Оч интересный вирус, никогда такого не видел

[Al_lexx]

Сабж.
Судя по всему заражение произошло после открытия письма с адресом похожим на тот, с которым привыкли переписываться.
После заражения исчезло большинство админских привелегий. Например возможность управлять пользователями как класс (нет административного раздела "пользователи"), возможность подключиться к какой либо сети как класс. Сменился дектоп, став яркосиним, посредине желтая с красными буквами вывеска - "вы заражены, обращайтесь - туда то".
Никакие антивири его не видят., в авторане не виден, в процессах не виден. Время от времени запускает скрипт, показывает якобы БСОД (всё время разный) и якобы перезагрузку системы, которой на самом деле не происходит. В общем кино и немцы.
Интересно, кто нить сталкивался с таким?
Машину полюбас буду брить наголо.
Просто интересно.

[Angel]

Было с полгода назад, только видать старее версия - скрипты не запускал, а начало 1 в 1 совпадает. Пару дней ковырялся и только результаты работы находил, самого виря как и небыло никогда, потом форматнул от греха подальше

[Vose]

Прикольный зверёк, может руткит?. Письмецо сохранили?

Я на днях тоже 4 часа подобно "развлекался", но там целая компания вирей была. При запуске Cure-It с защищённой флэшки в BSOD выбрасывало, AVZ из памяти выкидывало. А при попытке в SAFE mode загрузится XP тоже сразу в BSOD вываливалась. После лечения с LIVE-CD всё равно какой-то зверёк затаился, который AVZ обнаруживает, но распознать и прибить не может. Поставил KIS7, запустил ещё раз на скан и ушёл - ну не хотели хозяева системник отдавать для перестановки винды (сразу предложил), а я не хотел у них поселятся для производства этого действа (к тому же 170 Гиг инфы некуда скинуть было)

[Sharp]

Хм...... имхо руткит со своим драйвером - драйвера просто так в процессах не светятся.
От драйвера теоретически должен спасти Safe Mode и запуск AVZ, желательно с переименованным exe'шником.

Еще исполняемый файл может быть прописан в потоке NTFS (Не виден проводником, Total Commander'ом и проч), а запуск его может быть прописан как параметр у того же winlogon (добавляет себя к параметру userinit - хрен вынесешь) или например к параметру csrss - подменой библиотеки basesrv в параметре Windows - да еще тучу примеров можно привести, как скрыть образ исполняемого файла в памяти - можно вообше написать аналог task manager'а - который будет показывать только то, что нуна))

Имхо я бы сначала откатил систему ERD Commander'ом, далее из safe mode просканил систему AVZ и Autoruns'ом на предмет надичия левых дров, библиотек и проч фигни.....

[Al_lexx]

В понедельник поставлю туда новую машину. Та что заражена - четырёх летний эксимер. Пора ему...

От драйвера теоретически должен спасти Safe Mode и запуск AVZ, желательно с переименованным exe'шником.

Неа.

На досуге поковыряюсь. О результатах обязательно отпишу.

[kit]

Вот блин.
А что в письме было? В смысле какое вложение?
Какой почтовик был?

[Timo]

блин, тоже про Autorans хотел сказать опередили
эта штука действительно очень хорошая, ей я и вирус в агенте позже увидел, и экспериментировал со старым вирусом - может увидеть. часто к svchost цепляется

[Al_lexx]

Вот блин.
А что в письме было? В смысле какое вложение?
Какой почтовик был?

На счет текста не скажу, сам не читал (комп в конторе работает). Но на сколько мне известно - текст был самый безобидный. Уж точно не страшное проклятие до 7-го колена.
Почтовик... мыло.ру

[kit]

Я не о том. Вирус-то не из текста скомпилировался, а было какое-то вложение в письме. Какое? (тип файла?)
Почтовик - в смысле почтовая программа-клиент. Или читали через браузер? (какой?)

[Al_lexx]

Где то на одном из секьюрити форумов нашел текст о том, что есть вирусы, которые корёжат систему по полной, а потом само-уничтожаются. Потому их и невозможно найти. Уже просто никого и ничего нет.
Все (почти ))) меры по восстановлению реестра были предприняты. Безрезультатно.
Поверху ничего не накатывал, потому как сегодня привезли в замен старья, свежак - 5800.
Восстанавливать ни чего не собираюсь. Машина - в консервацию (пока, потом утилизация).

З.Ы.
"Хорошая ерунда" (с).
Заодно, рабочее место проапгрейдил.

З.З.Ы.
С моей стороны - тема закрыта.

[Darkcat]

Напиши в лабораторию Касперского. И притащи им хард с покалеченой машины. Полностью вирус самоуничтожиться не может, всегда есть шанс его восстановить.

з.ы. Просто хорошо написанный вирус...

[Al_lexx]

И притащи им хард с покалеченой машины.

Ага. А заодно свою голую жо.. выставить в окно.

Понятно, что вирус после себя что то оставляет. Как минимум искорёженную систему.
Блеск и нищета лаборатории Касперского - мне глубоко похрен. Равно как и любой другой лаборатории. Если я покупаю антивирь (уж точно не каспера), то плачу деньги не за юзер интерфейс, а за реальную функциональность. В которую входит мониторинг вирусов, со стороны раболатории.

З.Ы.
Машина бухгалтерская. Потому консервация до поры до времени. Потом формат С:, с последующим затиранием секторов за три прохода. После этого - на запчасти, в детский дом или ещё куда...

[0xFF]

с последующим затиранием секторов за три прохода

Если на винчестере есть очень интересная кому-нить информация, то семь. Семь проходов. Разными паттернами.

ЗЫ Да, я параноик. Но я знаю о чем говорю.

[Vose]

Сегодня ночью в поисках халявы подцепил какую-то дрянь (КИС, сволочь, промолчал), которая при открытии окна в эксплорее выдаёт окошко, что мол винда поражена троянскими лошадями и надо срочно качать антишпионское ПО, и 2 кнопочки ... Да или Нет и по обоим запускает Оперу и ломится на http://free-viruscan.com/id/4912933/4/1/или http://ie-antivirus.com/download.php. В процессах не видна, AVZ, Drweb и KIS обнаружить её не смогли. Придётся, видимо сносить систему

[SoftModerator]

спайбот реит все пробдлеемы