Неизвестный вирус

**SysF** · 19.11.2009, 09:24

Итак, сразу мои извинения, по нескольким пунктам...

Во-первых, смогу выложить логи тока вечером, т.к. проблема на удаленном компе, логи сделал, а слить забыл... ((
Во-вторых, хоть мож и странно, но выложу инфицированный файл, ненаю, вобще смотрите?

Если низя или не смотрите, ИМХО сильно не бейте! ))) (В лабу КАСа отправил уже файл)
В-третьих, встречаю второй раз этот вирь, в прошлый где-то месяц назад, до сих пор ничего не видит!!!

Итак, тачка на Винь ХР СП2 хомяке...
Поведение: при старте системы вываливает Мои доки, время от времени кладет explorer.exe, отключены скрытые и системные файлы, везде вырублена адресная строка. Это основное.
Из замеченного, довольно шустро кладет морду при входе в системный раздел, левых портов вроде не открыто, при замене на оригинальный explorer секунд через 10-30 киллит его, и снова меняет. Размер отличается. Родной эксплорер переименовывает в explorer.exe.tmp и оставляет валяться рядом. Был замечен explorer.scr, но он куда то слинял быстро. Др файлов пока обнаружить не удалось...

Проверка системы КАСом, НОДом, Др Вебом, AVZдом, CureIT нифига не находит! ( Проверка "левого" эксплорера на virustotal'e и virscan'e тоже отдыхает. Сразу скажу, что поиски левых файлов с вирями, которые открывают Мои доки, уже известные, пользы не принесло, ничего не сходится.

Прикладываю архив с левым эксплорером, пароль на архив: virus

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 19.11.2009, 11:16

Сообщение от SysF

Во-первых, смогу выложить логи тока вечером

Вечером деньги - утром стулья, утром деньги - вечером стулья ©

Прикладываю архив с левым эксплорером, пароль на архив: virus

- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).

**SysF** · 19.11.2009, 11:52

Залил файлик на карантин! ))) Извиняюсь...
Сейчас попробовал его в "песочнице"(Sandboxie) стартануть... кроме 3 индексов ничего не создал... и вроде как более-менее нормальные индексы...

**Rene-gad** · 19.11.2009, 21:49

Сообщение от SysF

Залил файлик на карантин! )))

Оценка по оперативным базам чистых: Безопасный

**SysF** · 21.11.2009, 02:03

Как и обещал, выкладываю логи )))

**Bratez** · 21.11.2009, 02:09

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,EXPLORER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\amon.sys','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=60653).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**SysF** · 23.11.2009, 02:53

Итак, пофиксил, в AVZ выполнил скрипт )))
Карантин слил )
Выкладываю логи...

**Bratez** · 23.11.2009, 03:29

Заразы в логах не видно.

Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('amon');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true); 
end.

Компьютер перезагрузится.
(Побочный эффект - слетит картинка рабочего стола).

Повторите лог по п.2 Диагностики.
Что с проблемами?

**CyberHelper** · 24.11.2009, 03:29

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Неизвестный вирус (заявка № 60653)

Опции темы