services.exe ломится на seozavrsss.com или черный квадрат
Очередная зараза..Черные квадратики
После включения предупреждений обнаружил, что services.exe ломится на seozavrsss.com
В каталоге system32 несколько “подписанных” файлов с иконками в виде черных квадратов (тоже мне, Малевичи..) . Что характерно, у файлов был разный размер (83968 и 78848) и разные результаты по определению на virustotal
Результаты проверки файла LnnCegn.exe на virustotal: 6/42 (14.29%)
Файл bDI8Lbn.exe получен 2010.03.29 10:01:30 (UTC) | |||
Антивирус | Версия | Обновление | Результат |
AVG | 9.0.0.787 | 2010.03.29 | SHeur3.NNU |
CAT-QuickHeal | 10.00 | 2010.03.29 | (Suspicious) - DNAScan |
Comodo | 4424 | 2010.03.29 | TrojWare.Win32.Trojan.Agent.Gen |
Prevx | 3.0 | 2010.03.29 | High Risk Cloaked Malware |
Sunbelt | 6112 | 2010.03.29 | Trojan.Win32.Generic.pak!cobra |
Symantec | 20091.2.0.41 | 2010.03.29 | Suspicious.Insight |
Дополнительная информация | |||
File size: 83968 bytes | |||
MD5 : 9865344469b8a56658c5d42b303fd1d4 |
у файла RpMk9en.exe размером 78848 байт (тоже “черный квадрат”) процент определения получше, но далеко от сотни:
Файл fQGJclM.exe получен 2010.03.18 15:59:19 (UTC) | |||
Антивирус | Версия | Обновление | Результат |
Avast | 4.8.1351.0 | 2010.03.18 | Win32:Malware-gen |
Avast5 | 5.0.332.0 | 2010.03.18 | Win32:Malware-gen |
AVG | 9.0.0.787 | 2010.03.18 | SHeur3.GGO |
CAT-QuickHeal | 10.00 | 2010.03.18 | (Suspicious) - DNAScan |
Comodo | 4305 | 2010.03.18 | TrojWare.Win32.Trojan.Agent.Gen |
DrWeb | 5.0.1.12222 | 2010.03.18 | Trojan.Packed.19777 |
GData | 19 | 2010.03.18 | Win32:Malware-gen |
Kaspersky | 7.0.0.125 | 2010.03.18 | Trojan.Win32.Scar.bwas |
NOD32 | 4955 | 2010.03.18 | a variant of Win32/Kryptik.DBM |
Panda | 10.0.2.2 | 2010.03.18 | Suspicious file |
Sunbelt | 5952 | 2010.03.18 | Trojan.Win32.Generic.pak!cobra |
Symantec | 20091.2.0.41 | 2010.03.18 | Suspicious.Insight |
TrendMicro | 9.120.0.1004 | 2010.03.18 | TROJ_AGENT.SMH |
Дополнительная информация | |||
File size: 78848 bytes | |||
MD5 : d238db1969b8f0b06dff9f2b070dd468 |
Многие распространенные антивирусы пока “молчат” - значит или “показалось”, или ждать беды.
Хотя, судя по датам, второй просто более ранняя версия, а первый получился после модификации этого второго. Если все правильно, то где-то в загрузке должен быть запуск “последней версии”
И действительно, в логах HiJackThis нашел такое:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e25a76c4.exe,\\?\globalroot\systemroot\system32\feyTk89.exe,\\?\globalroot\systemroot\system32\LnnCegn.exe,
feyTk89.exe пару дней назад был опознан и удален. А вот LnnCegn неплохо устроился в system32.
Почистил. Пока работает. Файлы заслал “куда надо” - может чего скажут…
ps. При попытке зайти в “назначенные задания” компьютер вылетел с синим экраном.
pps http://www.malwaredomainlist.com/mdl.php?search=seozavrsss&colsearch=All - информации о seozavrsss.com не так уж много. Других сайтов по поиску не нашлось
ppps Касперский прислал отчет - 3 файла из отправленных - вирусы. а вот 4 (тот который на virustotal не определился) - не знаю :) мол, будем посмотреть.