31 ответов в этой теме

[Андрей Саныч]

Здравствуйте.

У меня в папке Documents and Settings создан файл csrss.exe

CureIT и KiS8 не определяют его как вирус.
В реестре много путей заменено с windows\system32\csrss.exe на этот, причём в некоторых разделах (например Winlogon) не даёт менять путь на правильный (после изменения автоматически выставляется C:\\documents and settings\Андрей\csrss.exe)

При подключение к интернету пытается скачать файл ZRNo и закинуть его на флешку(эти действия Кис блокирует).
Создаёт на флешке скрытую системную папку POGRESHILI и файл autorun.inf, который стирается только в безопсаном режиме. Просматривал все процессы codestuff starterom, ни один процесс не ссылается на C:\\documents and settings\Андрей\csrss.exe. Тем не менее удалить этот файл нельзя, ругается, что он занят другим процессом (даже в безопасном режиме). CureIt, Hijack и RKU вроде бы ничего не находят (логи приложил)

Заранее спасибо за помощь

Прикрепленные файлы:

•  hijackthisLOG.rar   3,93К   19 Скачано раз
•  RKUreport.rar   4,94К   33 Скачано раз
•  cureit_results.cab   171,23К   24 Скачано раз

Сообщение было изменено Андрей Саныч: 14 Март 2010 - 14:51
Удален зловред! ЗАМЕЧАНИЕ!!!

[PAUK]

Андрей Саныч ЗАПРЕЩЕНО выкладывать заразу на форуме!!! Читайте правила. Подозрительные файлы нужно отправлять по форме - поднимите глаза выше - "прислать вирус" ТУТ.
ДА, есть что-то
PS
Уже отправлен.

[SergM]

Уже отправлен.

Как тикет придёт, его номер сюда желательно.

[mrbelyash]

C:\Documents and Settings\Андрей\Desktop\autojoin.exe-в вирлаб

C:\Documents and Settings\Андрей\Local Settings\Temp\377.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\612.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\747.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\968.exe - в вирлаб

[Андрей Саныч]

Андрей Саныч ЗАПРЕЩЕНО выкладывать заразу на форуме!!! Читайте правила. Подозрительные файлы нужно отправлять по форме - поднимите глаза выше - "прислать вирус" ТУТ.

Извините, не разобрался.

ДА, есть что-то

Следует ли из этого, что Симантековский антивирус вылечит эту гадость?

PS
Уже отправлен.

По линку "прислать вирус"?
Спасибо

[Андрей Саныч]

C:\Documents and Settings\Андрей\Desktop\autojoin.exe-в вирлаб

C:\Documents and Settings\Андрей\Local Settings\Temp\377.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\612.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\747.exe - в вирлаб
C:\Documents and Settings\Андрей\Local Settings\Temp\968.exe - в вирлаб

Autojoin - джойнер для гарены, им куча народа пользуется.

Экзешники запакую, отправлю и потру из временной папки.


P.S. Что-то компьютеру совсем плохо стало, только что сама собой создалась какая-то учётная запись, на мейл пришло письмо о восстановлении пароля в стиме, браузер сам собой закрылся. Агония (

[PAUK]

Уже отправлен.

Как тикет придёт, его номер сюда желательно.

[drweb.com #1218765]

[PAUK]

восстановлении пароля в стиме

А Вам не приходило на стим-пейджер предложние поделиться паролем, типа от VALVE? Сыну моему шлют http://forum.drweb.com/public/style_emoticons/default/smile.png
Срочно, если уже не поздно, с другого компа меняйте пароли на почту, стим и т.д. Аналитики разберутся -будет лечение.

Следует ли из этого, что Симантековский антивирус вылечит эту гадость?

Детект дроппера - не значит лечение...

[Андрей Саныч]

восстановлении пароля в стиме

А Вам не приходило на стим-пейджер предложние поделиться паролем, типа от VALVE? Сыну моему шлют http://forum.drweb.com/public/style_emoticons/default/smile.png
Срочно, если уже не поздно, с другого компа меняйте пароли на почту, стим и т.д. Аналитики разберутся -будет лечение.

Следует ли из этого, что Симантековский антивирус вылечит эту гадость?

Детект дроппера - не значит лечение...

Нет, такого не было )
Да, сейчас проверил, письмо на смену пароля ещё вчера пришло.
Возможно кто-то пытался сменить пароль на стим, но меня там, наверно, подстраховал контрольный вопрос. Тёмное дело какое-то.
Но мне почему-то кажется, что это не связано с вирусом, его я получил предположительно в среду.

Хм, я всё это время верил во "всемогущество" Капсерского. И тут такая подстава -.-

Спасибо, буду ждать.

[PAUK]

Фиксить в HJ:
O23 - Service: E9A29CA5 - Unknown owner - C:\WINDOWS\system32\E9A29CA5.exe (file missing)
И проверить на вирус-тотале C:\WINDOWS\system32\25AF1A2F.exe хотя, это может быть от DT...

[Андрей Саныч]

Фиксить в HJ:
O23 - Service: E9A29CA5 - Unknown owner - C:\WINDOWS\system32\E9A29CA5.exe (file missing)
И проверить на вирус-тотале C:\WINDOWS\system32\25AF1A2F.exe хотя, это может быть от DT...

Забавно, как раз в эту минуту увидел E9A29CA5.exe в codestuff starter, заинтересовался и нашёл 25AF1A2F.exe

E9A29CA5.exe нет в папке, но codestuff его видит в службах

[Андрей Саныч]

25AF1A2F.exe
http://www.virustotal.com/ru/analisis/61c4...8819-1268436333

Можно 100% удалять?

Отправлю копию в вир-лаб

[PAUK]

25AF1A2F.exe
http://www.virustotal.com/ru/analisis/61c4...8819-1268436333

Можно 100% удалять?

Отправлю копию в вир-лаб

После отправки -да http://forum.drweb.com/public/style_emoticons/default/wink.png Кстати, - посмотрите

[Андрей Саныч]

25AF1A2F.exe
http://www.virustotal.com/ru/analisis/61c4...8819-1268436333

Можно 100% удалять?

Отправлю копию в вир-лаб

После отправки -да http://forum.drweb.com/public/style_emoticons/default/wink.png Кстати, - посмотрите

Этой утилиткой можно убить csrss?

Сейчас попробую

[PAUK]

Этой утилиткой можно убить csrss?

http://forum.drweb.com/public/style_emoticons/default/smile.png сказал - посмотрите Не факт, НО...

[Андрей Саныч]

После отправки -да http://forum.drweb.com/public/style_emoticons/default/wink.png Кстати, - посмотрите

Проверил. Он нашёл spdt Даемоновский и какой-то Fidbox.dat, который даже скопировать не удаётся.

[PAUK]

Fidbox.dat

От каспера http://forum.drweb.com/public/style_emoticons/default/smile.png

Проверил.

А перезагружали после первого запуска? для установки драйвера утилиты?

[Андрей Саныч]

Fidbox.dat

От каспера http://forum.drweb.com/public/style_emoticons/default/smile.png

Понятно. Ну тогда там всё чисто

А перезагружали после первого запуска? для установки драйвера утилиты?

Да, конечно перезагружал, она сама предложила.

[PAUK]

Уже отправлен.

Как тикет придёт, его номер сюда желательно.

[drweb.com #1218765]

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.Угроза: Win32.HLLW.Lime.18
Oops! ~ 1.5 часа http://forum.drweb.com/public/style_emoticons/default/smile.png
Ждем обновления срочно

[PAUK]

Да, конечно перезагружал, она сама предложила.

А теперь желательно удалить тот драйвер - положить в папку с утилиткой и запустить файл из вложения...