Подозрения начались когда шло обращение по https к банковскому сайту - при успешном (!) вводе пароля появлялась табличка с ошибкой Sysfader:Iexplore.exe память не может быть read и т.д. (в гугле насчитал с два десятка причин и следствий этой ошибки - ничего не помогает). Поубивал все графические эффекты и надстройки в эксплорер. Перестановил эксплорер на новый (с SP2). При углубленном анализе нашел csrcs.exe и сотоварищи (AutoIt). Поскольку вирус занес себя в доверенные приложения в Nod32 (v.2.50) антивирь его не видел в упор. Удаление ключей реестра не помогло. Более того, csrcs периодически запускает cmd.exe, а из под него net.exe (по данным Process Explorer). Периодически идут запросы в турцию: svchost.exe:964 TCP computer.mshome.net:1907 79.135.187.20:http даже при удаленных exe-шниках. По этому адресу живет на скорую руку настроенный апач. Далее обнаружил c:\WINDOWS\Offline Web Pages\svchost.exe. Удалил. Пока не появлялся. Однако, svchost.exe упорно лезет к хозяину в жаркую турцию. Система в целом работает не стабильно. Сейчас пишу сообщение сдвинув табличку с очередной ошибкой эксплорера. Еще замечен неудаляемый c:\WINDOWS\system32\ht8x2.exe, в описании которого значится - AutoIt v3 Compiled Script, v.1.8.2.3, язык - Македонский!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проделал все согласно инструкции. Часть файлов я уже удалил вручную до этого поэтому в карантине их нет. Обращения трояна к хозяину прекратились. Система работает стабильно. Ошибка sysfader исчезла. Однако, остался вопрос - что это было, что он собирает, типичное ли поведение или это модифицировано с надписью "специально для вас"? Ведь ошибка была только если в банк-клиенте (который работает через веб-интерфейс) ввести именно правильный пароль. При неправильном все ок. Где почитать можно про это?
Огромное спасибо Вам!
Добавлено через 8 минут
Сейчас будут логи. Проблема не решена окончательно - "подарки" остались.
Последний раз редактировалось qoma; 03.02.2009 в 17:57.
Причина: Добавлено
Проблема сложнее чем я думал. Проснулся нод32, опять стадо вирусни. Прокси, трояны... Разбираться буду. Тогда уж включу фичу в авз - лишний ребут не помеха . Минут через 20 скину все логи скрины. Подозреваю это все-таки модифицированные с определенной целью версии. Спасибо.
Последний раз редактировалось qoma; 03.02.2009 в 18:15.
Причина: Добавлено
Авз не видит этих файлов. Нод обнаружил не все и удалил. Во вложении ветки реестра по поиску seneka и результаты поиска файлов по слову seneka. Все удалено. Завтра будут новые логи.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: