-
Junior Member
- Вес репутации
- 53
nissan.exe - подмена "Диспетчера задач"
9 февраля объявилась эта зараза. Свежие CureIt и AVPTools не детектят, как и штатный Nod32.
АВЗ подсказал, что это такое хотябы. На флэшку зверь кидался в скрытую папку (название периодически менялось, очень напоминало что-то на польском языке), запускаемый файл имел такие же атрибуты и вес, что и прародитель, но название также менялось (последний раз - tornado.exe).
Победить удалось выполнив самодельный (слава Олегу Зайцеву!) скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
QuarantineFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe','');
DeleteFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.
В прикрепленном карантине сам зверь и еще несколько файлов, найденных АВЗ.
Файл сохранён как 100216_170234_virus_4b7aa57a678ed.zip
Размер файла 312463
MD5 3b047898b0a566c1a3d258c99ca1a3c3
Посмотрите, пожалуйста, есть ли еще что-нибудь зловредное.
Заранее спасибо.
З.Ы. службу восстановления не отключал, ибо мог понадобиться откат.
Последний раз редактировалось Vinny_B; 15.05.2010 в 21:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
службу восстановления не отключал, ибо мог понадобиться откат.
---
а если зверь выползет оттуда?
В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
службу восстановления не отключал, ибо мог понадобиться откат.
---
а если зверь выползет оттуда?
В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.
Скрипт составил в конструкторе, что в файле отчета был. После выполнения удалился файл и процесс больше не появлялся и на флэшки ничего не кидалось. По крайней мере АВЗ больше ничего не находил. Завтра соберу инфу по правилам.
-
Junior Member
- Вес репутации
- 53
сделал логи по правилам. службу восстановления отключил. пока все работает хорошо, но АВЗ нашел перехваченные процессы.
вот.
Последний раз редактировалось Vinny_B; 15.05.2010 в 21:59.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vinny_B; 15.05.2010 в 21:59.
-
скачайте и пролечитесь вот этим
Добавлено через 3 минуты
после лечения сделайте повторный лог virusinfo_syscheck.zip;
Последний раз редактировалось polword; 18.02.2010 в 11:58.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
скачал. проверил. ничего не нашел.
сейчас сделаю проверку.
Последний раз редактировалось Vinny_B; 15.05.2010 в 21:59.
-
вот с этим
Windows XP SP2
Internet Explorer v6.00 SP2
Вы можете стать постоянным гостем этого проекта
- надо срочно обновлять!!!
Необходимо поставить:
- SP2 обновить до Service Pack 3(может потребоваться активация)
- все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установить Internet-Explorer 8.(даже если Вы его не используете)
-
-
Junior Member
- Вес репутации
- 53
все обновил. ИЕ поставил. сделал лог.
Последний раз редактировалось Vinny_B; 15.05.2010 в 21:59.
-
-
-
Junior Member
- Вес репутации
- 53
спасибо. тему можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe - P2P-Worm.Win32.Palevo.ruy ( DrWEB: Trojan.Packed.19702 )
-