Чего-то не понял (NTOS.exe)
#1
Отправлено 13 Май 2008 - 22:29
От чего же тогда я излечился??????
Вячеслав
#2
Отправлено 13 Май 2008 - 23:35
А в посылке точно был ntos.exe? Если мне не изменяет склероз, audio.dll и video.dll ни разу не библиотеки...Ваш запрос был проанализирован. Это был не вирус
---
С уважением,
Borka.
#3
Отправлено 13 Май 2008 - 23:52
C:WINDOWSsystem32unsvchosts.lzma
C:WINDOWSsystem32ntos.exe
C:WINDOWSsystem32wsnpoemaudio.dll
C:WINDOWSsystem32wsnpoemaudio.dll.cla
C:WINDOWSsystem32wsnpoemvideo.dll
Соответственно все эти файлы в архиве присутствуют...
А про библиотеки я и не говорил ;-)))
Вячеслав
#4
Отправлено 14 Май 2008 - 00:02
Странно... На всякий случай - номер тикета. Вирусные аналитики здесь бывают редко, но все же...Вот содержимое FileList.txt из посланного архива:
Хм... Значит, обман зрения:А про библиотеки я и не говорил ;-)))
:)и сопутствующие dll-ки (audio и video)
---
С уважением,
Borka.
#5
Отправлено 14 Май 2008 - 00:16
#6
Отправлено 14 Май 2008 - 00:19
dll-ки - это я их так сгруппировал (по расширению) ;-))
Вячеслав
#7
Отправлено 14 Май 2008 - 00:19
Расскажешь? ;)Разберёмся.
---
С уважением,
Borka.
#8
Отправлено 14 Май 2008 - 00:20
#9
Отправлено 14 Май 2008 - 00:26
Спасибо. :)Только тебе, и то - по секрету. ;)
Тогда туда же: #447138(06/05/08). Тикет обработан, но есть вопрос. Там дивный файл
F:file[1].#xe - упакований MEW - упакований PESTUB - упакований DOTFIX - упакований DOTFIX
Сканер говорит, что еще чем-то потоптан (между mew и pestub). Этот файл не детектится. Не верю, что не вирус. :)
---
С уважением,
Borka.
#10
Отправлено 14 Май 2008 - 00:29
#11
Отправлено 14 Май 2008 - 00:30
Ну, тогда сэнкс ин адванс! :)Гляну, нет проблем :)
---
С уважением,
Borka.
#12
Отправлено 15 Май 2008 - 00:40
Этот "ntos.exe", который тут фигурировал оказался утилей для подсчёта md5-хешей файлов.
#13
Отправлено 15 Май 2008 - 01:11
Но ведь троян то ведь реально был (привожу начало и конец лога SDFIX - серединку я убрал, чтобы место не занимала) и действительно не обнаруживался Вебом (автоматически обновляется ежесуточно)
_______________________________________________________________
SDFix: Version 1.171
Run by Администратор on 12.05.2008 at 15:28
Microsoft Windows XP [Версия 5.1.2600]
Running From: C:SDFix
Checking Services :
Name:
Microsoft Inet Service
Path :
C:WINDOWSsystem32_svchost.exe -A
Microsoft Inet Service - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:WINDOWSsystem32unsvchosts.lzma - Deleted
C:WINDOWSsystem32ntos.exe - Deleted
C:WINDOWSsystem32wsnpoemaudio.dll - Deleted
C:WINDOWSsystem32wsnpoemaudio.dll.cla - Deleted
C:WINDOWSsystem32wsnpoemvideo.dll - Deleted
Folder C:Program FilesTemporary - Removed
Folder C:WINDOWSsystem32wsnpoem - Removed
Removing Temp Files
................................................................................
.....
................................................................................
.....
File Backups: - C:SDFixbackupsbackups.zip
_______________________________________________________________
Вот и непонятно, как такое могло случиться?
Вячеслав
#14
Отправлено 15 Май 2008 - 11:19
Угу, спасибо. :)Борис, если ты перепроверял сегодня тот файл, то, наверное, всё понял ;)
---
С уважением,
Borka.
#15
Отправлено 20 Май 2008 - 20:41
Вот сегодня выловил (пока не лечил, а то вдруг опять смимикрирует%-())
http://www.virustotal.com/ru/analisis/4bc3...3e09bd36a1713b5
http://www.virustotal.com/ru/analisis/116b...ba0133820624a6b
Вячеслав
#16
Отправлено 20 Май 2008 - 23:25
Проверка от 17.05.2008
http://www.virustotal.com/ru/analisis/668f...f0192e6afa33cb7
А это тот же, но уже от 20.05.2008
http://www.virustotal.com/ru/analisis/644a...9cfc492654aae9c
Действует замечательно - роняет XP напрочь... - пришлось реестр на другой станции ручками....
И что теперь, каждого зверя сначала вручную обнаруживать?
Доктор - увы... до сих пор...
Вячеслав
#17
Отправлено 21 Май 2008 - 01:53
С этого место поподробнее, пожалуйста, - кто роняет, как роняет?..Действует замечательно - роняет XP напрочь...
---
С уважением,
Borka.
#18
Отправлено 21 Май 2008 - 02:33
В один, далеко не прекрасный, день Windows XP SP2 вдруг вываливается с ошибкой при загрузке
STOP: c0000135 {} (далее крякозябрики) baserlici32.dll (опять крякозябрики) (сообщение приведено практически дословно - в фигурных скобках действительно ничего нет)
Загрузка в Сейфмод - такая же ошибка, восстановление последней работоспособной конфигурации - эффект тот же... (все, приехали...)
Оказалось в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems вместо "Windows ServerDll=basesrv,1" прописано "Windows ServerDll=baserlici32,1" (реестр пришлось править на другой машине, естественно).
Сам файлик никем не детектировался.... (СПАСИБО конференции на imho.ws - иначе сейчас бы не улыбался....)
Вячеслав
#19
Отправлено 21 Май 2008 - 11:38
А кто ж его тогда убил? ;)Сам файлик никем не детектировался....
---
С уважением,
Borka.
#20
Отправлено 21 Май 2008 - 14:49
Вячеслав
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых