-
Junior Member
- Вес репутации
- 53
Вирус маскируется в поток NTFS, никак не выковыряю!
Доброго вечера!
Кусок из лога AVZ:
Прямое чтение C:\WINXP\system32\drivers\sptd.sys
Прямое чтение C:\WINXP\system32:Up_system.exe:$DATA
C:\WINXP\system32:Up_system.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Оно висит в HKLM и еще одна гадость в HKCU (Screen3D.scr), убить в реестре нельзя, появляется заного, втч в безопасном режиме, нод и VRT бессильны, в процессах не видно.
После загрузки системы создает безоконные процессы с Оперой и Осликом, они закачивают троянцев с китайских адресов.
Очень интересно, как можно справиться с подобной ситуацией. Заранее спасибо!
З.Ы. ОС - сборка нлайтом из XPSP3 VLK, обновлений никаких не делалось.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\drivers\HH9Help.sys','');
DelCLSID('U02EBY50-4MUH-AO1R-5C25-SG31877266ST');
QuarantineFile('C:\WINXP\system32\scvhost.exe','');
QuarantineFile('C:\WINXP\system32\Screen3D.scr','');
QuarantineFile('C:\WINXP\system32:Up_system.exe','');
DeleteFile('C:\WINXP\system32:Up_system.exe');
DeleteFile('C:\WINXP\system32\Screen3D.scr');
DeleteFile('C:\WINXP\system32\scvhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо, не догадался в драйверах посмотреть! Будет наука теперь )))
Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?
Еще раз благодарю, вопрос снят!
-
Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
Надо отсылать, если хелпер затребовал файл
-
-
Сообщение от
PhotonBox
Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.
Пришлите всё таки.
Сообщение от
PhotonBox
Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?
Да.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
AndreyKa
Пришлите всё таки.
Да.
Там доморощенный самописный кейлоггер\ворователь хистори асек и скайпа. Хороший друг летом попросил проверить его девушку (нонче - жену ). Тестировал, естесственно, на себе, да так и забыл про файлик. Извините, если ввел в заблуждение , еще раз СПАСИБО!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\winxp\system32\screen3d.scr - Trojan.Win32.Sasfis.sgw ( DrWEB: Trojan.PWS.Multi.76 )
- c:\winxp\system32:up_system.exe - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\winxp\system32:up_system.exe:$data - Backdoor.Win32.Poison.axkm ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )
-