Printable View
Добрый день! Похоже на вирус, хотя он никак себя не проявил пока. Предыстория: скачал один keygen, проверил его drweb, вроде ничего не нашел, запустил его, а он взял и удалил сам себя - сто пудов кудато прописался и следы замел.
файлы прилагаю, гляньте что не так, плиз.
[QUOTE='glory15;644833']сто пудов кудато прописался и следы замел.[/QUOTE]Не обязательно. Мог просто собрать все сохраненные пароли и отправить хозяину.
Откуда скачали keygen? Напишите, лучше в личном сообщении.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Ну проблема почти решена: drweb наконец-то стал его обнаруживать как Trojan.DownLoad1.60983 - помогли последние апдэйты. Правда на него по опыту надежды мало. Обычно раньше AVZ только и спасало. Правда на этот раз даже AVZ меня в тупик поставил - чтото никак не могу понять, под каким именем он гад скрывается. Так что буду признателен любой помощи.
Ссылку на вирус в чистом виде скину в личку.
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Народ! Будьте внимательны, похоже это новый вирус и его пока что еще распознают немногие антивири (сужу по данным проверки на [url]www.virustotal.com[/url]). Мне он попался, как уже говорил выше, в виде проги-keygen. Так что не забывайте проверять левое ПО.
Кстати, drweb как и ожидалось, пока что не справляется с задачей: в чистом виде файл он конечно обнаружил, но вот найти заразу в недрах винды пока не смог :(
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 2 минуты[/I][/B][/color][/size]
[QUOTE]Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url][/QUOTE]
сделал!
Новости: в списке системных dll обнаруживаются призраки типа Procexp141.sys и dump_iaStor.sys и судя по гуглу эти файлы так или иначе встречаются в проблемных постах.
ПО ссылке скачать не могу. Загрузите файл в zip архиве с паролем virus по ссылке [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.
Готово!
Файл сохранён как 100528_153740_Keygen_TweakXP.com.Tweaking.Utility.v2.0.45059_4bffab044e248.zip
Размер файла 64962
MD5 e3affc0df661206f848bfc25de2b00fb
Файл после запуска обращается к трем IP адресам: 216.240.146.119, 66.96.219.38, 66.199.229.230
Поменяйте все пароли, на всякий случай.
Насколько я понял, вирус пытался прописаться в системе как драйвер какого-то устройства. Для этого он создал пару файлов в папке C:\Users\user_name\AppData\Local\Temp вроде с расширением sys. Имена были в виде случайных наборов букв. После первой перезагрузки винда предложила установить драйвера для нового оборудования. Я естественно отказался. Затем вообще сделал Uninstall этому оборудованию через Device Manager. Но видать это не сильно помогло.
В реестре встречаются строки с названием Procexp141 типа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCEXP141. Удалить этот ключ не дает. Похожие ключи есть и в других CurrentControlSetХХХ.
Пока что это все что удалось накопать.
А под имена Procexp141.sys и dump_iaStor.sys вирус "сто пудов" маскируется т.к. загружался в режиме Windows Recovery и не нашел ни одного из файлов на диске.
Очень сложно искать чёрную кошку в темной комнате, особенно если её там нет. :)
Хотите сказать, что вируса у меня нету? А чем тогда объяснить наличие процессов, которые подменяют свой PID (их наличие выдает AVZ)? Или это нормальное поведение?
Для Windows Vista Service Pack 1 это нормально. Кстати, не помешало бы установить SP 2 для Vista: [url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d[/url]
ОК. В любом случае спасибо, что уделили внимание!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \keygen_tweakxp.com.tweaking.utility.v2.0.45059.exe - [B]Packed.Win32.Katusha.n[/B] ( DrWEB: Trojan.DownLoad1.60983, NOD32: Win32/TrojanDownloader.FakeAlert.AYQ trojan )[/LIST][/LIST]