-
Junior Member
- Вес репутации
- 53
Тоже порнобаннер
Схема стандартная, как и у других.
Но, в пятницу этот же порнобаннер был совсем другой модификации - было несколько библиотек в system32, их видел NOD32 из-под чистой системы, после очистки всех временных папок, корзины, и этих файлов, а так же восстановления с помощью AVZ, вирус был поборот.
Сегодня же попалась новая модификация:
- AVZ, NOD32, Cureit ничего не видят из-под чистой системы.
- попытка запуска в зараженной системе любого исполняемого файла (ехе, pif, com и др.) приводит к вылезанию порнобаннера, т.к. изменены параметры запуска этих файлов.
- заблокированы диспетчер задач и редактор реестра
- при попытке запуска хайджека, AVZ или combofix система уходит в завершение работы.
Что удалось обнаружить - запускаемые файлы, положенные в автозагрузку, запускаются без вылезания порнобаннера и работают около 5 секунд, после чего либо закрываются, либо система выключается.
Было вручную прибито пара десятков запускаемых файлов из корня диска, из темпа, файлы свежие.
Экземпляр вируса пойман на сайте www.urod.ru, NOD32 даже не пискнул, просто система повисла. Достаточно просто было открыть сайт.
Попытки сделать хоть какие-то логи пока безуспешны - не запускается вообще ничего. Безопасный режим - та же ситуация.
Подскажите программку для анализа файлов реестра без загруженной системы, может там что-то найду в автозапуске и службах.
Добавлено через 7 минут
Запуск полиморфной версии AVZ, переименованной версии и попытки переименования всех остальных антивирусных программ - 5 секунд работают из автозагрузки, затем завершение работы.
Последний раз редактировалось AndreyKa; 01.12.2009 в 00:44.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Нет.
В зараженной системе невозможно запустить никакие exe, com, bat, pif, scr файлы иначе, как через автозагрузку.
Через автозагрузку есть только 5 секунд работы, я за это время успеваю только ткнуть в кнопку, затем программа прибивается, компьютер выключается.
Добавлено через 1 час 14 минут
с чистой операционки система просканирована свежим касперским (обновление базы 1 час назад) Чисто. Но не работает, вирус активен.
Добавлено через 51 минуту
Проблема устранена. Удалось через автозагрузку запустить gmer. В нем нашел библиотеку с непривычным именем - opYVu.dll, грохнул её. После перезапуска запустился AVZ.
Библиотека не определяется антивирусами, могу скинуть для анализа, если кому-то надо.
Метод лечения - в папку автозагрузки закинуть исполняемый файл gmer. C его помощью снять логи автозапуска и загружаемых драйверов. Он не вырубается данным вирусом.
Всем спасибо. Готов сотрудничать дальше.
Последний раз редактировалось Hexpl0rer; 01.12.2009 в 02:36.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
лог.
Вот только систему я уже почистил немного
-
toy3hp8e.bat, toy3hp8e.exe в автозагрузке - это что?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\opYVu.dll','');
DeleteFile('C:\WINDOWS.0\system32\opYVu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин прислать не могу, файл уже прибит и по месту прописки в реестре, уже давно не находится.
Файлы в автозагрузке - это переименованый gmer
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-