По дате Март 29th, 2010

services.exe ломится на seozavrsss.com или черный квадрат

Очередная зараза..Черные квадратики

seozavrss-services

После включения предупреждений обнаружил, что services.exe  ломится на seozavrsss.com

В каталоге system32 несколько “подписанных” файлов с иконками в виде черных квадратов (тоже мне, Малевичи..) . Что характерно, у файлов был разный размер (83968 и 78848) и разные результаты по определению на virustotal :)

Seozavrsss.com

Результаты проверки файла LnnCegn.exe на virustotal: 6/42 (14.29%)

Файл bDI8Lbn.exe получен 2010.03.29 10:01:30 (UTC)
Антивирус Версия Обновление Результат
AVG 9.0.0.787 2010.03.29 SHeur3.NNU
CAT-QuickHeal 10.00 2010.03.29 (Suspicious) - DNAScan
Comodo 4424 2010.03.29 TrojWare.Win32.Trojan.Agent.Gen
Prevx 3.0 2010.03.29 High Risk Cloaked Malware
Sunbelt 6112 2010.03.29 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.03.29 Suspicious.Insight
Дополнительная информация
File size: 83968 bytes
MD5 : 9865344469b8a56658c5d42b303fd1d4

у файла RpMk9en.exe размером 78848 байт (тоже “черный квадрат”) процент определения получше, но далеко от сотни:

Файл fQGJclM.exe получен 2010.03.18 15:59:19 (UTC)
Антивирус Версия Обновление Результат
Avast 4.8.1351.0 2010.03.18 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.18 Win32:Malware-gen
AVG 9.0.0.787 2010.03.18 SHeur3.GGO
CAT-QuickHeal 10.00 2010.03.18 (Suspicious) - DNAScan
Comodo 4305 2010.03.18 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.03.18 Trojan.Packed.19777
GData 19 2010.03.18 Win32:Malware-gen
Kaspersky 7.0.0.125 2010.03.18 Trojan.Win32.Scar.bwas
NOD32 4955 2010.03.18 a variant of Win32/Kryptik.DBM
Panda 10.0.2.2 2010.03.18 Suspicious file
Sunbelt 5952 2010.03.18 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.03.18 Suspicious.Insight
TrendMicro 9.120.0.1004 2010.03.18 TROJ_AGENT.SMH
Дополнительная информация
File size: 78848 bytes
MD5 : d238db1969b8f0b06dff9f2b070dd468

Многие распространенные антивирусы пока “молчат” - значит или “показалось”, или ждать беды. :)

Хотя, судя по датам, второй просто более ранняя версия, а первый получился после модификации этого второго. Если все правильно, то где-то в загрузке должен быть запуск “последней версии” :)

И действительно, в логах HiJackThis нашел такое:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e25a76c4.exe,\\?\globalroot\systemroot\system32\feyTk89.exe,\\?\globalroot\systemroot\system32\LnnCegn.exe,

feyTk89.exe пару дней назад был опознан и удален. А вот LnnCegn неплохо устроился в system32.

Почистил. Пока работает. Файлы заслал “куда надо” - может чего скажут…

ps. При попытке зайти в “назначенные задания” компьютер вылетел с синим экраном.

pps  http://www.malwaredomainlist.com/mdl.php?search=seozavrsss&colsearch=All - информации о seozavrsss.com не так уж много. Других сайтов по поиску не нашлось

ppps Касперский прислал отчет - 3 файла из отправленных - вирусы. а вот 4 (тот который на virustotal не определился) - не знаю :)  мол, будем посмотреть. :)

Опубликовано Март 29, 2010 | автор: levik  |  Комментарий (1) »