Показано с 1 по 7 из 7.

Вирус маскируется в поток NTFS, никак не выковыряю! (заявка № 58257)

  1. #1
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    31

    Thumbs up Вирус маскируется в поток NTFS, никак не выковыряю!

    Доброго вечера!
    Кусок из лога AVZ:

    Прямое чтение C:\WINXP\system32\drivers\sptd.sys
    Прямое чтение C:\WINXP\system32:Up_system.exe:$DATA
    C:\WINXP\system32:Up_system.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

    Оно висит в HKLM и еще одна гадость в HKCU (Screen3D.scr), убить в реестре нельзя, появляется заного, втч в безопасном режиме, нод и VRT бессильны, в процессах не видно.

    После загрузки системы создает безоконные процессы с Оперой и Осликом, они закачивают троянцев с китайских адресов.

    Очень интересно, как можно справиться с подобной ситуацией. Заранее спасибо!

    З.Ы. ОС - сборка нлайтом из XPSP3 VLK, обновлений никаких не делалось.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXP\system32\drivers\HH9Help.sys','');
    DelCLSID('U02EBY50-4MUH-AO1R-5C25-SG31877266ST');
     QuarantineFile('C:\WINXP\system32\scvhost.exe','');
     QuarantineFile('C:\WINXP\system32\Screen3D.scr','');
     QuarantineFile('C:\WINXP\system32:Up_system.exe','');
     DeleteFile('C:\WINXP\system32:Up_system.exe');
     DeleteFile('C:\WINXP\system32\Screen3D.scr');
     DeleteFile('C:\WINXP\system32\scvhost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    31
    Огромное спасибо, не догадался в драйверах посмотреть! Будет наука теперь )))

    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.

    Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?

    Еще раз благодарю, вопрос снят!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
    Надо отсылать, если хелпер затребовал файл

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от PhotonBox Посмотреть сообщение
    Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
    Пришлите всё таки.
    Цитата Сообщение от PhotonBox Посмотреть сообщение
    Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?
    Да.

  7. #6
    Junior Member Репутация
    Регистрация
    25.10.2009
    Сообщений
    6
    Вес репутации
    31
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Пришлите всё таки.
    Да.
    Там доморощенный самописный кейлоггер\ворователь хистори асек и скайпа. Хороший друг летом попросил проверить его девушку (нонче - жену ). Тестировал, естесственно, на себе, да так и забыл про файлик. Извините, если ввел в заблуждение , еще раз СПАСИБО!!!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\winxp\system32\screen3d.scr - Trojan.Win32.Sasfis.sgw ( DrWEB: Trojan.PWS.Multi.76 )
      2. c:\winxp\system32:up_system.exe - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\winxp\system32:up_system.exe:$data - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) PhotonBox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.09.2011, 02:00
    2. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 29.09.2011, 23:00
    3. Вирус маскируется под Winlogon.exe
      От Rubec в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.09.2009, 10:14
    4. Ответов: 6
      Последнее сообщение: 30.10.2008, 11:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01584 seconds with 16 queries