Прошёл через NOD32 как горячий нож сквозь масло.
Обнаружен был следующим образом. В папке system 32 были замечены два подозрительных свежих tmp файла, один именовался L287D.tmp, второй как-то очень похоже.
Глубокая проверка NOD32 ничего не обнаружила, Kaspersky Online Scanner - тоже. AVZ4 при сканировании обнаружила при поиске перехватчиков API, работающих в UserMode множество перехваченных функций, но итоговый результат - "найдено вредоносных программ 0, подозрений - 0".
Возникло подозрение, что пойман какой-то rootkit.
Подозрительные tmp файлы были удалены при помощи AVZ4 с чисткой следов.
В момент их удаления появилась (или стала видна) скрытая папка C:\WINDOWS\system32\wsnpoem в которой находились два скрытых файла: audio.dll 0 bytes и video.dll 0 bytes. Эти файлы AVZ4 удалить уже не могла, но стало понятно, что могло вызвать появление этих файлов. И действительно, в реестре была обнаружена запись
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe,
Была предпринята попытка побороть ntos согласно рекомендации размещенной здесь: http://www.viruslist.com/ru/viruses/...virusid=164339
Результат получился нулевой, а в реестре появились следующие записи:
REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe_,C:\WINDOWS\system32\_ntos.ex e,C:\WINDOWS\system32\ntos.exe,
Более того, после перезагрузки скрытая папка C:\WINDOWS\system32\wsnpoem перестала быть видима.
Что ещё может заинтересовать:
1) процесс ntos.exe активен несколько секунд после загрузки Windows потом он выгружается или маскируется (одновременно с ним активен userinit.exe);
2) Сure it ничего не видит;
3) В момент проверки сразу после инсталляции именно эту проблему видит Partizan (unhackme), но после перезагрузки компьютера по требованию самого Partizan'а он перестают что-либо видеть. Замечает снова только после сноса и повторной инсталляции в момент первой проверки.
4) SDFix при запуске Catchme видит скрытые файлы, причем добавился audio.dll.cla и video.dll перестал быть пустым
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll 0 bytes
C:\WINDOWS\system32\wsnpoem\audio.dll.cla 291 bytes
C:\WINDOWS\system32\wsnpoem\video.dll 3514 bytes
C:\WINDOWS\system32\ntos.exe 481792 bytes executable
Прошу специалистов помочь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Фиксить HiJackThis не пришлось - после выполнения скрипта и перезагрузки запись из реестра исчезла, так что HiJackThis ничего при сканировании не увидел.
Новые логи - на скрепке.
Карантин: "Файл сохранён как 080113_065850_virus_478a0b0a08e1d.zip"
в логах ничего подозрительного ....
что из этого не нужно ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Большинство из вышеперечисленного не нужно.
Есть ли где инструкция / сводные рекомендации по отключению не востребованных юзерами и потенциально опасных служб?
Беглый просмотр нескольких тем форума позволил мне увидеть только часто задаваемый Helper'ами вопрос "что из этого не нужно?" и ... почти всегда молчание в ответ.
Последний раз редактировалось MMB; 13.01.2008 в 23:58.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: