35 ответов в этой теме

[Savva]

Поймал пресловутого зверя. Все как положено - прописался в Winlogon, машина тормозить начала, затем пропал брандмауэр, перестали запускаться exe-шники. Ни DrWeb, ни Касперский ничего не находили - излечил с помощью SDFix. При этом последний создал архив, в который положил собственно сам Ntos.exe и сопутствующие dll-ки (audio и video). Проверил сей архив онлайн - чисто, отправил для проверки разработчикам - тот же результат (Ваш запрос был проанализирован. Это был не вирус).
От чего же тогда я излечился??????
Вячеслав

[Borka]

Ваш запрос был проанализирован. Это был не вирус

А в посылке точно был ntos.exe? Если мне не изменяет склероз, audio.dll и video.dll ни разу не библиотеки...

---
С уважением,
Borka.

[Savva]

Вот содержимое FileList.txt из посланного архива:

C:WINDOWSsystem32unsvchosts.lzma
C:WINDOWSsystem32ntos.exe
C:WINDOWSsystem32wsnpoemaudio.dll
C:WINDOWSsystem32wsnpoemaudio.dll.cla
C:WINDOWSsystem32wsnpoemvideo.dll

Соответственно все эти файлы в архиве присутствуют...

А про библиотеки я и не говорил ;-)))
Вячеслав

[Borka]

Вот содержимое FileList.txt из посланного архива:

Странно... На всякий случай - номер тикета. Вирусные аналитики здесь бывают редко, но все же...

А про библиотеки я и не говорил ;-)))

Хм... Значит, обман зрения:

и сопутствующие dll-ки (audio и video)

:)

---
С уважением,
Borka.

[mk500]

Если номер тикета не помните, сделайте запрос в поддержку: http://support.drweb.com/request и крепите архив туда. Разберёмся.

[Savva]

Вот - [drweb.com #452174].

dll-ки - это я их так сгруппировал (по расширению) ;-))
Вячеслав

[Borka]

Разберёмся.

Расскажешь? ;)

---
С уважением,
Borka.

[mk500]

Только тебе, и то - по секрету. ;)

[Borka]

Только тебе, и то - по секрету. ;)

Спасибо. :)
Тогда туда же: #447138(06/05/08). Тикет обработан, но есть вопрос. Там дивный файл
F:file[1].#xe - упакований MEW - упакований PESTUB - упакований DOTFIX - упакований DOTFIX
Сканер говорит, что еще чем-то потоптан (между mew и pestub). Этот файл не детектится. Не верю, что не вирус. :)


---
С уважением,
Borka.

[mk500]

Гляну, нет проблем :)

[Borka]

Гляну, нет проблем :)

Ну, тогда сэнкс ин адванс! :)
---
С уважением,
Borka.

[mk500]

Борис, если ты перепроверял сегодня тот файл, то, наверное, всё понял ;)

Этот "ntos.exe", который тут фигурировал оказался утилей для подсчёта md5-хешей файлов.

[Savva]

Да я и сам это увидел (хоть и не Борис ;-)))
Но ведь троян то ведь реально был (привожу начало и конец лога SDFIX - серединку я убрал, чтобы место не занимала) и действительно не обнаруживался Вебом (автоматически обновляется ежесуточно)
_______________________________________________________________
SDFix: Version 1.171
Run by Администратор on 12.05.2008 at 15:28

Microsoft Windows XP [Версия 5.1.2600]
Running From: C:SDFix

Checking Services :

Name:
Microsoft Inet Service

Path :
C:WINDOWSsystem32_svchost.exe -A

Microsoft Inet Service - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:WINDOWSsystem32unsvchosts.lzma - Deleted
C:WINDOWSsystem32ntos.exe - Deleted
C:WINDOWSsystem32wsnpoemaudio.dll - Deleted
C:WINDOWSsystem32wsnpoemaudio.dll.cla - Deleted
C:WINDOWSsystem32wsnpoemvideo.dll - Deleted



Folder C:Program FilesTemporary - Removed
Folder C:WINDOWSsystem32wsnpoem - Removed


Removing Temp Files
................................................................................
.....
................................................................................
.....

File Backups: - C:SDFixbackupsbackups.zip
_______________________________________________________________

Вот и непонятно, как такое могло случиться?

Вячеслав

[Borka]

Борис, если ты перепроверял сегодня тот файл, то, наверное, всё понял ;)

Угу, спасибо. :)

---
С уважением,
Borka.

[Savva]

Хорошо смеется тот ...

Вот сегодня выловил (пока не лечил, а то вдруг опять смимикрирует%-())

http://www.virustotal.com/ru/analisis/4bc3...3e09bd36a1713b5
http://www.virustotal.com/ru/analisis/116b...ba0133820624a6b


Вячеслав

[Savva]

Кстати Вот еще повод для ухмылок:

Проверка от 17.05.2008
http://www.virustotal.com/ru/analisis/668f...f0192e6afa33cb7

А это тот же, но уже от 20.05.2008
http://www.virustotal.com/ru/analisis/644a...9cfc492654aae9c

Действует замечательно - роняет XP напрочь... - пришлось реестр на другой станции ручками....

И что теперь, каждого зверя сначала вручную обнаруживать?

Доктор - увы... до сих пор...


Вячеслав

[Borka]

Действует замечательно - роняет XP напрочь...

С этого место поподробнее, пожалуйста, - кто роняет, как роняет?..

---
С уважением,
Borka.

[Savva]

Пожалуйста ;-)))

В один, далеко не прекрасный, день Windows XP SP2 вдруг вываливается с ошибкой при загрузке

STOP: c0000135 {} (далее крякозябрики) baserlici32.dll (опять крякозябрики) (сообщение приведено практически дословно - в фигурных скобках действительно ничего нет)

Загрузка в Сейфмод - такая же ошибка, восстановление последней работоспособной конфигурации - эффект тот же... (все, приехали...)

Оказалось в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems вместо "Windows ServerDll=basesrv,1" прописано "Windows ServerDll=baserlici32,1" (реестр пришлось править на другой машине, естественно).

Сам файлик никем не детектировался.... (СПАСИБО конференции на imho.ws - иначе сейчас бы не улыбался....)

Вячеслав

[Borka]

Сам файлик никем не детектировался....

А кто ж его тогда убил? ;)

---
С уважением,
Borka.

[Savva]

Я!!! ;-))
Вячеслав