sys.exe - это что? [LOG+]

[Samur]

Человек принёс ноутбук говорит что всё стало зависать после копирования к нему на ноут инструкции. Касперский на ноуте всё нормально показывает. но в карантине файлик "sys.exe". Человек до своего ноута не допускает всё что удалось это запустить GetSystemInfo :

http://www.getsysteminfo.com/read.php?file...e607a39ccd9e477

Можно что-то по этой информации сказать ?

[Falcon]

Там куча экзешников в папке Темп, логи нужны.

[Samur]

Несколько позже запустил утилитку GetSystemInfo ещё раз ситуация чуть изменилась :

http://www.getsysteminfo.com/read.php?file...553931167b9f951

 

Сообщение от модератора Falcon

virusinfo_cure цеплять не нужно!

virusinfo_syscheck.zip

[Falcon]

Выпоолните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\storage\sys.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8079397969-2572720812-470385687-0761\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8079397969-2572720812-470385687-0761\sysdate.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\storage\sys.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Делайте новые логи (3 лога прикрепить - SYScheck, SYScure, лог от HjT)

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Samur]

При экспресс проверке GMER комп посему-то завис.

Лог HjT постараюсь завтра выложить.

 

Сообщение от модератора Falcon

убрал карантин

virusinfo_syscheck.zip

[Falcon]

Samur, использовали гмер в архиве или со случайным именем?

[Samur]

Со случайным именем.

[Samur]

После применения Gmer появился "Синий экран" и комп перезагрузился.

Сделал логи HijackThis

GMER.rar

синий_экран.rar

hijackthis.rar

[Samur]

Что мне предпринять по данному вопросу ?

[thyrex]

Попробуйте сделать лог gmer в безопасном режиме

Изменено 10 августа, 2009 пользователем thyrex

[Samur]

Логи в безопасном режиме сегодня попробую сделать.

P.S. Этот чел ещё и x-connect поймал. Что это за зверь и как с ним бороться ? На ноуте KIS 8 установлен и базы постоянно обновляются - почему он этот x-connect пропустил( это ведь не совсем новый вирус) ?

P.P.S. Проверил флешку на ней sys.exe, но если это вирус то почему KIS говорит что всё нормально ?

Изменено 12 августа, 2009 пользователем Samur

[Falcon]

Samur, отошлите его в архиве на newvirus@kaspersky.com, пусть глянут.

[Samur]

Сделал лог gmer в безопасном режиме.

Во вложении "autorun" текстовый файл который появляется на флешках (в нём прописан запуск sys.exe но указанная там папка всегда пустая) - может этого вируса уже нет и это только то что от него остаётся ?

gmer.rar

autorun.rar

[thyrex]

Показ скрытых и системных файлов включен?

 

Проверьте в реестре ключи (указаны верные значения)

 

Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
"SuperHidden"=dword:00000001

 

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[Samur]

Показ скрытых и системных файлов был включен. Отключил. В реестре всё совпало с теми значениями что выложены вами, за исключением :

"HideFileExt"=dword:00000000

"ShowSuperHidden"=dword:00000001

у меня было :

"HideFileExt"=dword:00000001

"ShowSuperHidden"=dword:00000000