Подцепила супруга сегодня утром с какого-то сайта (не ожидал от firefox'а, но факт). Симптомы классические - окно с требованием послать СМС и ввести код, неработающий инет (при этом доступ к дискам работает, машина пингуется).
Сегодняшний CureIt мне эту радость пролечить не смог, не заметил. Попытка вылечиться руками, в соответствии с рекомендациями на данном и других форумах, помогла только частично - photo_id.exe удалил, остальных упомянутых файлов (dmgr134.*, aegkprn.*) не нашел. Кто виноват и что делать?
Логи прилагаются.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы. Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt
Восстановление отключил. Скрипт выполнил. Лечение не удалось, карантин пуст. Базы обновил, ScanVuln.txt выполнил, логи собрал.
Из наблюдений - если сетку оторвать физически, окно вируса отображается пустым, без контролов, через порядка минуты после загрузки winlogon вылетает с ошибкой, система уходит в перезагрузку.
Отбой воздушной тревоги.
Пока мой ответ "проверялся модератором" (и до сих пор, надо сказать, проверяется, где-то с 13 часов по местному времени, сейчас 22:10), AVPTool сегодняшний нашел заразу (цитирую):
Код:
Поиск вирусов : завершен
------------------------
Проверено: 248591
Обнаружено: 4
Не обработано: 0
Запуск: 22.11.2009 18:08:43
Длительность: 00:33:16
Завершение: 22.11.2009 18:41:59
Обнаружено
----------
Статус Объект
------ ------
удалено: вирус Worm.Win32.AutoRun.ezt Файл: C:\Program Files\avz4\Infected\2009-11-21\avz00001.dta
удалено: вирус Worm.Win32.AutoRun.ezt Файл: C:\Program Files\avz4\Infected\2009-11-21\avz00002.dta
удалено: вирус Worm.Win32.AutoRun.ezt Файл: C:\Program Files\avz4\Infected\2009-11-21\avz00003.dta
удалено: троянская программа Trojan-Ransom.Win32.Agent.ha Файл: C:\WINDOWS\system32\drivers\kybgzaar.sys
...
22.11.2009 18:08:49 Модуль: winlogon.exe\aekgoprn.dll ok проверен
22.11.2009 18:08:56 Файл: \\.\70.103.101.103\aekgoprn.dll не обработан не найден
...
22.11.2009 18:08:57 Модуль: lsass.exe\aekgoprn.dll ok проверен
22.11.2009 18:08:57 Файл: \\.\70.103.101.103\aekgoprn.dll не обработан не найден
...
22.11.2009 18:08:58 Модуль: svchost.exe\aekgoprn.dll ok проверен
22.11.2009 18:08:58 Файл: \\.\70.103.101.103\aekgoprn.dll не обработан не найден
...
22.11.2009 18:09:02 Модуль: spoolsv.exe\aekgoprn.dll ok проверен
22.11.2009 18:09:02 Файл: \\.\70.103.101.103\aekgoprn.dll не обработан не найден
...
22.11.2009 18:09:14 Модуль: alg.exe\aekgoprn.dll ok проверен
22.11.2009 18:09:18 Файл: \\.\70.103.101.103\aekgoprn.dll не обработан не найден
%System32%\drivers\kybgzaar.sys, определяется как Trojan-Ransom.Win32.Agent.ha
Грузит зловредную dll строго по UNC-пути \\.\70.103.101.103\aekgoprn.dll, локально не хранит.
Если в момент загрузки нет физической связи с указанным узлом, winlogon падает, отправляя систему в синий экран. dll цепляется не только к winlogon, но именно его нить отрисовывает окно. Нить успешно прибивается Process Explorer'ом.
Сеть блокируется не полностью, извне расшаренные ресурсы видны, машина пингуется.
Добавляйте в скрипты еще одно имя этого мерзавчика.
Уважаемый(ая) sacai, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: