Изловил ахтунга!

Колеега по работе, занимаясь поиском музыки в Сети, подцепила новый вирус. NOD32 его не видит в упор.

Нашел всего одно упоминание о нем в Рунете: http://garant-master.ru/contentmaster/item_67068.html
+ еще поляки в форуме своем поляцком его обсуждали.

Изначально вирус размещается на этом сервере: http://66.185.126.34/404.txt
В тексте содержится ссылка на файл с вирусом: http://66.185.126.34/sp_prx1_v111_0.exe размер 29184 байт

На зараженном компьютере прячется в system32 под именем rpcc.dll, размером 29184 байт, появляется лишний процесс svchost.exe с двумя подзадачами.

Запускается отсюда:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
"DllName"="C:\\WINDOWS\\System32\\rpcc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Startup"="Startup"

Мочить раздел реестра бесполезно - это отслеживается вирусом и раздел пересоздается. Убивать процесс также бесполезно - тут же рестартует. Убить файл при запущенной в любом режиме системе бесполезно - файл постоянно открыт.
Надо запускаться или с загрузочного диска или подключить винт к другому компу и замочить rpcc.dll.

Проявляет как минимум следующую активность:
1. Ломится на 66.185.126.34 по портам 80 и 443
2. Ломится на кучу почтовых серверов по 25 порту (пытается себя рассылать?).
3. Ломится на другие компы по порту 2222 (ищет себя?).
4. На зараженном компе наблюдались сбои в работе Word и Winamp.

Еще можно в безопасном режиме загрузиться и вынести гада.

Неа! он запускается через svchost, причем в защищенном режиме тоже - запускает его winlogon. dll-ку держит всегда держит отрытой так, что ее даже просмотреть по F3 нельзя, не то что кокнуть.

в репаирмоде завалить гада и всего делов

http://www.securinfo.ru/showthread.php?s=f52ddfffad019816b37ea3d0db048b86&t=6659&goto=nextnewest

Касперский ловит

2 Соль
Спасибо, AVZ взял на вооружение. Может пригодиться, если еще подобный гость пожалует.

tsa
2 Соль
Спасибо, AVZ взял на вооружение. Может пригодиться, если еще подобный гость пожалует.

не за что 😊

NOD32 теперь тоже моего ахтунга знает. В базах от 13.11.2006 его не было, в базах от 14 уже есть!
E:\!ahtung\sp_prx1_v111_0.exe - Win32/TrojanProxy.Dlena.AD trojan

Верно, антивирус Зайцева - штука эффективная. Я его держу для особых случаев.

Зайцев голова! Его зверски антивирус на работе такую дрянь поубивал которю никто взять не мог.

Mihoshi
Зайцев голова! Его зверски антивирус на работе такую дрянь поубивал которю никто взять не мог.

😀 😀 Операционную систему чтоли

Коллеги, AVZ это не совсем антивирус. Это дополнение к антивирусу. Сам Олег Зайцев предпочитает, чтобы AVZ считали AV toolkit.
То есть это набор программных средств для диагностики, лечения системы и восстановления системы после заражения. К AVZ ещё и голова нужна, и опыт.
У AVZ нет пока резидентного монитора. Когда-нибудь может и будет, но не скоро.
А без монитора это точно не антивирус (в традиционном понимании).

Мне монитора хватает того что картинки показывает 😊 Именно как тулкит я его и применил и он помог.

А разве плохо, когда монитор антивируса блокирует вирус и грохает его "на лету"? Зверёк даже не успевает прописаться в системе.
Неее, AV-монитор нужен по-любому. Проще же предупредить болезнь, чем потом бороться с последствиями.

Такой монитор, как правило, занимает столько ресурсов, что просто невозможно работать

Я хотел грохнуть этот rpcc.dll с загрузочного диска но в sys32 его не было хотя я его собственными глазами видел. Он зараза случаем не кочует или не изменяется, а лишний процесс svchost.exe все еще маячит, а вырубаешь он снова открывается. Я пробовал AVZ но он не нашел вируса. Мож я его непрально использовал?

http://virusinfo.info/showthread.php?t=1235 если не смог сам справится, то иди по ссылке -- там точно помогут.

tsa
Неа! он запускается через svchost, причем в защищенном режиме тоже - запускает его winlogon. dll-ку держит всегда держит отрытой так, что ее даже просмотреть по F3 нельзя, не то что кокнуть.