ИНФА ПО СИСТЕМЕ
малютка dell d600, os winxp pro версия 5.1.2600 sp2, железо intel pentium m, 1,6 ghz, 1 gb, права admin, сетки нет, шнурок в интернет (все лиценз., покуп., обновол. и т.п.)
ИНФА ПО ЗАРАЗЕ
тroyan-psw.win32.agent.inf обнаружен в тревожных сообщениях прог: drweb v433 и kaspersky anti-virus personal v50
оба антивируса обещают уничтожить «букашку» после перезагрузки, но для дрвеба и касперского она бессмертна.
в протоколе avz v4.30 подтверждается, что:
протокол антивирусной утилиты avz версии 4.30
Сканирование запущено в 05.04.2009 …
Загружена база: сигнатуры - 217499, нейропрофили - 2, микропрограммы лечения - 56, база от 05.04.2009 21:08
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ипу: 9
Загружены цифровые подписи системных файлов: 106028
Режим эвристического анализатора: средний уровень эвристики
Режим лечения: выключено
Версия windows: 5.1.2600, service pack 2 ; avz работает с правами администратора
Восстановление системы: отключено…
…3. Сканирование дисков c:\windows\system32\video.sys >>> подозрение на trojan-psw.win32.agent.mcv ( 09856a7e 06f31a32 000ece44 002799e1 28416
там же найдена еще одна «блошка»:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (keylogger, троянские dll)
C:\windows\system32\vmmreg32.dll --> подозрение на keylogger или троянскую dll
C:\windows\system32\vmmreg32.dll>>> поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
очень сомневаюсь про «Типичное для кейлоггеров поведение»!
vmmreg32.dll очень похожа на «keylogger или троянскую dll» но криво сделанную - часто при наборе текста в word или outlook начинаются «глюки»: то «spase» работает как «enter», то вдруг пару-тройку клавиш «залипает» и они «сами» бьют «тодкамтод- кан- кан»!
troyan и keylogger каким-то образом связаны, их back up’ы храняться в c:\windows\system32\webmin\ (video.bkp и vmmreg32.bkp), и они оба восстанавливаются при перезагрузке каким-то процессом, который запускается значительно раньше антивиров или даже перехватчиков, типа «отладчика процесса "taskmgr.exe" = "c:\...\ \procexp.exe"» - процесс эксплоуер от фирмы sysinternals
И ЕЩЕ
1\ troyan-psw.win32.agent.inf применяет «>> маскировку драйвера: base=f7837000, размер=28672, имя = "\??\c:\windows\system32\video.sys"»,
2\ при уничтожении записи реестра: hkey_local_machine\system\currentcontrolset\services\video
[hkey_local_machine\system\currentcontrolset\services\video]
"type"=dword:00000001
"start"=dword:00000001
"errorcontrol"=dword:00000000
"imagepath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,\
00,5c,00,56,00,49,00,44,00,45,00,4f,00,2e,00,73,00,79,00,73,00,00,00
"displayname"="video"
"group"="filter"
[hkey_local_machine\system\currentcontrolset\services\video\security]
"security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[hkey_local_machine\system\currentcontrolset\services\video\enum]
"0"="root\\legacy_video\\0000"
"count"=dword:00000001
"nextinstance"=dword:00000001
"initstartfailed"=dword:00000001
ничего не меняется, т.к. запись восстанавливается.
3\ болтовня avz, что он справится после перезагрузки:
для удаления файла c:\windows\system32\video.sys необходима перезагрузка
>>>для удаления файла c:\windows\system32\vmmreg32.dll необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll
[микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll
не оправдывается, avzguard - не запускается при следующей загрузке т.к. все активные записи реестра run,
(например hkey_local_machine\software\microsoft\windows\currentversion\run)
с момента инфицирования компа заблокированы для исправлений.
ПРОБЛЕМЫ
по той же причине не «встают» новые проги!
«прыгает» курсор, на клаве «spase» работает как «enter»!!
плывет политика безопасности: не закрывается доступ для «анонимов», заблокированы некоторые системные службы: типа ms «защитного экрана» или системного монитора процессов!!!
тормозит интернет, хотя это не так важно, что какие-то «форточки» по портам открыты, красть нечего…
СОМНЕНИЯ
отправлять virusinfo_cure.zip от avz побаиваюсь. не знаю что там «насканировано» - закрыт паролем, а virusinfo_syscheck.htm, и virusinfo_syscure.htm больше, чем выше сообщено, не скажут
с начала года, за время «борьбы с вирусами», мне удалось многое узнать…на эту тему, разочек вручную восстанавливала систему после «экспериментов с реестром», и даже при окончательно «сдохшей» консоли восстановления
сносить, типа, по советам некоторых «советчиков», на других темах: «format c:\», и ничего такого,…не хочется
ЖАЛОБЫ И СТОНЫ
много пишу контрольных работ в школе, и печатала до этого без проблем, а тут какой – то дурацкий «вирусенок» шутит с клавиатурой
я завелась, его уничтожу, но силы не велики, поэтому:
прошу помощи грамотных ребят!
выброс касперского на помойку и интим с семантиком не предлагать
