-
Junior Member
- Вес репутации
- 59
Совершенно ничем не видимый вирус
Ось -Windows XP SP3 с самыми свежими обновлениями. Вирус блокирует антивирусы, в том числе и утилиту AVZ (а в безопасном режиме, даже если запускать с ключём ag=y). Других симптомов не выявил, но наверняка они имеются). Загружался со свежей сборки LiveCD (от 6 октября), прогонял Mcafee, Cureit-ом, вставлял жёсткий диск в другой компьютер, просканировал 6-м касперем и 4-м нодом (естественно с самыми свежими обновлениями). Никакой заразы они не видят, точнее другую какую-то заразу удалили (Trojan-downloader.java.agent.dm Exploit.Java.Agent.e Trojan.Java.Agent.I..), но после этого ничего не изменилось, зараза по-прежнему блокирует антивирус.. В отличие от проблемматичных "агентов", не блокирует ни cmd ни безопасный режим, но даже в безопасном режиме замаскированный процесс висит в памяти и не даёт запустить AVZ. Собствено вот этот список процессов:
Имя образа PID Имя сессии № сеанса Память
========================= ====== ================ ======== ============
System Idle Process 0 0 16 КБ
System 4 0 208 КБ
smss.exe 168 0 392 КБ
csrss.exe 220 0 3 680 КБ
winlogon.exe 244 0 2 644 КБ
services.exe 288 0 6 948 КБ
lsass.exe 300 0 1 328 КБ
svchost.exe 456 0 3 488 КБ
svchost.exe 500 0 4 320 КБ
svchost.exe 552 0 10 008 КБ
explorer.exe 1572 0 28 252 КБ
wmiprvse.exe 1756 0 4 960 КБ
cmd.exe 1928 0 1 448 КБ
tasklist.exe 1936 0 3 300 КБ
wmiprvse.exe 1968 0 5 784 КБ
taskkill-ом пытался глушить 552 1756 и 1968, в результате чего убирается только один из wmiprvse, оба других вроде как успешно завершаются и моментально возобновляются. ..
Кстати если завести нового пользователя (с правами пользователя) то при первом сеансе удаётся запустить AVZ, спокойно без всяких ключей и переименовываний, но в процессах ничего подозрительного не показывает, всё "зелёным" отмечено, тоесть AVZ-шка тоже не видит эту дрянь в списке активных процессов. При втором и дальнейших сеансах происходит таже ерунда,и AVZ уже не срабатывает. Заражение произошло как только я перешёл по этой ссылке из-под файрфокса [DELETED]
Сразу закрылся антивирус (Нод32) и при перезагрузке больше не стартовал. На мой взгляд совершенно гениально написанный вирус, раз он так спокойно обошёл все защиты и внедрился. Надеюсь что я не первый, кто его подцепил, и о нём уже что-то известно..хотя судя по тому, что его не видит ни один антивирус, то врядли. Сейчас вот рискнул с другого компьютера ещё раз пройти по ссылке(с установленным 6-м касперским), и выскочила информация о потенциально опасном ПО: Trojan.generic с попыткой сделать изменения в реестре.
Последний раз редактировалось Никита Соловьев; 15.10.2010 в 23:21.
Причина: ссылка удалена
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 59
Вот сделал лог. Из других симптомов отметил, что мозила файрфокс больше запускаться не хочет, Internet Explorer на антивирусные сайты не пускает (в том числе и сюда), справляюсь при помощи Opera Portable. А ещё если нажать на любой файл или ярлык правой кнопкой и в выпадающем списке навести курсор на пункт "отправить", то винда какбы сбрасывается, закрываются все программы, словно перезахожу под своей учёткой вновь.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\moxhih.exe
Folder::
c:\program files\Common Files\3CC1E8D9a
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
пробуйте запустить AVZ и сделать логи...
-
-
Junior Member
- Вес репутации
- 59
Спасибо, мне помогло! Антивирусы запускаются, как-будто сейчас никакой заразы и нет. Высылаю логи, так же создался архив с карантином virusinfo_cure.zip, высылать не нужно?
-
Чисто.
- Удалите ComboFix
virusinfo_cure.zip, высылать не нужно?
Нет.
-
-
Junior Member
- Вес репутации
- 59
Спасибо огромное!!! Ваша работа самая-самая полезная и лучшая!!! А почему антивирусы не увидели этой заразы, потому что она ещё совсем новая и её не успели занести в базы?
-
Сообщение от
Sanek81
А почему антивирусы не увидели этой заразы, потому что она ещё совсем новая и её не успели занести в базы?
Да, либо Вы их не обновили
-