Одноранговая локальная сеть с линейкой Винды от 98.
Заражены почти все компы начиная от Win 2000.
Вирусняк КАВ7 определяется как Backdoor.Win32.Agent.ahqw,
NOD32 и NOD4 - как WIN32/injector.QA
Симптомы:
в "C:\Documents and Settings\<имя пользователя>\Local Settings\Temporary Internet Files\Content.IE5\<хэш>\x[1].exe"
в system32 появляются <nn>.scr (nn = цифры)
Сетка "забита" широковещательными сообщениями, часто выпадают ошибки "Generic Host Process for Win32 Servicess".
Антивири с последними базами, AVZ молчит. HijackThis на загрузках ничего критичного не нашел.
Выловлено тело вируса, есть в запароленном архиве.
Описание вируса не нашел, есть подозрение на внедрение своей библиотеки в svchost или в services.
В диспетчере лишних процессов нет, службы в порядке, подозрительных драйверов в скрытых устройствах не обнаружено.
Какие логи мне выложить?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
похоже, что распространяется оно через уязвимости.
Т.е. для лечения надо отключать машины от сети, а подключать только тогда, когда все будут пролечены...
Скачаны
KAV Removal Tool
avz4
HiJackThis
Отключил восстановление
KAV проверил систему при физическом отключении от сети в Safe Mode – нет вирусов
Прогнал avz4 скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
Прогнал "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
**логи удалил
Последний раз редактировалось grass_snake2; 18.06.2009 в 16:41.
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
Карантин с использованием прямого чтения - ошибка
В процессе проверки скриптом NOD ругался на avz-овские tmp.
Антивирус отключать надо - в правилах же написано. И АВГ Антируткит тоже. И Файрвол, если есть.
Вы от Sophos что-нибудь ставили? Или в АВГ Антирукит есть компонента от Sophos?
После перезагрузки:
- Закачайте карантин - если что поадет - по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите логи.
Лаборатория Касперского в ответ на запрос обнародовать описание действия вируса выслала рекомендацию "обновить базы - вирус известен".. Известен-то известен, только с последними базами он как раз и "цапанулся"
Проведен опыт с офф-лайн лечением машины. Вирус был удален и за 3 часа активности не проявлял. При подключении в сетку - опять подцепился. Файрвол не спасает - вирус его автоматом переводит в "обучающийся режим" и разрешает себе проход.
Вылавливаются ошибки от svchost с руганью, что "память не может быть read" и ошибки services. На сайт Касперского не пускает (в hosts - только 127.0.0.1).
Так понимаю, что предложений по лечению нет Гугл по названию вируса начал выдавать какие-то ссылки (что уже радует), может повезет на англоязычных форумах.
Последний раз редактировалось grass_snake2; 22.06.2009 в 17:08.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: