Не удается найти файл(ы) самовосстановления вируса.
_Здравствуйте.
Система: MS Windows XP SP3
Браузер: Opera/9.80 (Windows NT 5.1; U; MRA 5.9 (build 4953); ru) Presto/2.10.229 Version/11.61
Антивирус: AVG Anti-Virus Free Edition 2012 с обновлением через 2-3 дня.
_Вирус подхватил при использовании оперы (не через флешку 100% - уже 2 недели ей не пользовался), предположительно на сайте с панорамным видео или с сайта rumedia._ws. Стала заметно виснуть система и браузер. В диспетчере задач появилось много лишних процессов svchost.exe и подозрительные процессы с числовыми именами (прим "0.56564465468.exe","0.5945487454.exe" и т.д.) Пропал доступ к соц. сети "В контакте".
_Сразу перезагрузился,->безопасный режим. нашел в диске C(системный и единственный) папку с вроде рандомным буквенным именем (прим."mMdhsJSdD"), в гл. меню в автозагрузке файл опять же с вроде рандомным буквенным именем. В папке Windows/Temp нашел те файлы что запускались (с числовыми именами (прим "0.56564465468.exe","0.5945487454.exe" и т.д.)). Все это по удалял.
В настройках системы (msconfig) в автозагрузке нашел два элемента автозагрузки с именами из квадратиков(как при неправ. кодеровке) у них были адреса:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:load
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:run
Я их отключил, а эти строчки в реестре удалил.
_Загрузился в обычном режиме. Скачал новые Dr.Web CureIt!, AVPTool и AVZ, HiJackThis.
В безопасном режиме проверил компьютер при помощи Dr.Web CureIt!, он нашел 3 файла - один троян и какой-то "рекламный" с именем "что-то.generik" вроде. Так же он нашел изменение файла hosts(я потом всю папку etc отчистил и после перезагрузки оригинальные файлы вроде должны были восстановиться, но нет fail!)
Проверил при помощи AVPTool, не чего не нашел. В обычной загрузке проверил обновленным AVG - ничего.
_При дальнейшем использовании системы проблем не возникает, но при использовании браузера, после 10-15 минут, все происходит заново. За исключением: в реестр не добавляется load/run, а в Настройках системы (msconfig) в автозапуске не активируются процессы с "кубиковыми" именами. (После повторного "возвращения" вируса, я всегда сразу перезагружаюсь и удаляю в безопасном режиме папку из диска C и .exe файл из Главное меню/прогр./автозапуск). Вывод: Что-то я делаю не правильно.
_Инструкции выполнил, Логи прилагаются. Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nikita22, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уважаемый(ая) Nikita22, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачал ComboFix.exe с предоставленных ссылок(с первой, потом со второй с заменой), Запуск производил по инструкции. Появляется окно(похожее на командную строку) на 0,2-0,5 секунды, а дальше тишина. В диспетчере задач новых процессов не появляется. Ни C:\ComboFix.txt, ни C:\Qoobox нет.
P.S. В первое сообщение забыл добавить: при перезагрузки/выключении компьютера выходит сообщение об ошибке в процессе svchost.exe
quarantine.zip отправил.
Сделать лог ComboFix не удалось, в безопасном режиме так же. За исключением того что успел прочитать сообщение в окне которое появляется и через миг пропадает после запуска программы: "Программа не умещается в памяти"
хм.. у меня доступно около 3Гб физической памяти (планка 4Гб минус система), процессор i5-2300
Логи прикреплены. ComboFix.exe так и не запускается и в безопасном режиме.
Извините, сделал глупость - сразу удалил найденные файлы, не дождавшись Вашего ответа, только потом понял ошибку - facepalm.jpg Надеюсь это было не фатально.
Последний раз редактировалось Nikita22; 02.02.2012 в 16:40.
Запустите MBAM, перейдите на вкладку "Карантин", восстановите Ваши файлы:
Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
C:\Documents and Settings\User\Мои документы\Prog\Install\MathType.6.7.keygen-CORE.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\User\Мои документы\Prog\Install\Guitar Pro 5.2 Full\Keygen.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.
C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Помещено в карантин и успешно удалено.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Файлы восстановил. Обновления установил, уязвимости устранены.
Проблемы больше не наблюдаются. WIN!
Большое спасибо Вам и всему рабочему коллективу форума
P.S. Пара остаточных вопросов:
МВАМ теперь можно деинсталлировать? Восстановление системы включить обратно? В плане вирусной безопасности браузер опера или огнелис предпочтительнее(или с последними обновлениями граница размыта)? Заранее благодарен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: