Подозреваю что у меня SP3 с паразитом

Printable View

14.04.2009, 08:13
begunok

Вложений: 3

Установил SP3 с полным форматированием раздела. Пока устанавливал ПО и "прилизывал" систему, Symantec показал нездоровую активность в System Volume Information. Проверил целиком, пусто, а трояны с завидной переодичностью снова появлялись в System Volume Information. Потом все затихло. Ни Symanteс, ни Dr.Web ничего не находят. Вчера проверил с помощью AVZ, показал неопределенные перехватчаки, подозрение на троянскую DLL и снова паразиты в System Volume Information. Прошу проверить логи.

Кстати, причина переустановки SP3 - "lsass.exe - системная ошибка" с кнопкой OK для перезагрузки(в безопасном режиме то же самое). И случилось это после взлома моего WMID. Боюсь повторения.
14.04.2009, 12:06
PavelA

Увидел только вот это:
[CODe]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODe]

сделать новые логи.
15.04.2009, 08:17
begunok

Вложений: 3

После выполнения скрипта, за секунду до перезагрузки, Symantec успел поместить в карантин вот это: [COLOR="Blue"]Trojan Horse[/COLOR] файл [B]vdi2njkw.sys[/B] путь [B]C:\windows\system32\drivers[/B]

Новые логи:
15.04.2009, 10:32
Rene-gad

[QUOTE=begunok;387685]Symantec успел поместить в карантин вот это[/QUOTE]
А Вы правила читали?
[QUOTE]6. Отключитесь от сети Интернет и [B]выгрузите антивирусную программу[/B]...[/QUOTE]
Ничего в логах не видно.
15.04.2009, 10:56
begunok

Спасибо. [QUOTE]А Вы правила читали? [/QUOTE]Да, читал. Все проверки проводились с выключеным антивирусником. Единственное, скрипт выполнялся с включенным(упустил из виду :sorry: ).
15.04.2009, 11:09
Rene-gad

[QUOTE=begunok;387736]Единственное, скрипт выполнялся с включенным(упустил из виду).[/QUOTE]Так как же выключенному антивирусу удалось сожрать файл? :>
15.04.2009, 11:36
begunok

Не, когда я скрипт запустил и он уже выполнялся, увидел, что у меня Symantec дежурит. Скрипт предполагал RebootWindows, так вот перед самой перезагрузкой на долю секунды мелькнуло окно Symantecа и комп перезагрузился. После перезагрузки я в изолятор заглянул и увидел, что он там сожрал. Мне показалось подозрительным такое поведение. А что, файл vdi2njkw.sys Вам знаком?:O
15.04.2009, 11:41
Rene-gad

[QUOTE=begunok;387748] А что, файл vdi2njkw.sys Вам знаком?[/QUOTE]Нет, Вы же скормили его Симантеку :D
15.04.2009, 11:50
begunok

Как же быть? Может упаковать и выслать как карантин? Он у меня в изоляторе Symanteca своей участи ждет.
15.04.2009, 12:07
Rene-gad

[QUOTE=begunok;387756]Может упаковать и выслать как карантин? .[/QUOTE]Сделайте, плиз, только в безопасном режиме, а то Симантек его опять сожрет.
15.04.2009, 12:36
begunok

Ок. Только в пятницу, раньше не смогу.

Файл сохранён как 090417_075300_virus_49e7fd1cd9764.zip
Размер файла 5337
MD5 865239bf5d3bec0a3b137debb7097be7

Оказалось, что Симантек еще и одноименную(vdi2njkw) службу ушатал.
17.04.2009, 09:55
Rene-gad

[QUOTE]vdi2njkw.sys

Вредоносный код в файле не обнаружен.[/QUOTE]Отошлите файл в техподдержку Симантек: это драйвер бутклинера AVZ :D
18.04.2009, 09:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]