Почистил с машины ctfmon.exe и сладкую парочку Iou63.sys + WLCtrl32.dll. (на остатки в реестре нотифаера Winlogon - WLCtrl32 внимания не обращаем - самого файла уже нет...).
Однако висит непонятный хвост - перехватчик вызовов API реестра, и висят непонятные драйверы dump_nvata.sys и dump_wmilib.sys, не имеющие аналогов в файловой системе (смотрел с загрузочного диска).
Имя файла перехватчика (spqq.sys, spab.sys) - каждую перезагрузку меняет последние две буквы. На диске таких файлов нет.
В удаленных Iou63 и WLCtrl32 присутствовала хорошо заметная строка "mutantofthefuture" (в пути к некоторому исходнику). Сами файлы сохранились, если надо - могу прислать.
Что бы могло такое быть? Как бороться? Подскажите.
Логи прикладываю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
080301_114237_DMP_47c9958da99af.zip - файлы, оставшиеся от прошлого анализа - там сохранился Iou63, к сожалению только в виде дампа, сделанного AVZ, настоящий уже не нахожу - вероятно хозяева машины удалили.
В нем же есть дампы перехватчика (sv??.sys), две штуки. В нем же WLCtrl32.dll. В нем же дампы хитрых dump_??? модулей ядра.
080301_114510_2008-03-01_47c9962657084.zip - карантин по последнему скрипту. IPTrac - 100% чистая программа (своя) r_server.exe - RAdmin. Третье - не знаю, что.
Эмулятор дисков (Alcohol) удалил. Перехватчик после ребута не пропал, так и висит.
Поглядел файлик дампа поподробнее - да, действительно похож на эмулятор диска.
Проблема в том, что Daemon Tools на этой машине нет, и вероятно (100% утверждать не могу, к сожалению) не ставилось (народ даже не знает, что это такое, ОС ставил я). Файлы sv??.sys и каталоги Daemon Tools на диске тоже обнаружить не удалось.
Ну да ладно, основной вирь по сути был до этого почищен, и хорошо
Спасибо.
Добавлено через 5 минут
PS. Еще кое-какие детали вспомнил. Iou63.sys никак не давал себя ни скопировать, ни удалить. Даже в Safe Mode. Даже AVZ. Даже AVZ в Safe Mode. Даже отложенным удалением (скриптом). Пришлось удалять, загружаясь с загрузочного диска.
Последний раз редактировалось Alex/AT; 01.03.2008 в 21:04.
Причина: Добавлено
PS. Еще кое-какие детали вспомнил. Iou63.sys никак не давал себя ни скопировать, ни удалить. Даже в Safe Mode. Даже AVZ. Даже AVZ в Safe Mode. Даже отложенным удалением (скриптом). Пришлось удалять, загружаясь с загрузочного диска.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: