Что-то ломится в инет, на разных страницах одинаковый баннер

[serjga]

Доброго здоровья, друзья!

Сегодня в первом часу ночи перегрузившись и подключив Интернет-соединение заметил, что моя машина что-то отсылает и что-то одновременно принимает. Примерно 350 б/с. До этого не замечал (качаю постоянно).

Еще недавно заметил, что на некоторых заново загружаемых страницах появляется ОДИН И ТОТ ЖЕ БАННЕР(!!!) в виде функции поиска с уже значащимся в "строке поиска" значением, недавно используемой мной строки поиска! Ссылка баннера: хттп://quad.yadro.ru/last/webalta2.url, объект сохраняется в HTML файл "webalta.htm" размером 5395 b. Могу прислать этот файл и картинку баннера.
Нашёл интересные строчки в "ntbtlog.txt":
Loaded driver \??\d:\Temp\tmp\8qkAEJRl.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\uzmznzy3.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\uzm2oda1.sys

Интересно: откуда сие пришло? Качалки "BitSpirit" и "Orbit"? Они? И что это за файлы?

Высылаю логи по правилам.

Жду ответа!
Спасибо!

[Muzzle]

Файлики которые вас заинтересовали,это запчасти от алкоголя
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 QuarantineFile('C:\Documents and Settings\Serjga\Главное меню\Программы\Автозагрузка\inet.lnk','');
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13959

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)

[zerocorporated]

Что из этого нужно ?

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что не нужно скриптом отключим.

[serjga]

Файл, который Вы просите в карантин - есть ни что иное, как линк на подключение интерента )))
"Файлики которые вас заинтересовали,это запчасти от алкоголя" может и запчасти от алкоголя, но.. почему их содержание одинаковое при разном времени модификации? Причём первого - 1.06.07, а второго не далее, как сегодня в 1:10 ?
И в теле этих модулей есть надпись: "AVZ Monitoring driver.... LegalCopyright Zaitsev Oleg..." Я бы поостерёгся относить это к Alcohol120%.
И с чего бы алкоголю запускать "8qkAEJRl.sys" из d:\Temp\tmp\ ?

Добавлено через 23 минуты

Сделал всё, как Вы сказали.
Баннер присутствует
Один ключ удалился, а ещё 2 с этим значением в реестре - остались

Так что дальше?
Что-нибудь ещё прислать?
Жду ответа!
Спасибо!

Добавлено через 3 часа 16 минут

"После выполнения скрипта компьютер перезагрузится. " - НЕ перегрузился, кстати почему-то!

[V_Bond]

сделайте лог http://virusinfo.info/showthread.php?t=10387

[serjga]

сделайте лог http://virusinfo.info/showthread.php?t=10387

Я не понял: я работаю в обычном режиме, а там написано про невозможность загрузки обычным способом и описание теста в режиме защиты от сбоев. При загрузке у меня явных конфликтов НЕТ! Это не мой случай!

Жду ответа!
Спасибо!

[Bratez]

При загрузке у меня явных конфликтов НЕТ! Это не мой случай!

В данном случае это не важно. Просто такой лог дает возможность увидеть кое-что, чего нет в стандартных логах.

[serjga]

Спасибо!!! Один момент...

Добавлено через 2 минуты

И что это за странные файлы, описанные в самом начале? Можно их снести из папки драйверов? Они имеют отношение к AVZ ?

Добавлено через 1 минуту

Не надо ли Вам прислать картинку баннера и тот файл HTML ?

Добавлено через 56 минут

не могу добавить файл

Добавлено через 5 минут

При попытке вставить отчёт пишет:
serjga, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

[Bratez]

Глядя на эту страницу, нажмите в браузере "Обновить".
Потом кнопку "Ответить" внизу темы, "Управление вложениями" и т.д....

[serjga]

СПАСИБО!
вложил

[Bratez]

Ну как минимум с двумя подозреваемыми все ясно:
C:\WINDOWS\system32\Drivers\uzmznzy3.sys
C:\WINDOWS\system32\Drivers\uzm2oda1.sys
Это драйверы AVZ.
Надо выполнить Стандартный скрипт #6.

Добавлено через 8 минут

d:\Temp\tmp\8qkAEJRl.sys нигде в логах не фигурирует. Попробуйте разыскать его вручную. А повторяющийся баннер - наверно одна из ваших качалок имеет такие "адварные наклонности". Больше ничего подозрительного не видно.

[serjga]

А СЕГОДНЯ Эксплорер заменяет http://www.virustotal.com/ru на http://virustotal.pta.hispasec.com/ru/ и пишет, что не возможно загрузить страницу!
Только убрав "/ru" в конце строки смог загрузиться

ША ЗА ХРЕНЬ?
Можно ожидать подсказки? А то сча снесу всё и поставлюсь по-новой )))
Жду ответа!
Спасибо!
Удач !

[Bratez]

Сделайте новый комплект логов по правилам.

[serjga]

сейчас с какого-то сайта загрузился и встал на установку mssrv32.exe
Я прочитал о нём в интернете.
Когда происходила атака - убивал появляющиеся новые процессы в диспетчере задач. Потом проверил реестр и наличие новых файлов. Его и обнаружил. Удалил из каталога. NOD32 молчит, хотя статью о вирусе читал ещё аж за август месяц!
Достаточно ли удаления файла из каталога до перезагрузки машины, чтобы не внедрить заразу в систему?

[rubin]

Повторите логи, узнаем всё

[V_Bond]

Сделайте новый комплект логов по правилам.

....

[serjga]

для ЭТОГО надо перегрузить машину!!!
ПРО ЭТО И СПРОСИЛ!
Ответ будет?
Просто есть ещё file[1].exe с таким же содержанием
Что-то запустилось и контролирует процесс?

[rubin]

Появится - удалим... перезагружайте

[serjga]

ООООООООоооооо!!! В VirusTotal кто его только не знает!!! Кроме NOD32 (((((
Сейчас пришлю сюда.

[serjga]

Вложил!
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EA5B3C-267B-47A9-BFFB-BC0312C0CF71}: NameServer = 212.48.193.37 212.48.193.38
Что это?