-
Junior Member
- Вес репутации
- 51
Скрытые процессы
Добрый день! Похоже на вирус, хотя он никак себя не проявил пока. Предыстория: скачал один keygen, проверил его drweb, вроде ничего не нашел, запустил его, а он взял и удалил сам себя - сто пудов кудато прописался и следы замел.
файлы прилагаю, гляньте что не так, плиз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
glory15
сто пудов кудато прописался и следы замел.
Не обязательно. Мог просто собрать все сохраненные пароли и отправить хозяину.
Откуда скачали keygen? Напишите, лучше в личном сообщении.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 51
Ну проблема почти решена: drweb наконец-то стал его обнаруживать как Trojan.DownLoad1.60983 - помогли последние апдэйты. Правда на него по опыту надежды мало. Обычно раньше AVZ только и спасало. Правда на этот раз даже AVZ меня в тупик поставил - чтото никак не могу понять, под каким именем он гад скрывается. Так что буду признателен любой помощи.
Ссылку на вирус в чистом виде скину в личку.
Добавлено через 18 минут
Народ! Будьте внимательны, похоже это новый вирус и его пока что еще распознают немногие антивири (сужу по данным проверки на www.virustotal.com). Мне он попался, как уже говорил выше, в виде проги-keygen. Так что не забывайте проверять левое ПО.
Кстати, drweb как и ожидалось, пока что не справляется с задачей: в чистом виде файл он конечно обнаружил, но вот найти заразу в недрах винды пока не смог
Добавлено через 2 часа 2 минуты
сделал!
Новости: в списке системных dll обнаруживаются призраки типа Procexp141.sys и dump_iaStor.sys и судя по гуглу эти файлы так или иначе встречаются в проблемных постах.
Последний раз редактировалось glory15; 28.05.2010 в 13:11.
Причина: Добавлено
-
ПО ссылке скачать не могу. Загрузите файл в zip архиве с паролем virus по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 51
Готово!
Файл сохранён как 100528_153740_Keygen_TweakXP.com.Tweaking.Utility. v2.0.45059_4bffab044e248.zip
Размер файла 64962
MD5 e3affc0df661206f848bfc25de2b00fb
-
Файл после запуска обращается к трем IP адресам: 216.240.146.119, 66.96.219.38, 66.199.229.230
Поменяйте все пароли, на всякий случай.
-
-
Junior Member
- Вес репутации
- 51
Насколько я понял, вирус пытался прописаться в системе как драйвер какого-то устройства. Для этого он создал пару файлов в папке C:\Users\user_name\AppData\Local\Temp вроде с расширением sys. Имена были в виде случайных наборов букв. После первой перезагрузки винда предложила установить драйвера для нового оборудования. Я естественно отказался. Затем вообще сделал Uninstall этому оборудованию через Device Manager. Но видать это не сильно помогло.
В реестре встречаются строки с названием Procexp141 типа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_PROCEXP141. Удалить этот ключ не дает. Похожие ключи есть и в других CurrentControlSetХХХ.
Пока что это все что удалось накопать.
А под имена Procexp141.sys и dump_iaStor.sys вирус "сто пудов" маскируется т.к. загружался в режиме Windows Recovery и не нашел ни одного из файлов на диске.
-
Очень сложно искать чёрную кошку в темной комнате, особенно если её там нет.
-
-
Junior Member
- Вес репутации
- 51
Хотите сказать, что вируса у меня нету? А чем тогда объяснить наличие процессов, которые подменяют свой PID (их наличие выдает AVZ)? Или это нормальное поведение?
-
Для Windows Vista Service Pack 1 это нормально. Кстати, не помешало бы установить SP 2 для Vista: http://www.microsoft.com/downloads/d...3-99ff6f22448d
-
-
Junior Member
- Вес репутации
- 51
ОК. В любом случае спасибо, что уделили внимание!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \keygen_tweakxp.com.tweaking.utility.v2.0.45059.ex e - Packed.Win32.Katusha.n ( DrWEB: Trojan.DownLoad1.60983, NOD32: Win32/TrojanDownloader.FakeAlert.AYQ trojan )
-