ОС Windows XP Pro
На днях словил сабжевого вируса.
В папке %WINDIR% после каждой перезагрузки появляется файл system.exe, который, собсно, вирусом и является. Если вовремя не убить процесс system.exe, он создает там же идентичный файл taskmrg.exe и запускает его, а сам завершает работу.

NOD32 с последними обновлениями вообще в нем вируса не признал. Зато признал Касперский. Но толку от него мало. Да, он при загрузке убивает system.exe, но файл-то каждый раз все равно появляется.

Я тщательно исследовал ветки реестра типа Run, RunOnce etc.
Удалил всё, что вызывало хоть малейшее подозрение. Оставил грузиться ну уж совсем безвредные вещи (Kaspersky, Outpost). Просмотрел и отключил все службы, вызывающие подозрения. То же сделал с подозрительными драйверами устройств в диспетчере устройств - драйверы устройств не Plug&Play.
Проверил комп на наличие вирусов - чисто.
Ничего не помогает. System.exe каждый раз создается в %WINDIR%.

Прочитал описание на Viruslist.ru. Действия вируса, описанные там, совпадают с теми, что выполняет вирь на моем компе (ломится в инет по SMTP протоколу). А вот то, как он себя запускает (файлы, ветки реестра) - нет. :-(

P.S.: Что-то NOD32 меня разочаровывает. Не видит уже второй за последнее время вирус. (Первый был Trojan.Win32.BKClient)

Попробуй загрузиться в Safe Mode и там запустить антивирусный сканер на папки:
Documents and Settings, Program Files и Windows
Возможно где-то прицепом грузиться "голова" вируса.
Я так одного трояна искоренил, который в обычном режиме до конца не выкарчевывался.
Использую DrWeb. Пока не подводил.
...да. И поставь последние заплатки от МС.
Много за последнее время дыр выявлено в семействе Windows.

Касперский у тебя какой? поставь базы расширенные и проскань в избыточном режиме,я использую либо 5.0 либо 3.5 оба отлично справляются...
НОД то же поставил и угараю как он переодически мимо вирей пробегает, хотя обновления баз регулярно и сканирование стоит углубленное всё равно в упор не замечает, зато самый быстрый в мире сканер...
Если мне память не изменяет Pinch ворует пароли к АСЕ...

Вот инфа про этот троян:
"Trojan.PSW.LdPinch

Семейство "троянских коней", ворующих пароли пользователя.

При запуске троянец прописывается в ключ автозапуска системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%

Затем копирует себя в каталог Windows, запускается оттуда, а исходный файл удаляет.

"Троянец" собирает сведения о системе (версия ОС, конфигурация аппаратного обеспечения) и пароли для различных сервисов и прикладных программ, в том числе RAS, POP3, IMAP, ICQ, FTP и т.д.

Собранная информация кодируется с помощью MIME (Base64) и отправляется на электронный адрес злоумышленника через SMTP-сервер, IP-адрес которого записан в теле "троянца"."

http://www.viruslist.com/viruslist.html?id=2808004

Вот сайт автора этого вируса http://www.cobans.net
Ворует все пароли с компа и отсылает на заданный адрес. Исходный код этого трояна может быть "вклеен" в любой другой файл, на который и не подумаешь, потому и антивири его не берут.
Ищи файлы, скорей всего экзешники, которые ставил недавно и сомнительного происхождения, типа прислал тебе их кто нить, или посоветовал.
Может даже склеен с какой нибудь фоткой, или любым аудио или видео файлом.

2 ganymed:

Попробуй загрузиться в Safe Mode и там запустить антивирусный сканер

В safe mode не запустился ни Касперский, ни NOD32. Правда, system.exe тоже не запустился.

...да. И поставь последние заплатки от МС.

Поставил 8 штук критических.

При запуске троянец прописывается в ключ автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%

В том то и дело, что нет у меня такого ключа. Вообще в _этой_ ветке ни одного ключа нет.


2 sebuba:

Касперский у тебя какой?

KAV Personal 5.0.121

поставь базы расширенные и проскань в избыточном режиме,я использую либо 5.0 либо 3.5 оба отлично справляются...

Обновил, просканил. Он удалил эти два файла (system.exe и taskmrg.exe), больше ничего не нашел. Проблема осталась.

Если мне память не изменяет Pinch ворует пароли к АСЕ...

И еще к Бату, &RQ, всяческим ftp-серверам, прописанным в Total Commander, диалап со-единениям и др.

Пробовал в msconfig поставить диагностический запуск. Загрузилось всего ничего: пара служб базовых. System.exe при этом все равно появился и запустился.
Резюмирую: пока ничего не помогло. Что ли Dr. Web поставить?

Как это пара служб? В разделе Services (Службы) их всего пара? Он же запускается из этого ключа только первый раз, а потом стоит как Service, вроде бы. нужно смотреть сервисы на предмет подозрительного.

Этот троян существует уже наверно около года, код его постоянно обновляется. Так что антивири его начнут ловить только дней через 10. И то антивирь ловит его только на входе, а если он уже на компе, антивирусом его не одолеешь, так как у него есть функция блокировки антивирей. Первое это ищи файл с которым он мог попасть к тебе на комп и уничтожай его. А в принципе он безвредный, если заткнешь ему выход в инет фаерволом, у меня месяца три такой сидел, и антивири его не находили, фаервол тока показывал, как он через день в инет пытался выйти.

есть такой типично советский способ лечения....
1. чистим секции запуска в реестре от него regeditом
2. чистим различные папки автозагрузок в различных профилях
3. чистим win.ini как ни странно но 2k и xp при его наличии отрабатывает там секцию [boot]

и жмем reset... чтоб процесс не получил terminate и не прописался по новой... потом спокойно лечимся..... или если точно знаем имя файла - то грохаем его и потом лечимся

2 PN:
Как это пара служб? В разделе Services (Службы) их всего пара?
Нет, в services.msc их много, но вот состояние "Работает" только у одной (ошибся я насчет того, что пара) - RPC.

Он же запускается из этого ключа только первый раз, а потом стоит как Service, вроде бы.
Не знал. А откуда такая информация?

нужно смотреть сервисы на предмет подозрительного.
Да я все уже просмотрел: службы, system.ini, win.ini, ...\Run, ...\RunOnce, Автозагрузка и т.п. Ничего подозрительного. :-(

Диагностический запуск отключает обработку system.ini, win.ini, отключает почти все службы (см. выше), однако вирус каким-то образом запускается.

2 ADMitry
Не смог воспользоваться Вашим советом: не нашел, откуда он себя запускает.

Можно отдельно выделить всплеск активности программ семейства Trojan.PSW.LdPinch. Распространение некоторых версий данного «троянца» производилось посредством спам-рассылок.
источник

В safe mode не запустился ни Касперский, ни NOD32. Правда, system.exe тоже не запустился.

Это мониторы не запускаются. А сканеры должны.
По крайней мере у DrWeb-а сканер запусается. На днях одну систему лечил так.
Троян в обычном режиме хорошо маскировался.

Поставил 8 штук критических.

Ну славно. По-чаще заглядывай на сайт МС.

Что ли Dr. Web поставить?

Попробуй. Снести всегда успеешь.

Что я еще пробовал:
SAV 9.0.338a не получилось поставить.
Попробовал Norton Antivirus 2004, 2005b.
2004 не смог нормально крякнуть, а 2005b обновляться не захотел. Тем не менее,
2004-й встал и обновился, пообещав, что проработает 15 дней. Жаль, вируса в system.exe не признал, чем и приговорил себя к анинсталлу. (Для меня это сейчас больная тема. Очень хочу чтоб антивирус именно этого зверя давил.)

Итог.
Надоело с этим неуловимым Джо возиться - я признал свое поражение.
Сделал format C:
По новой ставил весь софт. Решил попробовать Dr. Web, и он меня приятно удивил. Базы обновляются ОЧЕНЬ быстро. (По сравнению с NOD32 так вообще фантастически быстро.) Мего трояна, сохраненного в архиве, он классифицировал как Trojan.PWS.LDPinch.165. Пока Доктора и оставил.
А образ C: я на всякий такой случай NeroBackItUp'ом на DVD-шку залил.

Cпасибо всем, кто откликнулся. Проблема решена. (Временно?)

И вот чего бы это не сделать ранее? До того, как форматнуть винт.

И вот чего бы это не сделать ранее? До того, как форматнуть винт.

Да. Тупанул слегонца. :-(

По сравнению с NOD32 так вообще фантастически быстро
вот только что обновил нод, опять 1,7 метра (каждый раз заново всю свою базу заливает)