29 ответов в этой теме

[pig]

Если и там не получится - ..."

А это как?

"Даже если вероятность события равна нулю, это ещё не значит, что оно не может произойти." © Георгий Карпезович Дондуа, преподаватель высшей математики, Ленинградский Политех
"Лучше вот во что поверь: всё подвергать сомнению, ничего не принимать за абсолютую истину, никакой путь не считать безусловно верным." © Барри Лонгиер, "Грядущий завет"

[pig]

Зверя поймали. http://freedrweb.com/ - скачайте, проверьтесь.
Если не поможет - http://support.drweb.com/request/

[talka3]

Вобщем добрался сегодня до того компа, прошерстил его, Rootkit Unhooker'ом в том числе, и нашел гада :-)
ДрВебом на данный момент (обновлял утром 28.08.2008, CureIt тоже) этот руткит так и не детектится, так что получается еще один вариант...

Вирус был в файликах с такими именами (все они одинаковым размером 8608 байт):

dtscsi.sys
InCDPass.sys
InCDRm.sys
sptd.sys

Собсно такие названия меня с толку и сбили - практически как у нормальных прог :-) Сегодня только обратил внимание, что все эти файлики _одинакового размера_ и даты создания.

--------------------
На сайте www.virustotal.com его так опознают:

Файл dtscsi.sys получен 2008.08.28 13:33:00 (CET)
Результат: 19/36 (52.78%)

Антивирус Версия Обновление Результат
AhnLab-V3 2008.8.27.1 2008.08.28 -
AntiVir 7.8.1.23 2008.08.28 TR/Rootkit.Gen
Authentium 5.1.0.4 2008.08.28 W32/Goldun.gen3
Avast 4.8.1195.0 2008.08.27 Win32:Agent-ZFQ
AVG 8.0.0.161 2008.08.28 PSW.Generic6.TWQ
BitDefender 7.2 2008.08.28 Trojan.Spy.Goldun.NDA
CAT-QuickHeal 9.50 2008.08.26 TrojanSpy.Goldun.aoa
ClamAV 0.93.1 2008.08.28 Trojan.Goldun-250
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 -
eTrust-Vet 31.6.6054 2008.08.28 Win32/ProcHide!generic
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 W32/Goldun.gen3
F-Secure 7.60.13501.0 2008.08.28 Trojan-Spy.Win32.Goldun.aoa
Fortinet 3.14.0.0 2008.08.28 Spy/Goldun
GData 19 2008.08.28 Trojan-Spy.Win32.Goldun.aoa
Ikarus T3.1.1.34.0 2008.08.28 Backdoor.Win32.Agent.fpj
K7AntiVirus 7.10.428 2008.08.25 Trojan-Spy.Win32.Goldun.aoa
Kaspersky 7.0.0.125 2008.08.28 Trojan-Spy.Win32.Goldun.aoa
McAfee 5371 2008.08.27 Generic PWS.y
Microsoft 1.3807 2008.08.25 Backdoor:Win32/Haxdoor
NOD32v2 3395 2008.08.28 -
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.28 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
VBA32 3.12.8.4 2008.08.28 Trojan-Spy.Win32.Goldun.aoa
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.28 Trojan.Rootkit.Gen

Дополнительная информация
File size: 8608 bytes
MD5...: c1c89dbb6215840ef9b5a442ce50a7d9
SHA1..: 139e9a0988e92f2bc1228cd412f883aa33b9abc4
SHA256: 9faa1c0422c15f02575fa2e49e2de95dbc6907c6e906ced03ed78250e86d952b
SHA512: 9ebd0cec59c5d4cc426890a68e1b3ce82abb741900a44ce76aa617d54cc29189
61f8da4eb06a8ff26093d37b5a6774e04c867eaf4240bf28b453951b9182ac6f
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.8%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10223
timedatestamp.....: 0x4878f954 (Sat Jul 12 18:35:00 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x200 0xb0e 0xb10 6.15 1232c9630f7dec9aca8438b8093e8621
.rdata 0xd10 0x14c 0x150 3.64 80c67d7a32eec37424c46c53e2712947
.data 0xe60 0xe2c 0xe30 4.88 79b68a7e17069d3e4638a1f16faba049
INIT 0x1c90 0x252 0x260 4.88 43328429e511e18c64bf2495fce2daff
.reloc 0x1ef0 0x2a6 0x2b0 6.39 6626e5e498192d9699898c0158139077

( 2 imports )
> NDIS.SYS: NdisGetCurrentSystemTime, NdisRegisterProtocol
> ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, KeServiceDescriptorTable, MmIsAddressValid, IoGetCurrentProcess, PsLookupProcessByProcessId, ObDereferenceObject, IoGetDeviceObjectPointer, IoBuildDeviceIoControlRequest, PsGetCurrentProcessId, IoCreateFile, IofCallDriver, ZwAllocateVirtualMemory, RtlCompareUnicodeString

( 0 exports )

[v.martyanov]

А вы потрудились эти файлы прислать в вирлаб?

[talka3]

Слюшай дарагой, абижаешь, да? :-)

И в вирлаб, и человеку, с которым в техподдержке общаюсь.

[v.martyanov]

Ну теперь ждать надо, да?! :-)

[Borka]

Ну теперь ждать надо, да?! :-)

Это намек на "Тикет, брат!? Тикет!?" :P

---
С уважением,
Borka.

[pig]

Вирус был в файликах с такими именами (все они одинаковым размером 8608 байт):

dtscsi.sys
InCDPass.sys
InCDRm.sys
sptd.sys

Ни фига себе. Зверьё начинает косить под Нерона и Демона?

[Borka]

Зверьё начинает косить под Нерона и Демона?

Интересно, а если Нюра и Демонские Тулзы действительно установлены - перезапишет?
---
С уважением,
Borka.

[talka3]

Дааа, вот бы всегда ТАКУЮ оперативность... 8-)
Сейчас обновление запустил - Веб уже ловит.

--------------------

От кого: "Roman Vasilenko - Virus Monitoring Service Doctor Web Ltd."
Дата: 28 Авг 2008 16:54:07
Тема: [drweb.com #551569] Обработано: New suspicious file submitted VIRUS

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.PWS.GoldSpy.2240.

Спасибо за сотрудничество.

--------------

To Borka:
Не знаю насчет перезаписи, но по идее тот-же sptd.sys во время работы заблокирован, даже на просмотр не открыть. Наверно для того вирусописатель и сделал разные варианты названия - с надеждой что хоть что-то да сработает...