Началось с того, что Симантек антивирус при каждой перезагрузке компьютера начал находить вирусы (рукиты) с просьбой перезагрузиться.
Сообщения:
Троян - bnc.tmp - C:\Temp
HacktoolRootkit - systemntmi.sys - C:\windows\system32\drivers
При этом в avz в модулях пространства ядра постоянно появляется новый непонятный модуль с именами sp??.sys (sppt.sys, spmt.sys и т д.)
Следов этого в реестре и на диске нет, даже после блокирования рукитов avz-ом. причем зараза явно подкачивается каждый раз, причем скорее всего под конкретным пользователем, после лечения из инета, т.к. при отключении интернета сообщений о вирусах нет.
Помогите плиз, давно с таким не сталкивался ...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт запустил, в карантине ничего нет.
Скрипт запускал под администратором при отключенном инете.
Может нужно под тем пользователем, который "цепляет" вирус?
Добавлено через 1 минуту
Этому пользователю нужно дать права администратора?
Добавлено через 40 минут
Акробат переустановил на 9. Предположение на счет него кажется верным, пользователь видимо открыл зараженный pdf из инета.
Ситуация не изменилась, при загрузке пользователя и подключенном инете:
Троян - bnc6.tmp - C:\Temp
HacktoolRootkit - netsik.sys - C:\windows\system32\drivers
Последний раз редактировалось hopeful; 26.01.2009 в 13:54.
Причина: Добавлено
1. Отключил восстановление системы (хотя странно, вроде отключал раньше)
2. Зашел под пользователем с Отключенным инет - симантек молчит.
3. Зашел под пользователем с Включенным инет:
Запустил avz под пользователем, при сканировании написал (под Админом этого не было):
обнаружена маскировка процесса manager3.exe c:\document and settings\manager3\manager3.exe.
Такой файл действительно есть.
Убить процесс из диспетчера процессов avz не получается, добавляется новый процесс с этим же именем, щас перезагружусь в защищеенном режиме попробую выловить файл запуска и ключи в реестре ...
Добавлено через 1 час 18 минут
Похоже финал в разборках. В итоге.
Под пользователем ключами HKKU... запускался левый процесс (manager3.exe). Этот процесс не опознавался антивирусом и пытался загрузить из интернет вирусы, которые симантек уже видел, и убивал.
Все оказалось просто.
Огромное спасибо за сотрудничество и наводку на правильное решение.
Загрузчик вирусов скопировал в карантин avz и высылаю вам, может пригодится для анализа.
Последний раз редактировалось hopeful; 26.01.2009 в 17:19.
Причина: Добавлено
Да, удалил, там были две записи на запуск в ветках:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: