Родителем, остается в месте запуска a.exe

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
На моём скрине, как раз и видно что Авастовский гмер, мочит одного из них, на рабочем столе.

Да, Авировский антируткит его не видит. :(

видно что Авастовский гмер, мочит одного из них, на рабочем столеугу, а до этого BD, видимо, все-таки AVZ мочит. Ну, AVZ не пользовался никогда (даже, когда он к ЛК отношения не имел :)), OSAM-portable или тот же антируткит в Malware Defender (из которого и скрины) - выше крыши. MD при каждой загрузке меняет имя драйвера - умно.

Ну вот, ещё вирлабы добавят этот зловред в сигнатуры + гмер, и можно сказать статегия восстановления системы, определена) Надобыло снимок реестра сделать, перед запуском и после, тем же регорганайзером, и сравнительный анализ провести.

И все же вопросы остаются. Например, что (или кто) инициировало запуск a.exe у Kotey`а? У меня он лежит себе валяется уже скоро сутки на рабочем столе и не думает активничать.

Кстати, его уже и Fortinet детектит: [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Dr.Web уже видит похоже a.exe - Trojan.MulDrop.31601
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

И все же вопросы остаются. Например, что (или кто) инициировало запуск a.exe у Kotey`а? У меня он лежит себе валяется уже скоро сутки на рабочем столе и не думает активничать.

Вероятнее всего файл был загружен и запущен через браузер (Drive-By).

(Drive-By)я тоже так думаю, - не один он, где-то "родитель" его должен быть, - запускающий

У меня он лежит себе валяется уже скоро сутки на рабочем столе и не думает активничать.
вот вот не один он, где-то "родитель" его должен быть, - запускающий
очень правильная мысль тем более, что 3_ий комп с ХР так и не умер, а продолжает работать.да и виста оправилась, больше фаерфокс не падал и зависаний не было.
что то тут не так.

я тоже так думаю, - не один он, где-то "родитель" его должен быть, - запускающий
Если это Drive-by, то, насколько я понимаю, троян мог быть загружен и без присутствия дроппера непосредственно на компе-жертве. А запуск - может быть и самозапуск при определенных условиях - напр, по истечении суток или после перезагрузки. Этот вариант можно проверить.

Этот вариант можно проверитьпроверяем в реале; у меня отключен монитор антивируса и вырублен MD. Пока - тихо.

При проверке открыть прыщ по имени a.exe NIS 2009 его сразу же удалил

Запуск файла при Drive-by ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) загрузке возможен и через скрипты. Если бы было побольше информации: файл [b]a[/] появился на рабочем столе и проявил активность при работающем браузере, или после загрузки системы? Какой браузер и куда он сохраняет загруженные из интернета файлы? Установлены ли все необходимые обновления Windows?..

жора ты куда мой скрин дел ? )))
отписываюсь по опытным компам, с утра проблем не видно. после скана нод32 и сканер веба вирусов ноль. всё работает на 3_х компах без проблем без зависаний и падений,похоже зверь пустышка.

Игорь, извини, вот же он: //georgy_n

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Советую сделать исследование через АВЗ, там будет видно, запущена ли служба navigator или нет. У меня слов нехватает, ещё один ответ от вирлаба BitDefender, бюрократы мать их так)
We have sent the files to our Virus Lab for analysis purposes and we will send
you the result of this process once it has been successfully completed.

отписываюсь по опытным компам, с утра проблем не видно. после скана нод32 и сканер веба вирусов ноль. всё работает на 3_х компах без проблем без зависаний и падений,похоже зверь пустышка.
qantrom, хорошие трояны так и работают. Юзер думает, что пронесло, а инфа уже тю-тю, передана куда надо.
Кстати, уже и Симантек, и Макафи артемисный, и Икарус его детектят. Так что не пропал наш скорбный труд.

Ivaemon
Есть такие вирусы,которые работают втихаря и тащат с компа всю инфу без промедления.Пользователь,который думает,что комп чист,ошибается,но если у него стоит AnVir Task Manager,то и выявить вредителя вроде не составит проблем.
Ну и для полноты картины OSAM:Autorun Manager тоже неплох.

А вот и kis c новыми базами стал ругаться
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

а инфа уже тю-тю, передана куда надо.
ну уж нет ))) у меня на службе все дырки закрыты )))
Симантек, и Макафи артемисный, и Икарус его детектят.
а веб с нодом молчат, партизаны )))

ну уж нет ))) у меня на службе все дырки закрыты )))

Будем надеяться... хотя гарантии здесь быть не может, мы же не знаем точно, что это за дрянь и как она сливает инфу. Похоже, мы (вернее, Kotey) одни из первых с ней столкнулись.

Ivaemon
Попробуй через IDA глянуть,там вся картина будет видна.

Watch Out, идой пусть профессионалы-вирлабовцы балуются, мы здесь народ попроще, разве что Георгий потенциальный вирусный аналитик. Но, тем не менее, факт тот, что продукты стали детектить гада после того, как мы почесались.

пипец!!! А раньше не судьба? Почему у нас в России все с опозданием идет? Связывался с другими ребятами они говорят что с русами (русскими) работать легче. Почему? Ответа нет. Буду крутить.

А вот и ответ: Скачивать надо с офф сайтов, а то у нас очень много умников вставить что-нибудь свое. Переделок очень много, стоит взглянуть на ......не могу написать.

А вот и ответ: Скачивать надо с офф сайтов, а то у нас очень много умников вставить что-нибудь свое.
vaza69, именно. И сборками всякими поменьше увлекаться.

Странная ситуация с A_Squared, на вирустотал детектит, а портабл версия с последними обновлениями, в упор не видит.

а портабл версия с последними обновлениями, в упор не видетPortable, если самоделка, может и в этом быть дело. После того, как они движок Ikarus прикрутили к продукту, мой интерес к нему сошел на нет. Раньше сканером держал, а теперь как-то больше переживаю, чтоб эта поделка мне систему не завалила и нужные 2-3 кейгена не вынесла :-)

а веб с нодом молчат, партизаныДа Dr.Web точно должен ловить, по отправленным мной файлам:

a.exe - Trojan.MulDrop.31601


afd.dll - Trojan.NtRootKit.2931


7D4950FC4FFB06F4 - Trojan.NtRootKit.2930

В архив. Тема закрыта.

Продолжение.... ([Ссылки могут видеть только зарегистрированные и активированные пользователи])