Показано с 1 по 18 из 18.

Вирусы с флэшки (заявка № 9513)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62

    Exclamation Вирусы с флэшки

    Не один, а сразу два
    Получил я вируса...
    Начнём по порядочку...

    Первый "Прога_для_смены_MAC_адреса.exe" (образец прилагается) копирует себя, причём только в Мои документы и только на флэшки. При удалении восстанавливается.
    Вопрос1: чем можно "посмотреть" сего зловреда, чтобы понять, что он делает, без его запуска?
    Вопрос2: Как от него избавиться?

    Второй, более скрытный, а заодно и более досадный вирус при запуске системы ищет исполняемые файлы на каждом диске, будь то сменный или стационарный носитель, и приводит их "общему размерателю" 256 Мб, байт в байт, причём крупные файлы вроде WindowsXP_SP2.exe (размером > 256 Мб) пропускает. Радует то, что заражённые данным вирусом файлы "не "портятся", то есть запускаются, как обычно. Образец заражённого файла прилагается (подопытный - пустой exe-шник).
    Вопрос3, думаю, ясен.

    Система была полностью и безрезультатно проверена самыми свежими Symantec Antivirus, Kaspersky Online, AVG Internet Securiy, Lavasoft Ad-Aware FBM ZeroSpyware, AVZ, HijackThis поочереди.Требуемые логи прилагаются.

    P./\.S.S. Приветствуются советы/ответы опытных хелперов/программистов
    Подозрительные файлы не прикреплять к темам !!! для этого есть ссылка вверху
    Вложения Вложения
    Последний раз редактировалось drongo; 06.05.2007 в 09:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ramdac32.dll','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62
    Запрошенные файлы отправлены.
    Заражённый вторым вирусом пустой ехе-шник AVZ классифицировал как MailBomb.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Результат Virustotal по файлу ramdac32.dll:
    AntiVir 7.4.0.15 05.05.2007 HEUR/Malware
    eSafe 7.0.15.0 05.03.2007 suspicious Trojan/Worm
    Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious
    Webwasher-Gateway 6.0.1 05.06.2007 Heuristic.Malware
    Отправил в ЛК, подождем ответа.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    При попытке скачать вашу "Прога_для_смены_MAC_адреса.exe" Касперский с радостным визгом сообщает:
    обнаружено: вирус Password-protected-EXE (модификация) URL: hттp://upload.virusinfo.info/070506_145736_Прога_для_смены_MAC_адреса_463db4a09 7468.zip/Прога_для_смены_MAC_адреса.exe

  7. #6
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62
    Получается, оба моих вируса - части одной вирус-системы...
    Касперский идентифицирует приложение Прога_для_смены_МАС_адреса.ехе как Trojan.Win32.FatBoy.a и удаляет его. Но это я вручную делал и раньше Теперь нужно как-нибудь удалить то, что копирует его туда...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Давайте еще вот это проверим:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\zsnotify.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от Bratez Посмотреть сообщение
    При попытке скачать вашу "Прога_для_смены_MAC_адреса.exe" Касперский с радостным визгом сообщает:
    Он так всегда ругается, когда exe файл в архиве под паролем.

  10. #9
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62
    С Trojan.Win32.FatBoy.a покончено с помощью "Лечения активных угроз" Касперского...

    Alex_Goodwin, запрошенные файлы отправлены.
    Последний раз редактировалось hwk; 07.05.2007 в 00:53.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Присланный архив пуст. Попробуйте http://virusinfo.info/showthread.php?t=4567 вручную добавить и прислать.
    Последний раз редактировалось Alex_Goodwin; 07.05.2007 в 02:07.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Ответ ЛК по 0.exe:
    Здравствуйте
    Файл забит нулями и, следовательно, чистый.
    судя по всему зловред, дописывает в конец всех файлов нули до размера 256 Mb


    С уважением, Борис Ямпольский
    Вирусный аналитик
    ЗАО "Лаборатория Касперского"
    Последний раз редактировалось Alex_Goodwin; 07.05.2007 в 03:41.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от Bratez Посмотреть сообщение
    Результат Virustotal по файлу ramdac32.dll:

    Отправил в ЛК, подождем ответа.
    Ответ ЛК:
    Trojan.Win32.FatBoy.a

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Сделайте новые логи. Для контроля.

  15. #14
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62
    Alex_Goodwin, zsnotify.dll , наверное, остался после удаления FBM ZeroSpyware

    Новые логи готовы. Мне показалось, или они немного похудели?

    В общем, вирус благополучно устранён!
    Вложения Вложения
    Последний раз редактировалось hwk; 07.05.2007 в 03:26.

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    6
    Вес репутации
    62
    Существует ли утилита, очищающая .exe файлы от дописанных к концу лишних нулей? То есть возможно ли вернуть заражённые файлы к исходному их размеру, или теперь остаётся только удалить их?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Пофиксите:
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
    2. Логи чистые.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от hwk Посмотреть сообщение
    Существует ли утилита, очищающая .exe файлы от дописанных к концу лишних нулей? То есть возможно ли вернуть заражённые файлы к исходному их размеру, или теперь остаётся только удалить их?
    Пока не удаляйте.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ramdac32.dll - Trojan.Win32.FatBoy.a (DrWEB: Trojan.Ramdac)
      2. \\прога_для_смены_mac_адреса.exe - Trojan.Win32.FatBoy.a (DrWEB: Trojan.Ramdac)


  • Уважаемый(ая) hwk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Комп№2 Жалобы на вирусы с флэшки
      От Gorich в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.04.2012, 12:04
    2. Ответов: 5
      Последнее сообщение: 08.07.2010, 23:43
    3. Буквы для флэшки
      От Hanson в разделе Microsoft Windows
      Ответов: 3
      Последнее сообщение: 23.03.2010, 20:52
    4. Ответов: 29
      Последнее сообщение: 01.05.2009, 02:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00526 seconds with 20 queries