Черви Вирусы Трояны: выбор антивирусной стратегии - [6] :: В помощь системному администратору

Народ, подскажите: Кто сталкивался с такими симптомами? Как лечить?

Есть два ноутбука, которые ведут себя странно (на них установлен WinXP SP3): произвольно убиваются файлы, с которыми работаю. Причём, на обоих ноутах поведение и убиваемые файлы - одинаковы, поэтому это скорее всего вирус, а не проблемы с железом.

Сперва я заметил такое - грешил на Неро: я ему проект забил, пишу на болвань, верифицирую - опа, расхождения образа на болвани с файлами на винте. Смотрю, а на винте несколько файлов удалено из папок, откуда писал. Я - в шоке!

Вчера же - совершенно явно: распаковываю кряк к программе из архива, WinRAR создаёт значит новые файлы на локальном винте, а некоторые - тут же убиваются. WinRAR ошибок не выдаёт, а в панели эксплорера или Far-а этот файл не отображается.
Копирую по сети аналогичный файл с другого компа (есть у меня в сети также некий комп "Server": стационарный, с Win2003 - пока оказался не заражен, т.к. этот глюк не проявляется), где этот файл уже распакован - но при записи на локальный винт зараженного компа, файл вроде записывается (операция копирования завершается) и всё - нет файла, даже не видел что появился.

Я пробовал разные файлы - теряются разные, но похоже этот "вирус" особенно не переносит всякие keygen.exe, patch.exe, и лоадеры на основе троянов.
Тест-контроль:
Например, замечено стабильное срабатывание на следующем файле:
скачать ne9_kg_41_update.rar (из http://ifolder.ru/11571727 - это кейген для Nero9, пароль ru-board) и попытаться распаковать - там один файл: keymaker.exe
Этот файл на обоих ноутах стабильно никогда не распаковывается, на "Server"-е - распаковывается на ура.

Пробовал подозревать антивирус. У меня DrWeb, Spider (служба) - отключен. Сканер я не запускал, Лог - пустой, никаких подозрительных записей.
Однажды случайно запустил DrWeb, он нашёл в памяти лоадер для RAdmin-a, удалил её (маладэц, блин!) и попросил перезапуститься, но в лог об этом написал. Так что я увидел как действует DrWeb - это не он...
Ну, разве что какой-то драйвер режима ядра от SpiderGuard... Но он не должен ничего тупо удалять - у меня в опциях спайдера удаление не включено...

Что я делал:

Компы BSOD не выкидывают, chkdsk ничего страшного не обнаружил - значит с винтов и файловой системой всё Ок.

Запустился с LiveCD, проверил системный диск DrWeb 4.44 с самыми свежими базами (2009.04.22) - ничего не обнаружил.

Утилиту PrevX (http://www.prevx.com), безплатную версию - скачал, просканировал - не нашла ничего подозрительного (только 4 программы, в которых я точно уверен, потому что они существуют у меня уже очень давно)

Запустил SysInternals Filemon, поставил фильтр на "keymaker.exe", распаковываю тестируемый одноимённый файл из архива (см. тест-контроль выше) - опа, WinRar создаёт файл на диске, файл появляется в эксплорере на секунду, затем на него набрасывается некий процесс System:4 и убивает файл - бинго! вот он вор!

Как же его удалить?.. И как понять кто это "System:4"? Как я понимаю, это может быть любой inprocess-троян или скорее внедрившийся как в "режим ядра" вирус/rootkit? Я запустил SysInternals Process Explorer, посмотрел на процесс System:4 и порождённые им - вроде только стандартные службы и драйвера моего железа, ничего подозрительного на глазок не обнаружил.

Запустил на инфицированной системе Ad-Aware 2009 8.0.4, провёл SmartScan и FileScan системной партиции - не нашёл ничего существенного и удаление найденного не помогло.

И еще эксперимент - если с LiveCD загрузиться, то файлы распаковываются нормально. А потом, при обычной загрузке в инфицированной системе, как только я обращаюсь к ним, например, гляну на них фарой - тут же удаляются.

Спасибо!

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7