот рискнул с другого компьютера ещё раз пройти по ссылке(с установленным 6-м касперским), и выскочила информация о потенциально опасном ПО: Trojan.generic с попыткой сделать изменения в реестре.
    Последний раз редактировалось Никита Соловьев; 15.10.2010 в 23:21. Причина: ссылка удалена

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Сделайте лог ComboFix

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    19
    Вес репутации
    33
    Вот сделал лог. Из других симптомов отметил, что мозила файрфокс больше запускаться не хочет, Internet Explorer на антивирусные сайты не пускает (в том числе и сюда), справляюсь при помощи Opera Portable. А ещё если нажать на любой файл или ярлык правой кнопкой и в выпадающем списке навести курсор на пункт "отправить", то винда какбы сбрасывается, закрываются все программы, словно перезахожу под своей учёткой вновь.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\moxhih.exe
    
    
    Folder::
    c:\program files\Common Files\3CC1E8D9a
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    пробуйте запустить AVZ и сделать логи...

  6. #5
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    19
    Вес репутации
    33
    Спасибо, мне помогло! Антивирусы запускаются, как-будто сейчас никакой заразы и нет. Высылаю логи, так же создался архив с карантином virusinfo_cure.zip, высылать не нужно?
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    Чисто.

    - Удалите ComboFix

    virusinfo_cure.zip, высылать не нужно?
    Нет.

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    19
    Вес репутации
    33
    Спасибо огромное!!! Ваша работа самая-самая полезная и лучшая!!! А почему антивирусы не увидели этой заразы, потому что она ещё совсем новая и её не успели занести в базы?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    Цитата Сообщение от Sanek81 Посмотреть сообщение
    А почему антивирусы не увидели этой заразы, потому что она ещё совсем новая и её не успели занести в базы?
    Да, либо Вы их не обновили

  • Уважаемый(ая) Sanek81, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Что здесь совершенно лишнее в моем компьютере?
      От Ченгачгук в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.10.2010, 20:55
    2. Ответов: 15
      Последнее сообщение: 15.01.2008, 13:50
    3. Совершенно новый проект... и все такое...
      От Xen в разделе Технические и иные вопросы
      Ответов: 1
      Последнее сообщение: 12.12.2004, 08:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00583 seconds with 21 queries