УСИЛЕННЫЙ РЕЖИМ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:23:24

3. в трее висит процесс

Цитата
Полное имя C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE Имя файла SVCHOST.EXE Тек. статус АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 1172992 байт Создан 20.06.2011 в 20:43:20 Изменен 20.06.2011 в 20:32:54 Атрибуты СКРЫТЫЙ Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка pid = 728 WINXPSP3\Admin CmdLine "C:\WINDOWS\update.tray-3-0\svchost.exe" Процесс создан 16:41:34 [2011.06.25] С момента создания 00:50:25 parentid = 392 C:\WINDOWS\EXPLORER.EXE SHA1 88E325DCA277FFF1F37A8E59BE01CE61908DEF6C MD5 D2A3874D904978ED4FFAC21CF671BC10 Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0 tray_ico0 C:\WINDOWS\update.tray-3-0\svchost.exe

Цитата

Полное имя C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 1172992 байт
Создан 20.06.2011 в 20:43:20
Изменен 20.06.2011 в 20:32:54
Атрибуты СКРЫТЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
pid = 728 WINXPSP3\Admin
CmdLine "C:\WINDOWS\update.tray-3-0\svchost.exe"
Процесс создан 16:41:34 [2011.06.25]
С момента создания 00:50:25
parentid = 392 C:\WINDOWS\EXPLORER.EXE
SHA1 88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5 D2A3874D904978ED4FFAC21CF671BC10

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0
tray_ico0 C:\WINDOWS\update.tray-3-0\svchost.exe

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:24:49

4. запущена служба, с сетевой активностью

Цитата
Полное имя C:\WINDOWS\SYSDRIVER32.EXE Имя файла SYSDRIVER32.EXE Тек. статус АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Размер 224768 байт Создан 22.06.2011 в 11:05:08 Изменен 22.06.2011 в 11:04:58 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка pid = 504 NT AUTHORITY\SYSTEM CmdLine C:\WINDOWS\sysdriver32.exe srv Процесс создан 16:41:36 [2011.06.25] С момента создания 00:50:23 parentid = 1164 SYN_SENT 109.201.247.245:4661 <-> 93.79.51.252:8080 SYN_SENT 109.201.247.245:4683 <-> 46.55.20.111:8080 SYN_SENT 109.201.247.245:4649 <-> 178.74.212.121:8080 SYN_SENT 109.201.247.245:4648 <-> 94.137.222.234:8080 SYN_SENT 109.201.247.245:4640 <-> 77.122.72.181:8080 SYN_SENT 109.201.247.245:4653 <-> 93.78.89.40:8080 SYN_SENT 109.201.247.245:4668 <-> 94.51.126.154:8080 SYN_SENT 109.201.247.245:4667 <-> 90.130.135.127:8080 SYN_SENT 109.201.247.245:4639 <-> 178.74.202.226:8080 SYN_SENT 109.201.247.245:4660 <-> 188.232.142.238:8080 LISTEN 0.0.0.0:8081 SHA1 EAB4B10A8B8F925844E26EAE472FCC48037EE8AD MD5 D1D4BBC13272C5BAD74AD0A42BCACA88 Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver32.exe sysdriver32.exe "C:\WINDOWS\sysdriver32.exe" rezerv Ссылка HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImagePath ImagePath C:\WINDOWS\sysdriver32.exe srv srvsysdriver32 тип запуска: Авто (2) Образы EXE и DLL SYSDRIVER32.EXE C:\WINDOWS

Цитата

Полное имя C:\WINDOWS\SYSDRIVER32.EXE
Имя файла SYSDRIVER32.EXE
Тек. статус АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер 224768 байт
Создан 22.06.2011 в 11:05:08
Изменен 22.06.2011 в 11:04:58
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
pid = 504 NT AUTHORITY\SYSTEM
CmdLine C:\WINDOWS\sysdriver32.exe srv
Процесс создан 16:41:36 [2011.06.25]
С момента создания 00:50:23
parentid = 1164
SYN_SENT 109.201.247.245:4661 <-> 93.79.51.252:8080
SYN_SENT 109.201.247.245:4683 <-> 46.55.20.111:8080
SYN_SENT 109.201.247.245:4649 <-> 178.74.212.121:8080
SYN_SENT 109.201.247.245:4648 <-> 94.137.222.234:8080
SYN_SENT 109.201.247.245:4640 <-> 77.122.72.181:8080
SYN_SENT 109.201.247.245:4653 <-> 93.78.89.40:8080
SYN_SENT 109.201.247.245:4668 <-> 94.51.126.154:8080
SYN_SENT 109.201.247.245:4667 <-> 90.130.135.127:8080
SYN_SENT 109.201.247.245:4639 <-> 178.74.202.226:8080
SYN_SENT 109.201.247.245:4660 <-> 188.232.142.238:8080
LISTEN 0.0.0.0:8081
SHA1 EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5 D1D4BBC13272C5BAD74AD0A42BCACA88

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver32.exe
sysdriver32.exe "C:\WINDOWS\sysdriver32.exe" rezerv

Ссылка HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImagePath
ImagePath C:\WINDOWS\sysdriver32.exe srv
srvsysdriver32 тип запуска: Авто (2)

Образы EXE и DLL
SYSDRIVER32.EXE C:\WINDOWS

Изменено: santy - 26.06.2011 14:25:27

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.06.2011 14:26:49

Цитата
santy пишет: Видел сообщения по КИС 2011, Comodo....

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg

Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ? :cry:

Прикрепленные файлы

Nod НЕ NOD.jpg (24.96 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:26:53

Цитата
5. процесс в автозапуске Полное имя C:\WINDOWS\SYSDRIVER32_.EXE Имя файла SYSDRIVER32_.EXE Тек. статус ВИРУС в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 224768 байт Создан 22.06.2011 в 11:05:22 Изменен 22.06.2011 в 11:04:58 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 EAB4B10A8B8F925844E26EAE472FCC48037EE8AD MD5 D1D4BBC13272C5BAD74AD0A42BCACA88 Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver32_.exe sysdriver32_.exe "C:\WINDOWS\sysdriver32_.exe" rezerv

Цитата

5. процесс в автозапуске

Полное имя C:\WINDOWS\SYSDRIVER32_.EXE
Имя файла SYSDRIVER32_.EXE
Тек. статус ВИРУС в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 224768 байт
Создан 22.06.2011 в 11:05:22
Изменен 22.06.2011 в 11:04:58
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5 D1D4BBC13272C5BAD74AD0A42BCACA88

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver32_.exe
sysdriver32_.exe "C:\WINDOWS\sysdriver32_.exe" rezerv

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:29:32

Цитата
RP55 RP55 пишет: Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg Под каждый Антивирус использует свой шаблон ? Какой алгоритм работы? Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?

картинки не видел, но скорее всего да, под каждый антивир - выдает свои картинки.
некоторое время назад, было сообщение от ДрВеб - там вирусняк прибивал антивиры, и выдавал сообщение в трее по текущему, удаленному антивиру, но было это в безопасном режиме.

Остальные вопросы - к нашему центру аналитики и вирусных исследований.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:31:45

удивляет следующий факт: uVS вычищает его моментально, точно так же как вирусняк зачищает текущий антивирус.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:34:12

Цитата
RP55 RP55 пишет: Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?

если есть инсталлятор, скиньте в лично - проверим, как он адаптируется к разным антивирусам.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.06.2011 14:37:34

Цитата
santy пишет: Некоторое время назад, было сообщение от ДрВеб

По моему первое такое сообщение у них было в конце 2009 года.
Вирус загружался.
Перезагружал PC в безопасный режим.
Удалял Антивирус.
После чего выдавал сообщения, что всё нормально, всё в порядке.
И вроде бы даже вирусы отлавливал.

*Вот интересно это от одних разработчиков или от разных ?
** Надо думать, что официального заявления от ESET по этому поводу не будет ?
DrWeb вот написал...

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 26.06.2011 14:37:57

Automatic mode
Edit rule -> target registry -> Operations 3 нижние.
HKEY_LOCAL_MACHINE\BCD00000000\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*

Action-> Ask/Block
Виря в безопасном режиме удаляет.

Проверял на первой бете и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.

Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.

Изменено: EVE N - 26.06.2011 14:47:59

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.06.2011 14:39:06

Цитата
santy пишет: Если есть инсталлятор...

Чего нет - того нет. :cry:

Ответы