Оч интересный вирус, никогда такого не видел
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Оч интересный вирус, никогда такого не видел
Сабж.
Судя по всему заражение произошло после открытия письма с адресом похожим на тот, с которым привыкли переписываться.
После заражения исчезло большинство админских привелегий. Например возможность управлять пользователями как класс (нет административного раздела "пользователи"), возможность подключиться к какой либо сети как класс. Сменился дектоп, став яркосиним, посредине желтая с красными буквами вывеска - "вы заражены, обращайтесь - туда то".
Никакие антивири его не видят., в авторане не виден, в процессах не виден. Время от времени запускает скрипт, показывает якобы БСОД (всё время разный) и якобы перезагрузку системы, которой на самом деле не происходит. В общем кино и немцы.
Интересно, кто нить сталкивался с таким?
Машину полюбас буду брить наголо.
Просто интересно.
Судя по всему заражение произошло после открытия письма с адресом похожим на тот, с которым привыкли переписываться.
После заражения исчезло большинство админских привелегий. Например возможность управлять пользователями как класс (нет административного раздела "пользователи"), возможность подключиться к какой либо сети как класс. Сменился дектоп, став яркосиним, посредине желтая с красными буквами вывеска - "вы заражены, обращайтесь - туда то".
Никакие антивири его не видят., в авторане не виден, в процессах не виден. Время от времени запускает скрипт, показывает якобы БСОД (всё время разный) и якобы перезагрузку системы, которой на самом деле не происходит. В общем кино и немцы.
Интересно, кто нить сталкивался с таким?
Машину полюбас буду брить наголо.
Просто интересно.
Прикольный зверёк, может руткит?. Письмецо сохранили?
Я на днях тоже 4 часа подобно "развлекался", но там целая компания вирей была. При запуске Cure-It с защищённой флэшки в BSOD выбрасывало, AVZ из памяти выкидывало. А при попытке в SAFE mode загрузится XP тоже сразу в BSOD вываливалась. После лечения с LIVE-CD всё равно какой-то зверёк затаился, который AVZ обнаруживает, но распознать и прибить не может. Поставил KIS7, запустил ещё раз на скан и ушёл - ну не хотели хозяева системник отдавать для перестановки винды (сразу предложил), а я не хотел у них поселятся для производства этого действа (к тому же 170 Гиг инфы некуда скинуть было)
Я на днях тоже 4 часа подобно "развлекался", но там целая компания вирей была. При запуске Cure-It с защищённой флэшки в BSOD выбрасывало, AVZ из памяти выкидывало. А при попытке в SAFE mode загрузится XP тоже сразу в BSOD вываливалась. После лечения с LIVE-CD всё равно какой-то зверёк затаился, который AVZ обнаруживает, но распознать и прибить не может. Поставил KIS7, запустил ещё раз на скан и ушёл - ну не хотели хозяева системник отдавать для перестановки винды (сразу предложил), а я не хотел у них поселятся для производства этого действа (к тому же 170 Гиг инфы некуда скинуть было)
Глупый пингвин робко прячет, умный - смело достаёт...
- Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
Хм...... имхо руткит со своим драйвером - драйвера просто так в процессах не светятся.
От драйвера теоретически должен спасти Safe Mode и запуск AVZ, желательно с переименованным exe'шником.
Еще исполняемый файл может быть прописан в потоке NTFS (Не виден проводником, Total Commander'ом и проч), а запуск его может быть прописан как параметр у того же winlogon (добавляет себя к параметру userinit - хрен вынесешь) или например к параметру csrss - подменой библиотеки basesrv в параметре Windows - да еще тучу примеров можно привести, как скрыть образ исполняемого файла в памяти - можно вообше написать аналог task manager'а - который будет показывать только то, что нуна))
Имхо я бы сначала откатил систему ERD Commander'ом, далее из safe mode просканил систему AVZ и Autoruns'ом на предмет надичия левых дров, библиотек и проч фигни.....
От драйвера теоретически должен спасти Safe Mode и запуск AVZ, желательно с переименованным exe'шником.
Еще исполняемый файл может быть прописан в потоке NTFS (Не виден проводником, Total Commander'ом и проч), а запуск его может быть прописан как параметр у того же winlogon (добавляет себя к параметру userinit - хрен вынесешь) или например к параметру csrss - подменой библиотеки basesrv в параметре Windows - да еще тучу примеров можно привести, как скрыть образ исполняемого файла в памяти - можно вообше написать аналог task manager'а - который будет показывать только то, что нуна))
Имхо я бы сначала откатил систему ERD Commander'ом, далее из safe mode просканил систему AVZ и Autoruns'ом на предмет надичия левых дров, библиотек и проч фигни.....
блин, тоже про Autorans хотел сказать опередили
эта штука действительно очень хорошая, ей я и вирус в агенте позже увидел, и экспериментировал со старым вирусом - может увидеть. часто к svchost цепляется
эта штука действительно очень хорошая, ей я и вирус в агенте позже увидел, и экспериментировал со старым вирусом - может увидеть. часто к svchost цепляется
ВКОНТАКТЕ-ЗЛО
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173
#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173
#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
Где то на одном из секьюрити форумов нашел текст о том, что есть вирусы, которые корёжат систему по полной, а потом само-уничтожаются. Потому их и невозможно найти. Уже просто никого и ничего нет.
Все (почти ))) меры по восстановлению реестра были предприняты. Безрезультатно.
Поверху ничего не накатывал, потому как сегодня привезли в замен старья, свежак - 5800.
Восстанавливать ни чего не собираюсь. Машина - в консервацию (пока, потом утилизация).
З.Ы.
"Хорошая ерунда" (с).
Заодно, рабочее место проапгрейдил.
З.З.Ы.
С моей стороны - тема закрыта.
Все (почти ))) меры по восстановлению реестра были предприняты. Безрезультатно.
Поверху ничего не накатывал, потому как сегодня привезли в замен старья, свежак - 5800.
Восстанавливать ни чего не собираюсь. Машина - в консервацию (пока, потом утилизация).
З.Ы.
"Хорошая ерунда" (с).
Заодно, рабочее место проапгрейдил.
З.З.Ы.
С моей стороны - тема закрыта.
Напиши в лабораторию Касперского. И притащи им хард с покалеченой машины. Полностью вирус самоуничтожиться не может, всегда есть шанс его восстановить.
з.ы. Просто хорошо написанный вирус...
з.ы. Просто хорошо написанный вирус...
Это неправильный кот. Его не тянет на рыбу. Его в земле копаться тянет. Сказали ему как-то, что он мышей ловить должен, но не уточнили, что не летучих.
Ага. А заодно свою голую жо.. выставить в окно.Darkcat писал(а):И притащи им хард с покалеченой машины.
Понятно, что вирус после себя что то оставляет. Как минимум искорёженную систему.
Блеск и нищета лаборатории Касперского - мне глубоко похрен. Равно как и любой другой лаборатории. Если я покупаю антивирь (уж точно не каспера), то плачу деньги не за юзер интерфейс, а за реальную функциональность. В которую входит мониторинг вирусов, со стороны раболатории.
З.Ы.
Машина бухгалтерская. Потому консервация до поры до времени. Потом формат С:, с последующим затиранием секторов за три прохода. После этого - на запчасти, в детский дом или ещё куда...
Если на винчестере есть очень интересная кому-нить информация, то семь. Семь проходов. Разными паттернами.Al_lexx писал(а):с последующим затиранием секторов за три прохода
ЗЫ Да, я параноик. Но я знаю о чем говорю.
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
Сегодня ночью в поисках халявы подцепил какую-то дрянь (КИС, сволочь, промолчал), которая при открытии окна в эксплорее выдаёт окошко, что мол винда поражена троянскими лошадями и надо срочно качать антишпионское ПО, и 2 кнопочки ... Да или Нет и по обоим запускает Оперу и ломится на http://free-viruscan.com/id/4912933/4/1/или http://ie-antivirus.com/download.php. В процессах не видна, AVZ, Drweb и KIS обнаружить её не смогли. Придётся, видимо сносить систему
Глупый пингвин робко прячет, умный - смело достаёт...
- SoftModerator
- Сообщения: 2811
- Зарегистрирован: 16 июн 2006, 14:08
- Откуда: Видное
- Контактная информация: