Trojan-generic

[Евгений Малинин]

В школе было обнаружено поведение похожее на trojan-generic файлами: SCRCS.EXE и DWNABW.EXE. Их я отправил на newvirus<at>kaspersky.com. Жду ответа.

Логи прикладываю. Как придёт ответ - напишу.

На компьютере поражены:

1. Загрузка с флешки (скрытый файл)

2. Запрещено отображение скрытых файлов

3. В коммандной строке запрещены комманды dir и tree про остальные не знаю

4. Запустить коммандную строку получается только, если ввести command.com

 

Заранее спасибо!

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

Поищите при помощи АВЗ--сервис--поиск файлов на диске setuprs1.PIF и 2838.PIF - если найдутся отправьте в вирлаб и напишите нам.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\dwnabw.exe','');
QuarantineFile('K:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\lsass.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\lsass.exe');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\dwnabw.exe');
BC_ImportAll;
BC_DeleteSvc('kkdc');
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

 

Повторите логи

[Евгений Малинин]

Завтра выполню, когда приду в школу. Пришёл ответ из вирлаба по файлам SCRCS.EXE и DWNABW.EXE:

 

Hello. This file is already detected. Please update your bases.

 

Please quote all when answering. Do not forget to include you registration data.

-----------------

Regards, <Вирусный Аналитик>

Virus Analyst, Kaspersky Lab.

 

Ph.: +7(095) 797-8700

E-mail: newvirus@kaspersky.com

http://www.kaspersky.com http://www.viruslist.com

 

Завтра обновлю базы в школе, проверю...

Онлайн-сканер вот что говорит:

Проверенный файл: DWNABW.EXE

 

Статистика проверки:

Известных вирусов: 1324980 Дата последнего обновления: 20-10-2008

Размер файла (Kb): 412 Тел вирусов: 0

Файлов: 1 Предупреждений: 0

Архивов: 0 Подозрительных: 0

Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов?

Изменено 20 октября, 2008 пользователем Евгений Малинин

[ROME'D'ROS]

Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов?

Хм,интересно...

[Евгений Малинин]

Да, действительно... Я отправил им, чтобы они перепроверили архив и уточнили данные.

[Гриша]

До он-лайн сканера апдейт мог просто еще не доплыть, дятлы отвечают по факту наличия сигнатуры в базе антивируса, а не на сайте...

[Евгений Малинин]

Но сообщение от newvirus'а мне пришло ещё в 10:45 (GTM+4 (MSK))... Думаю, за 5 часов до онлайн-сканера обновление должно было дойти...

И в базах этой записи нет. Только что обновился, а файлы не определяются

Изменено 20 октября, 2008 пользователем Евгений Малинин

[ТроПа]

А на вирустотал не проверяли данные файлики?

[Гриша]

Плиз архив мне в PM и номер тикета аналитика...

[Евгений Малинин]

А на вирустотал не проверяли данные файлики?

Проверял. По всем антивирусам - пусто.

 

Плиз архив мне в PM и номер тикета аналитика...

Сделал.

[Евгений Малинин]

Скрипты выполнил, карантин отправил жду ответа. Новые логи прикладываю.

PS Нужной строчки в HJT не было.

PPS Файлы setuprs1.PIF и 2838.PIF не обнаружены.

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

Какие проблемы наблюдаются? Установлены ли какие-либо Policies у пользователя компьютера?

[Евгений Малинин]

Проблем не наблюдается. Всмысле policies? Компьютер без подключения к интернету, без ЛВС, базу на АКWW обновляю я со своего EDGE модема 1-2 раза в неделю.

PS У пользователя права администратора.

[ТроПа]

Я это спрашивал на тот случай если не видны скрытые и системные файлы, то нужно было думать как лечить если на компе стоят какие-нибудь ограничения через политики, а то стандартным путём АВЗ их сбрасывает.

[Евгений Малинин]

Спасибо всем за помощь! Ответа с ньювируса не пришло, но файлы стали детектиться, как Trojan.Win32.Autoit.ez.