Подозрение на вирусы...

Printable View

21.02.2011, 12:22
Hamrad

Подозрение на вирусы...

Здравствуйте!
Случайно обнаружил, что на карте памяти моего телефона появился авторанер и непонятный .pif - файл с рандомным(набор букв) именем. Выяснилось это случайно, путём подключения телефона к компьютеру в режиме "Карта памяти": KIS2010 предложил произвести обычную в этом случае проверку файлов на съёмном носителе и в процессе "Быстрой проверки" обнаружил авторанера. Удалил. На тот самый файл с расширением .pif ругаться не стал.. Я переименовал расширение файла в .txt на самом телефоне при помощи X-Plore и просмотрел его содержимое(там же, на телефоне). В глаза сразу бросилась строка "Hello world!"(буквы были разделены разными значками).. Насколько помню, данная строка появлялась в описании к файловому вирусу Win32.Sality... Самое интересное, что телефон в режиме "Съёмный носитель" не подключался уже очень давно - в основном, в режме PCSuite и именно к тому компьютеру, где сработал KIS... Загадки, да и только...
Произвёл он-лайн проверку на сайте Лаборатории Касперского и сайте Доктор Вэб: результат - "нулевой".. На ВирусТотале - идентифицирован 13/43.. Если вам понадобится "образец" - могу прислать: копия ещё есть.
Хочу теперь убедиться, что на компьютере ничего от Салити нет... Сделал необходимые логи, прилагаю:
21.02.2011, 12:53
olejah

Здравствуйте!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
QuarantineFile('C:\Program Files\teraterm\ttptek.dll','');
QuarantineFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif','');
DeleteFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
21.02.2011, 13:48
Hamrad

Скрипт выполнен. Карантин создан и отправлен:
Файл сохранён как 110221_134724_quarantine_4d6242bcebe43.zip
Размер файла 238316
MD5 f3b383e79f897f9e8a124ac6ab6c0249

Gmer в процессе экспресс-проверки обнаружил скрытый процесс(см. скриншот). При запуске полного сканирования на проверке драйвера Ntfs.sys - дважды вылетает в BSOD... Попробую третий раз - если снова произойдёт такой же затык - смогу приложить только лог экспресс-проверки...
21.02.2011, 15:46
Hamrad

Лог от Гмера получен... Сканирование шло очень долго и в конце, когда сохранял лог, компьютер повис намертво. После ребута лог, слава Богу, оказался на месте...:)
Прикладываю:

P.S. Странно, KIS постоянно включён и регулярно обновляется, тем не менее, зараза попала-таки...:(
21.02.2011, 16:17
olejah

- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]gmer.exe[/B](GMER) и запустите этот батник(1.bat):

[CODE]gmer.exe -del service yqjppud
gmer.exe -del file "C:\WINDOWS\system32\jsnyyxe.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yqjppud"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\yqjppud"
gmer.exe -reboot[/CODE]

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
21.02.2011, 17:06
Hamrad

Гмер отработал с ошибками наподобие "Не найден указанный модуль". После перезагрузки запустил Гмер на экспресс-анализ: руткит-активности вроде не выявлено... Нужен ли новый лог от Гмера?
KIS не может завершить операцию обновления баз - завершается с соответствующей ошибкой.
Новые логи AVZ и HiJackThis прилагаю:
21.02.2011, 18:29
Hamrad

KIS по-прежденму не может обновиться; откат к предыдущей версии вирусной базы не помог. Интерент работает с "тормозами"... В Диспетчере Задач "левых" процессов не висит...
22.02.2011, 10:08
Hamrad

Проблема с обновлением KIS-а решилась путём переустановки программы. Попробовал просмотреть логи самостоятельно - вроде бы ничего плохого не заметил.. На всякий случай отправил вам по красной ссылке тот самый подозрительный pif-файл:

Файл сохранён как 110222_100627_EWVRNX.pif_4d63607395ce2.zip
Размер файла 7504
MD5 9c304c486ccb1d9bb4fda7252e85c4e5
01.03.2011, 10:00
Hamrad

Тему можно закрывать за давностью.
Новые угрозы не обнаружены.
Всем спасибо!:)
02.03.2011, 10:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]