Размещено 16.06.2011 10:12:26
Обнаружил внедрение в систему. В папке автозагрузка появился файл 3zfvv3w3xfi.exe атрибуты системный скрытый. Антивирус молчал, как партизан. Более того, отправленный файл на анализ, ни один On-line сканер никак не детектировал. При старте системы файл запускался и шифровался под процесс SVCHOST, запущенный от Explorer.
Собственно проблема-то оказалась на в этом. Проблема оказалась в другом. При старте запустился не только этот один товарищ, но и второй, который обозначился как tk8jw213op.exe
Файл из автозагрузки был удалён, просмотрел реестр, вроде всё чисто. Однако. При старте системы запускался второй друг и создавал процесс SVCHOST. Поиски второго экзешника ни к чему не привели. Система каким-то макаром его находила также в папке автозагрузка. Но там было чисто чисто. Поиск по реестру, по компу ничего не давал. При старте системы я наблюдал запуск tk8jw213op.exe которые зачем-то запускал explorer.exe а затем всё это переходило в SVCHOST
Избавиться от этой петрушки было сложно. Короче после двух часов мучений, сделал откат по системе на 14.06 проблема решилась. Нагрузку этот процесс на память и процессор не создавал, правда когда он был в системе, при старте Apache, процесс httpd.exe начинал загружать машину на 60-80%. А уж отлаживать сайты было невозможно. Скрипты обрабатывались еле еле. После отката всё стало ок.
И еще, внедрение произошло тогда, когда я по ошибке с запущенным MySQL сервером, Apache, PostgrSQL вылез в сеть за какой-то надобностью.
Отправил файл на анализ в Esset и получил ответ:
Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо
Ваше обращение № 454 921 закрыто.
Чтобы продолжить решение данной проблемы, обратитесь в техническую поддержку. При обращении в техническую поддержку необходимо будет указать номер Вашего обращения, указанный в начале данного письма.
Почесал репу и отправил сегодня файл в лабораторию DrWeb. Через час пришёл ответ:
>Угроза: Trojan.DownLoader3.32132
>Спасибо за сотрудничество.
Задал вопрос тех.поддержке Esset вот жду ответа.
Собственно проблема-то оказалась на в этом. Проблема оказалась в другом. При старте запустился не только этот один товарищ, но и второй, который обозначился как tk8jw213op.exe
Файл из автозагрузки был удалён, просмотрел реестр, вроде всё чисто. Однако. При старте системы запускался второй друг и создавал процесс SVCHOST. Поиски второго экзешника ни к чему не привели. Система каким-то макаром его находила также в папке автозагрузка. Но там было чисто чисто. Поиск по реестру, по компу ничего не давал. При старте системы я наблюдал запуск tk8jw213op.exe которые зачем-то запускал explorer.exe а затем всё это переходило в SVCHOST
Избавиться от этой петрушки было сложно. Короче после двух часов мучений, сделал откат по системе на 14.06 проблема решилась. Нагрузку этот процесс на память и процессор не создавал, правда когда он был в системе, при старте Apache, процесс httpd.exe начинал загружать машину на 60-80%. А уж отлаживать сайты было невозможно. Скрипты обрабатывались еле еле. После отката всё стало ок.
И еще, внедрение произошло тогда, когда я по ошибке с запущенным MySQL сервером, Apache, PostgrSQL вылез в сеть за какой-то надобностью.
Отправил файл на анализ в Esset и получил ответ:
Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо
Ваше обращение № 454 921 закрыто.
Чтобы продолжить решение данной проблемы, обратитесь в техническую поддержку. При обращении в техническую поддержку необходимо будет указать номер Вашего обращения, указанный в начале данного письма.
Почесал репу и отправил сегодня файл в лабораторию DrWeb. Через час пришёл ответ:
>Угроза: Trojan.DownLoader3.32132
>Спасибо за сотрудничество.
Задал вопрос тех.поддержке Esset вот жду ответа.
Изменено: itmymind - 16.06.2011 10:13:43
