Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 65.

Подхватил падаль из интернета. (заявка № 43267)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48

    Question Подхватил падаль из интернета.

    Здравствуйте!

    Подцепил какую-то исключительную падаль Backdoor.Win32.KeyStart.bz.
    Прошла она ко мне через Firefox с какого-то сайта.
    Поселилась в /windows/systems32/drivers/ в виде файла 3922e5d4.sys.
    Тут же, у себя под боком она создала два файла fidbox.dat и fidbox.idx.
    У всех трех файлов дата модификации меняется ежесекундно.
    Размер файла fidbox.dat постепенно увеличивается. Сейчас он весит уже почти 3 мегабайта.
    Все 3 файла видны файловыми менеджерами, но при удалении 3922e5d4.sys они резко его не замечают – «Файл не найден». Остальные 2 не удаляются с ошибкой «Нарушение совместного доступа».
    AVZ эти файлы не находит или не считает их подозрительными.
    Эта падаль не дает зайти в safe mode даже с помощью вашего скрипта – пришлось сканирование компа производить в обычном режим вместо безопасного.
    Судя по всему, она еще и трафик контролирует – при попытке зайти на avp.ru, kaspersky-labs.com и virusinfo.info браузер выдает ошибку «Address not found», tracert не резолвит эти домены. Пришлось заходить к вам, используя прокси.
    Вместе с тем эта падаль создает файл setupapi.dll в папках всех браузеров, что есть на машине: в Firefox, Opera и IE.
    Для IE падаль пыталась зарегистрировать эту dll как надстройку – у меня эту попытку отследила прога WinPatrol.
    Периодически создаются процессы типа dddd.tmp (где d – любая цифра, например, 4555.tmp) – эти процессы вручную легко убиваются из task manager, а также вручную удаляются из папки Temp текущего пользователя.
    Эта падаль создала ветку в реестре HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3 922e5d4
    При попытке в regedit сунуться мышкой в этот ключ выдается ошибка «Cannot open 3922e5d4: Error while opening key». При удалении то же самое, только «Error while deleting key».

    Скажите пожалуйста, каковы шансы сковырнуть эту падаль без сильных разрушений?
    Или все-таки придется форматировать диск Цэ и ставить форточки с нуля?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\3922e5d4.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\3922e5d4.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно пиложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Скрипт выполнился с ошибкой.
    Выскочил alert: Invalid data type for ''.
    Комп перегружал вручную.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.04.2009 в 19:47. Причина: оверквотимг

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\3922e5d4.sys');
    ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Пишу с мобилы.

    Все, хана форточкам.

    Скрипт выполнился с таким же алертом.
    Опять перегружал комп вручную.

    Во время загрузки форточек на долю секунды мелькнул экран смерти.
    Комп сам перегрузился. Винда загрузилась.
    Произвел первое сканирование AVZ.
    Перегрузил комп и всё.
    После этого при каждой загрузке мелькает экран смерти и комп перегружается.
    Винда предлагает загрузиться в безопасном режиме, но, как я раньше говорил, при загрузке в этом режиме комп перегружается при загрузке sptd.sys.

    Кстати, во время выполнения скрипта и сканировании winpatrol выловил попытку установки в автозагрузку вызова утилиты "dumprep -k 0".

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    sptd.sys - это эмулятор дисков ...
    пробуйте загрузить последнюю удачную конфигурацию ....

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Тоже экран смерти и ребут.

    Я так понимаю, в данном случае форточки ставить лучше с полным форматированием диска цэ?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    А что на BSOD написано?

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Чудеса...
    Вырубил комп, думал, завтра придется окна переставлять.

    После вопроса Гриши (спустя 20 минут после выключения) включил комп и выбрал последнюю удачную конфигурацию. Загрузилось!

    Произвел второй скан AVZ и HijackThis.
    Логи прилагаются.

    Эта падаль, когда я в сети, спамит с меня мылом.

    Кстати, сразу после загрузки окон winpatrol опять ругнулся, что какая-то сволочь пытается в автозапуск прописать "dumprep 0 -k" (первый раз я ключи местами перепутал).
    Вложения Вложения

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Цитата Сообщение от Гриша Посмотреть сообщение
    А что на BSOD написано?
    Сорри, сейчас не могу сказать, т.к. чудом загрузился.
    Но, если меня зрение не подводит, там было написно что-то связанное с memory.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Проверьтесь так
    http://www.kaspersky.ru/support/wks6...?qid=208636215

    Скачайте этот AVZ
    http://depositfiles.com/files/821x5y5lf

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\3922e5d4.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\3922e5d4.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог AVZ...

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Сделал, как написали, кроме полной проверки компа - сегодня я полную проверку делал 6 часов. Слишком долго ждать.

    Карантин не нужен?
    Вложения Вложения

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Надо что-то делать.
    Эта гадина создала файл fidbox.dat уже размером в 700 Мб.
    У меня заканчивается место на системнике...

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Эта гадина создала файл fidbox.dat уже размером в 700 Мб.
    http://support.kaspersky.ru/faq/?qid=208635954

    Карантин пришлите...

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Цитата Сообщение от Гриша Посмотреть сообщение
    http://support.kaspersky.ru/faq/?qid=208635954

    Карантин пришлите...
    Офигенно.
    Предупреждать нужно.

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\System32\drivers\3922e5d4.sys
    правая кнопка мыши Copy to сохраните его под любым именем, затем Force Delete на запрос ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\3922e5d4.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи, скопированный файл запакуйте с паролем "virus" и пришлите по красной ссылке...

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    При выполнении скрипта выскочил тот же алерт: Invalid data type for ''.
    Пришлось комп ресетить вручную, потому что через Start->Turn off он не рестартился.

    Вирусняк и логи выслал.
    Вложения Вложения
    Последний раз редактировалось skywriter; 06.04.2009 в 00:39. Причина: опечатка в слове "data"

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Вы Force Delete файлу делали?

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    48
    Обязательно.
    Файл не удалился.

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Сделайте проверку свежим AVPTool и повторите логи...

  • Уважаемый(ая) skywriter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Подхватил вирус
      От Se11eR в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.05.2011, 12:26
    2. Подхватил троян
      От Dumac в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.04.2011, 13:10
    3. Что-то подхватил...
      От zonderz в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.12.2009, 09:51
    4. Подхватил вирус
      От Димон82 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:24
    5. Что ж я подхватил...
      От DenODen в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 01:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00053 seconds with 17 queries