Показано с 1 по 13 из 13.

nissan.exe - подмена "Диспетчера задач" (заявка № 71425)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30

    Thumbs up nissan.exe - подмена "Диспетчера задач"

    9 февраля объявилась эта зараза. Свежие CureIt и AVPTools не детектят, как и штатный Nod32.
    АВЗ подсказал, что это такое хотябы. На флэшку зверь кидался в скрытую папку (название периодически менялось, очень напоминало что-то на польском языке), запускаемый файл имел такие же атрибуты и вес, что и прародитель, но название также менялось (последний раз - tornado.exe).
    Победить удалось выполнив самодельный (слава Олегу Зайцеву!) скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
     QuarantineFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe','');
     DeleteFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
    BC_ImportAll;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    В прикрепленном карантине сам зверь и еще несколько файлов, найденных АВЗ.

    Файл сохранён как 100216_170234_virus_4b7aa57a678ed.zip
    Размер файла 312463
    MD5 3b047898b0a566c1a3d258c99ca1a3c3

    Посмотрите, пожалуйста, есть ли еще что-нибудь зловредное.
    Заранее спасибо.
    З.Ы. службу восстановления не отключал, ибо мог понадобиться откат.
    Последний раз редактировалось Vinny_B; 15.05.2010 в 20:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    службу восстановления не отключал, ибо мог понадобиться откат.
    ---
    а если зверь выползет оттуда?

    В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    Цитата Сообщение от PavelA Посмотреть сообщение
    службу восстановления не отключал, ибо мог понадобиться откат.
    ---
    а если зверь выползет оттуда?

    В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.
    Скрипт составил в конструкторе, что в файле отчета был. После выполнения удалился файл и процесс больше не появлялся и на флэшки ничего не кидалось. По крайней мере АВЗ больше ничего не находил. Завтра соберу инфу по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    сделал логи по правилам. службу восстановления отключил. пока все работает хорошо, но АВЗ нашел перехваченные процессы.
    вот.
    Последний раз редактировалось Vinny_B; 15.05.2010 в 20:59.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  7. #6
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    выполнил.
    Последний раз редактировалось Vinny_B; 15.05.2010 в 20:59.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    скачайте и пролечитесь вот этим

    Добавлено через 3 минуты

    после лечения сделайте повторный лог virusinfo_syscheck.zip;
    Последний раз редактировалось polword; 18.02.2010 в 11:58. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    скачал. проверил. ничего не нашел.
    сейчас сделаю проверку.
    Последний раз редактировалось Vinny_B; 15.05.2010 в 20:59.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    вот с этим
    Windows XP SP2
    Internet Explorer v6.00 SP2
    Вы можете стать постоянным гостем этого проекта
    - надо срочно обновлять!!!

    Необходимо поставить:
    - SP2 обновить до Service Pack 3(может потребоваться активация)
    - все последние обновления системы Windows - тут
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

    - Установить Internet-Explorer 8.(даже если Вы его не используете)

  11. #10
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    все обновил. ИЕ поставил. сделал лог.
    Последний раз редактировалось Vinny_B; 15.05.2010 в 20:59.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    в логе чисто.

  13. #12
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    30
    спасибо. тему можно закрывать.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe - P2P-Worm.Win32.Palevo.ruy ( DrWEB: Trojan.Packed.19702 )


  • Уважаемый(ая) Vinny_B, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 01.07.2011, 01:20
    2. и снова подмена диспетчера задач Nissan.exe
      От Telecaster в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.04.2010, 23:11
    3. Подмена диспетчера задач nissan.exe
      От still1000 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.02.2010, 13:35
    4. Ответов: 18
      Последнее сообщение: 24.02.2010, 02:45
    5. nissan.exe - подмена "Диспетчера задач"
      От Him в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.02.2010, 18:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01534 seconds with 16 queries