Неведомая вирусня

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1 1
Модератор форума: xXxSh@dowxXx

Неведомая вирусня (Неведомая вирусня шастает)

Неведомая вирусня

link993

Дата: Четверг, 16.02.2012, 21:02 | Сообщение # 1

Участник

Зарегистрирован: 13.02.2011

Группа: Пользователи

Сообщений: 93

Статус: Offline

Господа, в очередной раз обращаюсь к вам за помощью. Сегодня какой-то гад поселился у меня в компе. Сайты антивирусной тематики не работают. Касперский, стоящий на моем компе, не рычит. В hosts изменений нет, но рядом появился файл imhosts с таким содержанием:

Code

# Copyright (c) 1993-1999 Microsoft Corp.
#
#
# ќв® ®Ўа §Ґж д ©«  LMHOSTS, ЁбЇ®«м§гойҐЈ®бп Microsoft TCP/IP ¤«п
# Windows.
#
# ќв®в д ©« б®¤Ґа¦Ёв в Ў«Ёжг б®®вўҐвбвўЁп IP- ¤аҐб®ў Ё ®Ўлзле (NetBIOS)
# Ё¬Ґ Є®¬ЇмовҐа®ў. Љ ¦¤л© н«Ґ¬Ґв ¤®«¦Ґ а бЇ®«  вмбп ў ®в¤Ґ«м®©
# бва®ЄҐ. IP- ¤аҐб ¤®«¦Ґ зЁ вмбп б ЇҐаў®© Ї®§ЁжЁЁ бва®ЄЁ,   §  Ё¬
# б«Ґ¤гҐв б®®вўҐвбвўгойҐҐ Ё¬п Є®¬ЇмовҐа . IP- ¤аҐб Ё Ё¬п Є®¬ЇмовҐа  ¤®«¦л
# Ўлвм ®в¤Ґ«Ґл ¤агЈ ®в ¤агЈ  е®вп Ўл ®¤Ё¬ Їа®ЎҐ«®¬ Ё«Ё бЁ¬ў®«®¬ в Ўг«пжЁЁ.
# ‡ Є "#" ЁбЇ®«м§гҐвбп ®Ўлз® ¤«п гЄ § Ёп    з «® Є®¬¬Ґв аЁп
# (€бЄ«озҐЁп Ё§ нв®Ј® Їа ўЁ«  Ўг¤гв ЇҐаҐзЁб«Ґл Ё¦Ґ).
#
# ќв®в д ©« б®ў¬ҐбвЁЁ¬ б д ©« ¬Ё Microsoft LAN Manager 2.x TCP/IP lmhosts,
# Ё ў Ґ¬ ¬®¦® ЁбЇ®«м§®ў вм б«Ґ¤гойЁҐ ¤®Ї®«ЁвҐ«млҐ ®ЇҐа в®ал:
#
#      #PRE
#      #DOM:<¤®¬Ґ>
#      #INCLUDE <Ё¬п_д ©« >
#      #BEGIN_ALTERNATE
#      #END_ALTERNATE
#      \0xnn (Ї®¤¤Ґа¦Є  бЇҐжЁ «мле бЁ¬ў®«®ў)
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#PRE", в® б®®вўҐвбвўгойЁ©
# н«Ґ¬Ґв Ўг¤Ґв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґ ў ЎгдҐа Ё¬Ґ. Џ® г¬®«з Ёо
# н«Ґ¬Ґвл нв®Ј® бЇЁбЄ  Ґ § Јаг¦ овбп ЇаҐ¤ў аЁвҐ«м®,   ўҐбм бЇЁб®Є
# Їа®б¬ ваЁў Ґвбп в®«мЄ® ў в®¬ б«гз Ґ, Ґб«Ё ¤Ё ¬ЁзҐбЄ®Ґ а §аҐиҐЁҐ
# б®®вўҐвбвўЁ© Ё¬Ґ Ґ ЇаЁўҐ«® Є гбЇҐег.
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#DOM:<¤®¬Ґ>", в®
# б®®вўҐвбвўгойЁ© н«Ґ¬Ґв Ўг¤Ґв бўп§ б гЄ § л¬ ¤®¬Ґ®¬.
# ќв® ў«ЁпҐв   Ї®ўҐ¤ҐЁҐ б«г¦Ў ®Ў§®а  Ё аҐЈЁбва жЁЁ ў баҐ¤Ґ TCP/IP.
# „«п в®Ј®, зв®Ўл ®ЎҐбЇҐзЁвм ЇаҐ¤ў аЁвҐ«мго § Јаг§Єг Ё¬ҐЁ, бўп§ ®Ј®
# б® бва®Є®© #DOM, Ґ®Ўе®¤Ё¬® в Є¦Ґ ¤®Ў ўЁвм #PRE Є нв®© бва®ЄҐ.
# €¬п в Є®Ј® ¤®¬Ґ  Ўг¤Ґв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґ®, е®вп Ё Ґ Ўг¤Ґв
# ®в®Ўа ¦ вмбп ЇаЁ Їа®б¬®ваҐ ЎгдҐа  Ё¬Ґ.
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#INCLUDE <Ё¬п_д ©« >", в®
# нв® ЇаЁўҐ¤Ґв Є в®¬г, зв® RFC NetBIOS (NBT) Їа®Ё§ўҐ¤Ґв Ї®ЁбЄ гЄ § ®Ј®
# д ©«  Ё ўлЇ®«Ёв ҐЈ® Їа®б¬®ва в Є, б«®ў® ® пў«пҐвбп «®Є «мл¬ д ©«®¬.
# ЋЎлз® <Ё¬п_д ©« > § ¤ Ґвбп ў д®а¬ вҐ UNC, зв® Ї®§ў®«пҐв еа Ёвм
# жҐва «Ё§®ў л© д ©« LMHOSTS   бҐаўҐаҐ. “звЁвҐ, зв® ў в Є®¬ б«гз Ґ
# бва®Є  б®®вўҐвбвўЁп IP- ¤аҐб  ¤«п ЁбЇ®«м§гҐ¬®Ј® бҐаўҐа  ЋЃџ‡Ђ’…‹њЌЋ
# ¤®«¦  ЇаҐ¤иҐбвў®ў вм ҐЈ® ЁбЇ®«м§®ў Ёо ў ¤ЁаҐЄвЁўҐ #INCLUDE.
# ќв® б®®вўҐвбвўЁҐ в Є¦Ґ ¤®«¦® ЁбЇ®«§®ў вм ¤ЁаҐЄвЁўг #PRE.
# Ља®¬Ґ в®Ј®, ®ЎйЁ© аҐбгаб "public" Ё§ ЇаЁўҐ¤Ґ®Ј® Ё¦Ґ ЇаЁ¬Ґа  ¤®«¦Ґ
# ЇаЁбгвбвў®ў вм ў бЇЁбЄҐ "NullSessionShares"   LanManServer ¤«п в®Ј®,
# зв®Ўл Є«ЁҐвл б¬®Ј«Ё гбЇҐи® Їа®зЁв вм д ©« LMHOSTS.
# ќв®в Ї а ¬Ґва еа Ёвбп ў бЁбвҐ¬®¬ аҐҐбваҐ Ї®  ¤аҐбг
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares.
# Ќг¦® Їа®бв® ¤®Ў ўЁвм бва®Єг "public" Є Ё¬ҐойҐ¬гбп в ¬ бЇЁбЄг.
#
# Љ«озҐўлҐ б«®ў  #BEGIN_ Ё #END_ALTERNATE Ї®§ў®«пов ЈагЇЇЁа®ў вм ў¬ҐбвҐ
# ҐбЄ®«мЄ® ¤ЁаҐЄвЁў #INCLUDE. •®вп Ўл ®¤® гбЇҐи®Ґ ўлЇ®«ҐЁҐ ¤ЁаҐЄвЁўл
# "include" бзЁв Ґвбп гбЇҐил¬ ўлЇ®«ҐЁҐ¬ ўбҐ© ЈагЇЇл.
#
# Ќ Є®Ґж, ¬®¦® ЁбЇ®«м§®ў вм бЇҐжЁ «млҐ бЁ¬ў®«л ЇаЁ б®Ї®бв ў«ҐЁЁ Ё¬Ґ
# б Ї®¬®ймо § Є«озҐЁп б®®вўҐвбвўгойҐЈ® Ё¬ҐЁ ў Є ўлзЄЁ,   § вҐ¬
# ЁбЇ®«м§®ў Ёп иҐбв ¤ж вҐаЁз®Ј® Є®¤  бЁ¬ў®«  б Ї®¬®ймо § ЇЁбЁ \0xnn.
#
# ‚ б«Ґ¤гойҐ¬ ЇаЁ¬ҐаҐ ЁбЇ®«м§говбп ўбҐ ЇҐаҐзЁб«ҐлҐ ўлиҐ ¤®Ї®«ЁвҐ«млҐ
# ®ЇҐа в®ал:
#
# 102.54.94.97   rhino     #PRE #DOM:networking  #¤®¬Ґ ЈагЇЇл
# 102.54.94.102  "appname  \0x14"                #бЇҐжЁ «мл© бҐаўҐа ЇаЁ«®¦ҐЁ©
# 102.54.94.123  popular        #PRE             #ЇаҐ¤ў аЁвҐ«м® § Јаг¦ Ґ¬®Ґ Ё¬п
# 102.54.94.117  localsrv       #PRE             #бҐаўҐа, ЁбЇ®«м§гҐ¬л© ў "INCLUDE"
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# ‚ ЇаЁўҐ¤Ґ®¬ ўлиҐ ЇаЁ¬ҐаҐ ў Ё¬ҐЁ бҐаўҐа  "appname" б®¤Ґа¦Ёвбп бЇҐжЁ «мл©
# бЁ¬ў®«, Ё¬Ґ  бҐаўҐа®ў "popular" Ё "localsrv" Ўг¤гв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґл,
# Ё¬п бҐаўҐа  "rhino" Ўг¤Ґв ЁбЇ®«м§®ў вмбп ¤«п Ї®«гзҐЁп жҐва «Ё§®ў ®Ј®
# д ©«  LMHOSTS ў в®¬ б«гз Ґ, Ґб«Ё бЁбвҐ¬  "localsrv" Ўг¤Ґв Ґ¤®бвгЇ .
#
# “звЁвҐ, зв® ўҐбм д ©« LMHOSTS, ўЄ«оз п Є®¬¬Ґв аЁЁ, Ўг¤Ґв Їа®б¬ ваЁў вмбп
# ЇаЁ Є ¦¤®¬ ҐЈ® ЁбЇ®«м§®ў ЁЁ, в Є зв® Ё¬ҐҐв б¬лб« ¬ЁЁ¬Ё§Ёа®ў вм Є®«ЁзҐбвў®
# ЁбЇ®«м§гҐ¬ле Є®¬¬Ґв аЁҐў. Џ® нв®© ЇаЁзЁҐ Ґ б«Ґ¤гҐв Їа®бв® ¤®Ї®«пвм
# ¤ л© д ©« г¦л¬Ё бва®Є ¬Ё в Ў«Ёжл б®®вўҐвбвўЁп,   «гзиҐ Ўг¤Ґв
# б®§¤ вм ®ўл© д ©«.

Я думаю, что вирусня что-то с этим файлом мудрит. Сайты антивирусов открываются только через разные анонимайзеры (ито не всегда). Что делать господа? Могу приложить вам этот файл в помощь. P.s. антивирусы не обновляются:-(

Gravitas: Хватит посещать порносайты :D

Сообщение отредактировал dolphin - Понедельник, 20.02.2012, 09:12

Волк-1024

Дата: Пятница, 17.02.2012, 13:26 | Сообщение # 2

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 469

Статус: Offline

link993, imhosts нормальный он такой и должен быть. Только без иероглифов.

Pascal, C\C++, Assembler, Python

xXxSh@dowxXx

Дата: Пятница, 17.02.2012, 15:25 | Сообщение # 3

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Несколько лет назад была небольшая эпидемия какого то зловреда который блокировал доступ к антивирусным сайтам и хз каким макаром не давал антивирусам обновляться,когда то давно я про это читал,но те времена давно канули в лету, да и я уже точно не помню что это был за зловред, попробуй покапаться, поискать информацию по нему, лечилка для него уже давно есть,странно почему у тебя антивирус его не обнаружил...

dolphin

Дата: Суббота, 18.02.2012, 11:40 | Сообщение # 4

Администратор

Сообщений: 906

Статус: Offline

В imhosts всё закоментировано у тебя. Не одной живой строчки. Проверь что по этому адресу в реестре

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

ещё в 64-битной системе %systemroot%\SysWOW64\drivers\etc\hosts

Расположение файла в Windows прописано в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath (REG_EXPAND_SZ - расширяемый строковый параметр) - значение по-умолчанию: %SystemRoot%\System32\drivers\etc (в 64-битной системе может быть такое: %SystemRoot%\SysWOW64\drivers\etc)

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик

link993

Дата: Суббота, 18.02.2012, 16:35 | Сообщение # 5

Участник

Зарегистрирован: 13.02.2011

Группа: Пользователи

Сообщений: 93

Статус: Offline

Прикладываю подозрительные файлы (судя по картинке). Антивирус их не палит. Файлы в архиве. Не запускайте. Вирусня совсем новая! Если сейчас у меня не выйдет ее деактивировать, то я думаю порно баннер появится после перезагрузки. Еще иногда зависает мышка. Умоляю проверьте их на вирустотале т.к. я туда доступа не имею. Скажите что в таком случае предпринять.

link993

Дата: Суббота, 18.02.2012, 16:40 | Сообщение # 6

Участник

Зарегистрирован: 13.02.2011

Группа: Пользователи

Сообщений: 93

Статус: Offline

Блин, что-то не выкладывается. Выложил на другой хост. Ссылка: http://upwap.ru/2032042 Пароль: virus

Логи avz:

Code

Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 18.02.2012 10:39:30
Загружена база: сигнатуры - 297617, нейропрофили - 2, микропрограммы лечения - 56, база от 18.02.2012 13:38
Загружены микропрограммы эвристики: 397
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 320156
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00060FF6]
Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00061096]
Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[000611B6]
Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00061286]
Функция kernel32.dll:MoveFileA (609) перехвачена, метод APICodeHijack.JmpTo[00062506]
Функция kernel32.dll:MoveFileW (612) перехвачена, метод APICodeHijack.JmpTo[00062566]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[000652F6]
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[00066386]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00066636]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[000653C6]
Функция ntdll.dll:ZwEnumerateValueKey (971) перехвачена, метод APICodeHijack.JmpTo[00066386]
Функция ntdll.dll:ZwQueryDirectoryFile (1044) перехвачена, метод APICodeHijack.JmpTo[00066636]
Функция ntdll.dll:ZwResumeThread (1107) перехвачена, метод APICodeHijack.JmpTo[000653C6]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:GetAddrInfoW (24) перехвачена, метод APICodeHijack.JmpTo[00061D06]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[000C7246]
    Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод APICodeHijack.JmpTo[00062096]
Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод APICodeHijack.JmpTo[00062156]
Функция wininet.dll:InternetWriteFile (308) перехвачена, метод APICodeHijack.JmpTo[00062396]
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadToFileA (216) перехвачена, метод APICodeHijack.JmpTo[00069076]
Функция urlmon.dll:URLDownloadToFileW (217) перехвачена, метод APICodeHijack.JmpTo[000691E6]
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=083220)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
      SDT = 8055A220
      KiST = 804E26B8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 2976 c:\documents and settings\Администратор\application data\5.exe
1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Проверка завершена
2. Проверка памяти
    Количество найденных процессов: 30
    Количество загруженных модулей: 315
c:\windows\temp\rar$ex26.000\wpespy.dll >>>>> HackTool.Win32.Sniffer.WpePro.w
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
    >>  Заблокирована возможность подключения и отключения сетевых дисков
    >>  Меню Пуск - заблокированы элементы
    >>  Таймаут завершения процессов находится за пределами допустимых значений
    >>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
    >>  Заблокирован пункт меню Справка и техподдержка
    >>  Повреждены настройки SafeBoot
Проверка завершена
Просканировано файлов: 345, извлечено из архивов: 0, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 18.02.2012 10:41:26
Сканирование длилось 00:01:59
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.*****.com/index.php?showforum=18

Я думаю это еще раз доказывает мои предположения:

Code

   Анализ kernel32.dll, таблица экспорта найдена в секции .text
  Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00060FF6]
  Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00061096]
  Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[000611B6]
  Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00061286]
  Функция kernel32.dll:MoveFileA (609) перехвачена, метод APICodeHijack.JmpTo[00062506]
  Функция kernel32.dll:MoveFileW (612) перехвачена, метод APICodeHijack.JmpTo[00062566]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
  Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[000652F6]
  Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[00066386]
  Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00066636]
  Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[000653C6]
  Функция ntdll.dll:ZwEnumerateValueKey (971) перехвачена, метод APICodeHijack.JmpTo[00066386]
  Функция ntdll.dll:ZwQueryDirectoryFile (1044) перехвачена, метод APICodeHijack.JmpTo[00066636]
  Функция ntdll.dll:ZwResumeThread (1107) перехвачена, метод APICodeHijack.JmpTo[000653C6]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
  Функция ws2_32.dll:GetAddrInfoW (24) перехвачена, метод APICodeHijack.JmpTo[00061D06]
  Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[000C7246]
    Анализ wininet.dll, таблица экспорта найдена в секции .text
  Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод APICodeHijack.JmpTo[00062096]
  Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод APICodeHijack.JmpTo[00062156]
  Функция wininet.dll:InternetWriteFile (308) перехвачена, метод APICodeHijack.JmpTo[00062396]
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
  Функция urlmon.dll:URLDownloadToFileA (216) перехвачена, метод APICodeHijack.JmpTo[00069076]
  Функция urlmon.dll:URLDownloadToFileW (217) перехвачена, метод APICodeHijack.JmpTo[000691E6]
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
  1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=083220)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
      SDT = 8055A220
      KiST = 804E26B8 (284)
  Проверено функций: 284, перехвачено: 0, восстановлено: 0
  1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 2976 c:\documents and settings\Администратор\application data\5.exe

Сообщение отредактировал link993 - Суббота, 18.02.2012, 16:54

xXxSh@dowxXx

Дата: Суббота, 18.02.2012, 18:58 | Сообщение # 7

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

а по ковыряться с c:\documents and settings\Администратор\application data\5.exe не пробывал?

если опять появляется ищи исходный процесс, службу, драйвер, либо возможные варианты автозапуска: проверь запланированные задачи, реестр, автозагрузку...,хз не может быть что бы это могло быть что то сверх новое и необъяснимое, по всей видимости используются стандартные схемы запуска...

link993

Дата: Суббота, 18.02.2012, 20:42 | Сообщение # 8

Участник

Зарегистрирован: 13.02.2011

Группа: Пользователи

Сообщений: 93

Статус: Offline

Пробовал я. Скажу честно, что стандартного тут ничего нет. Программу эту опытный человек писал. Это что то похожее на неубиваемую программу C@T,a Я такую фигню намудрил: удалил те файлы которые мог (которые ни какой процесс не блокировал) и на место их поставил другие .exe с именами вредоносов. Вроде прокатило. Только блин я еще не все части вредоноса заблочил (мышка иногда заедает и по реестру видно). По каперскому уже имя программе дали (вчера). Жду обновлений для avz, касперский в аут улетел. Процесс основный кроется каким то способом необъяснимым.

Сообщение отредактировал link993 - Суббота, 18.02.2012, 20:47

xXxSh@dowxXx

Дата: Суббота, 18.02.2012, 20:56 | Сообщение # 9

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

больше всего меня удивило то что твой Касперский пропустил запуск и распаковку этого вредоноса, ведь новый Касперский с последними базами, присекает любую распаковку неизвестной ему программы, так же выдается сообщение безопасности при любых изменениях реестра и даже на обращение к проводнику какой либо программы, возможно просто вы отключали антивирус на какое то время либо как вариант зловред был прикреплен к какому либо софту и вы на все сообщения выдаваемые антивирусом на действия этой программы ответили разрешить или пропустить как то так вобщем...,во всяком случае когда я тестировал Каспера он орал обсалютно на все виды действий даже на абсолютно безобидные действия...

могу вам посоветовать установить PC Tools Internet Security последней версии,в последней версии к сожалению пока вроде бы еще не выпустили Русский язык интерфейса,так что придется на английском,но софтина хорошая,советую каждому попробувать ее в деле,находит многие даже хорошо скрытые заразы...

на официальном сайте разработчиков можно скачать бесплатно 30 дневную версию

ВАЖНОЕ ЗАМЕЧАНИЕ!!!
эта программа жрет не мало ресурсов системы,а так же не желательно запускать одновременно с другими антивирусами, так как в ней встроен свой фаерволл и она запускает несколько своих служб для обнаружения инфекций..,вобщем прежде чем устанавливать - выключите все антивирусы иначе они будут просто друг друга блокировать

Сообщение отредактировал xXxSh@dowxXx - Суббота, 18.02.2012, 20:59

dolphin

Дата: Воскресенье, 19.02.2012, 13:30 | Сообщение # 10

Администратор

Сообщений: 906

Статус: Offline

У меня детектируется как криптованый троянец зеус. плюс маленькие файлы - ява и хтмл скрипты.

xXxSh@dowxXx

Дата: Воскресенье, 19.02.2012, 14:12 | Сообщение # 11

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Quote (dolphin)

У меня детектируется как криптованый троянец зеус. плюс маленькие файлы - ява и хтмл скрипты.

ну вот,я же говорил врят ли это что то новое и сверх навороченное...,все вполне обычно...

link993

Дата: Воскресенье, 19.02.2012, 15:02 | Сообщение # 12

Участник

Зарегистрирован: 13.02.2011

Группа: Пользователи

Сообщений: 93

Статус: Offline

Позавчера добавили в базы. Тему можно закрывать. Спасибо всем!

jlool

Дата: Понедельник, 23.04.2012, 02:23 | Сообщение # 13

Новичок

Зарегистрирован: 23.04.2012

Группа: Пользователи

Сообщений: 1

Статус: Offline

http://en.wikipedia.org/wiki/LMHOSTS идиты в жопу , а я спать ... Хватит пользоваться полёной виндой от индима ... У парней проблемы с кодировкой были при создание сего продукта , а тут аж в базы он добавит , смешно товарищ , смешно , переходи на *nix и будет всем счастье , винда от одного пирата избавиться , а твой мозг от мании преследования ....

Don_Diego

Дата: Воскресенье, 14.05.2017, 21:21 | Сообщение # 14