Еще один siszyd32.exe

Printable View

15.12.2009, 11:15
Kif62

Вложений: 3

Еще один siszyd32.exe

Вчера Nod32 выловил эту бяку, одну видимо прибил, другую не смог:
[QUOTE]Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
14.12.2009 14:57:45 AMON файл D:\Temp\~TM172.tmp модифицированный Win32/Kryptik.BID троян NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe. Файл удален.
14.12.2009 14:57:03 AMON файл D:\Temp\~TM170.tmp Win32/TrojanProxy.Tikayb.A троян удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe.
[/QUOTE]Сегодня svchost.exe грузит процессор на 100%, свежий cureit ничего не находит, файл siszyd32.exe прибил ручками в безопасном режиме и вычистил из реестра его остатки. Пока все вроде бы нормально.

Логи сделаны до ручной чистки, посмотрите пожалуйста, не было ли там еще чего.
PS: вчера же, с моего номера ICQ моим контактам был разослан спам, пароль на аську уже сменил. События с трояном на 99% не связаны, но тем не менее.
15.12.2009, 17:12
Bratez

[QUOTE='Kif62;535276']Логи сделаны до ручной чистки, посмотрите пожалуйста, не было ли там еще чего[/QUOTE]
Кроме siszyd32.exe ничего плохого не видно.
Повторите лог по п.2 Диагностики, чтобы сомнений не осталось.
15.12.2009, 17:17
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NIK\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
16.12.2009, 11:19
Kif62

Добрался до компьютера, запустил браузер (FireFox) пока грузились вкладки зазвучала музыка (типа индийской или восточной песни), оказалась что открыта какая-то "левая" страница сомнительного содержания, страницу закрыл - музыка прекратилась. Выполнил скрипт, начал делать лог AVZ, при этом забыл отключить NOD32, сработал NOD с сообщением:
[QUOTE]Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
16.12.2009 10:43:52 AMON файл C:\WINDOWS\system32\DRIVERS\asyncmac.sys Win32/Agent.QMR троян удален NIKOLAY\NIK Событие при попытке доступа к файлу приложением E:\TOOLS\AVIRUS\avz4\avz.exe.
[/QUOTE]
сразу скачал свежий cureit, он нашел следующее:
[QUOTE]C:\WINDOWS\system32\drivers\pdphnyqn.sys инфицирован Trojan.Packed.600 - удален
D:\Temp\~TM1A.tmp инфицирован Trojan.Packed.17782 - неизлечим - перемещен[/QUOTE]

после этого сделал все логи по новой
16.12.2009, 14:28
thyrex

Пофиксите в HiJack
[code]O20 - AppInit_DLLs:[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp');
QuarantineFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.12.2009, 10:44
Kif62

[QUOTE=thyrex;536424]Пофиксите в HiJack
[code]O20 - AppInit_DLLs:[/code][/QUOTE]я вчера вместо NOD32 установил KIS 2010, но для чистоты эксперимента проверок не делал, в HiJack эта строка приняла вид [CODE]O20 - AppInit_DLLs: ,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll[/CODE]Перед выполнением скрипта в AVZ специально заглянул в папку "c:\Documents and Settings\NIK\DoctorWeb\Quarantine\" убедиться что файл ~TM1A.tmp там есть и он там был. Во время выполнения скрипта AVZ сообщала о каких-то ошибках, но перезагрузка помешала их прочесть. После перезагрузки этот файл из карантина DoctorWeb исчез, а в карантине AVZ его не оказалось, остались лишь файлы bcqr00001.ini и bcqr00002.ini с содержимым вида
[CODE][InfectedFile]
Src=\??\C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034[/CODE]самих файлов bcqr0000*.dat нет. Антивирус был все время отключен и его логи чистые, попытка восстановить "зловреда" с помощью программ восстановления тоже не увенчалась успехом.:unknw:
Новые логи прилагаю.
17.12.2009, 10:52
snifer67

Чисто

Установите Internet Explorer 8
17.12.2009, 12:21
Kif62

[QUOTE=snifer67;537204]Чисто[/QUOTE]спасибо

[QUOTE]Установите Internet Explorer 8[/QUOTE] я и шестым не пользуюсь, только Firefox.
И все же непонятно куда делся карантин?
17.12.2009, 12:23
snifer67

[quote]И все же непонятно куда делся карантин?[/quote]
Убежал...
[quote]я и шестым не пользуюсь, только Firefox.[/quote]
Надо всеравно обновлять.