Подозрение на перехват API эксешников и наличия ботов на ПК
Уже около шести месяцев, как я огородился от мальварей в своем Форт Ноксе... Не думал, что подобное меня когда-то постигнет... Хоть я и не использую антивируса, у меня стоит отлично отконфигурированный фаерволл(COMODO)... Во всяком случае, я так думал... Случился весьма... Неприятные случай. Около двух недель назад у меня что-то кое-где зачесалось, и я вдруг решил перейти на Linux, а именно на Ubuntu... При установке напортачил с этими разделами, в результате не создал boot-файла для Ubuntu, попыытался создать его вручную... В результате снес Windows, а к вечеру уже снова был на ней... До этого она стояла около шести месяцев... Что меня сразу удивило: ось я эту использую давно, все предустановленные программы знаю чуть-ли не наизусть. До обзаведения должной защитой при переустановке нигде, кроме официальных сайтов крупных производителей софта не бываю. Утром ось была чиста, вечером-же, фаерволл, после установки, начал кричать на файлы 07.exe, 28.exe и 76(или 87).exe, в system32. И любопытно то, каким образом: они висели в ОЗУ в фоновом режиме, и вдруг их начало крашить, после чего они пытались запустить dtwt32.exe(Dr. Watson), тут-то фаерволл и начал на них за это ругаться. После запуска Др-ра Ватсона, он потреблял 99% быстродействия цп, до тех пор, пока я не завершил его диспетчером задач. Я решил погуглить по этому поводу, однако, находил что-то вроде sdfj28.exe и прочих мальварей с нелогичными названиями. Фаерволл больше на них не ругался(а именно на их попытки связаться с удаленным ПК, возможно потому, что первый запрос я таки разрешил, одному из этих файлов, но на временной основе, остальным же уже все запрещал...). Сейчас пишу, и понимаю, что похоже на классические бэкдоры... В общем никаких проблем не было, пока около 5 дней назад я не скачал с TPB(thepiratebay.se) C&C Red Alert 2... В общем суть в том, что, похоже, его установщик оказался инфицирован, несмотря на отсутствие негативных отзывов в комментариях. Естественно, мне пришлось устанавливать его с правами администратора... И вот после установки, и когда я выяснил, что прилагавшие патчи кривые... Начались ооочень странные ввещи. Мой uTorrent попытался открыть блокнот, А ПОТОМ WINMINE.EXE!!!! Вообще, для торрента работа с блокнотом уже дикость, я уже молчу про его попытки запустить сапера, которого я запустить разрешил, но видимых окон не увидел. Естественно, я не увидел в этом угрозы(uTorrent скачан с официального сайт). Но когда на следующий день, мой идеально чистый DoW Dark Crusade(его хэш есть у COMODO в базе данных чистых объектов) попытался установить рекурсивное соединение через svchost... Я просто ошалел. Потом то-же дерьмо началось с остальными исполняемыми файлами. Что самое интересное - похоже, мальвар их перехватывал, и внедрял код, т.к. все они исчезли из базы данных доверенных файлов комодо(база данных не менялась, старые правила политики остались в ней, но вот они стали почти бесполезны). Сегодня мне это окончательно надоело, я решил с этим покончить. Решил снова отконфигурировать ось, покопаться по реестру, групповой политике, службам Windows. Просканировал ПК mbam'ом, он та и нашел эти файлы(07.exe, 28.exe и 76(или 87).exe)(любопытно, что я не устанавливал и не скачивал ничего из интернета, кроме торрента. Остальное было у меня в архивах). И еще несколько ключей реестра, связанных с эксплорером... Я сканировал из-под user'а, поэтому не смог их удалить. Скачал хваленый Cure It, просканировался в безопасном режиме, кроме них он больше ничего не нашел, я их удалил. Ах, да, еще МБАМ нашел в system32 подозрительный файл, PKey.exe, с ним был иник PKey.chm. Я удалил их, а копию поместил в архив. А сейчас, около часа назад изменил политики фаерволла, теперь он сообщает о всех входящих и исходящих подключениях... В каком я был ужасе, когда открыл 7zip-архиватор, которые всегда был чист, пережил переустановку винды, никогда не давал сбоев... И вдруг, он попытался получить доступ к защищенному COM интерфейсу(какому - не помню), и все, все ексешники поголовно(даже SFX-7zip архивы!) пытаются что-то делать с этим ключом - HKEY_USERS\S-1-5-21-776561741-1035525444-1801674531-1005\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced Hidden тип DWORD, значение - 2. Они не меняют его значения, но все пытаются что-то с ним сделать. Но самое страшно - при новой политике фаерволла, я увидел, как 7zipFM.exe стал истерически искать подключения к удаленной машине по протоколу UDP по чуть-ли не всем портам в диапазоне от 3500 до 9000. В общем происходит полная чертовщина, я понятия не имею, что делать, я первый раз в таком положении, до этого я почти всегда справлялся сам... Вы - последняя надежда.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Tchenning, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Хвала Богам! Как я рад, что на черный день припас Live CD Ubuntu... Позавчера я увидел ваше сообщение, но было уже поздно, поэтому я пошел спать. Вчера, когда я запустил ПК, после инициализации фаерволла выскочила ошибка Visual C++ Runtime Library... Код R6002... После того, как я нажал "Ок", процесс фаерволла слетел... Я понял, что система в ужасном состоянии, что-то было с эксплорером, мальвар проникла в ексешник диспетчера задач... Я решил, что самое гуманное - просто переустановить ось, и избавить нас всех от головной боли... Как же я ошибался... Похоже, мальвар таки сумел что-то догрузить из сети... После переустановки ОС(на ту-же, которая была)(я уверен на все 100% в ее чистоте) на ней не работали практически никакие службы... Происходил ужас и хаос, она грузилась около двух минут... Я трижды ее переустанавливал... Ничего не помогло... Windows Installer не работал, еще тучи служб(сетевых в том числе) тоже, не смотря на то, что в services.msc порядок был сохранен, и все с их запуском было как положено(почти все службы с запуском "Авто" были отключены). Я все включил, как-то установил аваст free, даже обновил вирусные базы данных, запустил сканирование при загрузке ОС... Ровно 220 инфицированных ексешников, причем тех, которые я вообще не трогал, и даже не открывал каталоги с ними. Инфекция Kukacka:Win32 и Sality:Win32... Как я понял, нынешний мальвар является руткитом, сидящим в ОЗУ, во время манипуляций с винтом... Это кошмарно, я уже сталкивался с таким в июне этого года, но тот просто догружал несколько червей и троянов и прятал их а этот... В результате при попытке обновить сам avast, а не только его базы, ось заглючило... Это было жутко. После этого все попытки ее запустить оканчивались Blue Screen'ом... Я ее снова переустановил, ничего не изменилось... MSconfig отсутсвует, большая часть программ Windows тоже. Программа дефрагментации отсутствует... И это тольоко то, что вижу я... Список "открыть с помощью" почти пуст... Когда я использовал mbam, я снова заражал систему. Аваст извлек четыре или пять его инфицированных составляющих... Сейчас такой роскошью, как установка программ, не обладаю, однако проверился TDSSKiller'ом, Cure IT от Dr. Web и AVZ... У первых двух все чисто, Cure IT нашел только PKey.exe, который, как я понял, нечто вроде crack'а для моей оси... А вот AVZ заинтересовал... Хотя я исправил все ошибки, особых улучшений не заметил, зато ошибки не возвращаются, значит, мальвар уже не получает полного контроля, однако, при запуске ОС сносятся почти все процессы, именно поэтому приходиться запускать все службы по новой. Логи AVZ и HiJack прикрепляю... Теперь уже точно надежда только на вас, или мне придеться сменить расположение Балмера на Торвальдса
Мальвар сильно модифицирует систему при ее установке... Похоже, я удалил все, до чего достал. Остались только логи. TDSSKiller поместил на карантин 5 файлов без цифровой подписи... Похоже, имненно после этого DNS- и DHCP-клиенты перестали запускаться вообще. MBAM установить сумел, но полное сканирование системы показало только ключи: Disable Firewalll Notify, Disable Antivirus Notify, Disable Security Center(насчет Notify точно не уверен). В свойствах системы вырезаны почти все вкладки. Службы автообновления, похоже, тоже нет... WMP тоже нет!!! Хотя директория, некоторые файлы и разделы в групповой политике присутствуют. Хотя, GPedit оно похоже не трогало... Я закрыл несколько уязвимостей, в частности что-то про shell32, еще что-то наугад... Вот: WindowsXP-KB2483185-x86-RUS и вот: WindowsXP-KB2719985-x86-RUS. Устранил уязвимости в Java... И удалил предустановленный Adobe Active X, как-то так... Просто он не включен в сборку и я подозреваю... Сейчас все дело за вами, т.к. я не блещу такими знаниями Windows и ее прикладных программ.
Ответить с цитированием
