Не грузится Опера и Хром [Backdoor.Win32.Caphaw.zj
]
Появился вирус в сети, основной признак заражения - перестает грузится Хром и Опера. Метод заражения - похоже через сетевые папки, файлы переименовываются в линки, а в линках прописывается заражающее тело. Само заражающее тело я выделил, есть в архиве, могу прислать если нужно (на форум их не рекомендовано выкладывать), но вот что эта падла делает с системой - непонятно, новых процессов вроде как не появляется, однако Хром и Опера не грузится, иногда пытается что-то удалять, не получается, выдает системную ошибку.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BorodaOleg, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
во время обработки программа выдала сообщение об ошибке: ошибка.JPG
На сетевых папках, как правило, полный доступ.
Автообновление блокировали сами, было пару обновлений, после которого система напрочь ложилась, после того начали предварительно проверять
Вирус распространяется с другого компьютера, это так, с какого не совсем понятно. Тело вируса, которое заряжает компьютер я выявил, и с него уже сознательно заражал этот. После заражения, как основной признак перестали запускаться Опера и Хром.
В логе очень много ошибок связанных с Active Directory, либо проблема в контроллере домена, либо конкретно в этом компьютере. С этой проблемой к админам.
Percentage of memory in use: 70%
Total physical RAM: 247.48 MB
Available physical RAM: 73.29 MB
Свободно 73.29 MB памяти. Мало. Очень мало для нормального функционирования системы.
После получения карантина, решим как отловить вирус в вашей сети. Физический доступ к компьютеру на котором находится сетевая "расшаренная" папка где появляется вирус, имеется ?
Тело сбросил в карантин, там 5 файлов, инициируется файл uxgldad.ajwx, висит в процессах секунд 30, потом сбрасывается. На разных зараженных компьютерах имена файлов бывают разные.
По остальному допишу завтра.
Последний раз редактировалось BorodaOleg; 12.12.2013 в 10:24.
Причина: дописать важную информацию
Скачайте и установите User Profile Hive Cleanup Service - скачал, установил. Ничего не дало.
В логе очень много ошибок связанных с Active Directory - да, домен был в процессе переноса с WS2003 на WS2008, затем его откатили обратно на WS2003, короче кое как изолентой смотанный пока работает.
Тот компьютер, с которого я писал логи специально собирал из хлама с целью имитировать заражение вирусом, чтобы отследить что в нем меняется. Вообщем ничего не понял, после чего уже стал обращаться к вам.
У нас в сети около 150 компьютеров, доступ ко всем имеется, другое дело, что не совсем понятно, с которого обращается вирус. Зараженные папки же могут появится где угодно.
Тут еще небольшое уточнение, переименовываются в линки вложенные папки и файлы *.doc, *.xls и *.exe.
Jpeg, mp3, avi, - не трогает.
К сожалению, тестовый компьютер сдох окончательно, система не загружается, сразу идет на ресет. Скорее всего дело в железе, я его из хлама собирал Так что ни попытаться пролечить, ни получить отчет через uVS не могу
Успел только обратить внимание, что по вышеуказанному адресу физически, после загрузки системы, такого файла не лежит, хотя в реестре ссылки на него были.
Сейчас пытаюсь найти еще один блок со схожими параметрами, может с ним что-нибудь получиться
В любом случае, спасибо за помощь.
Можно подключить жесткий диск со сдохшего компа к исправному даже по USB при наличии внешнего контейнера под HDD или напрямую к свободным контактам в корпусе и снять лог по аналогии с Сделайте образ автозапуска uVS с Live CD, а именно
Если Вы все сделали верно, должно появиться окно программы uVS. Щёлкните "Выбрать каталог Windows", откроется проводник с выбором папки системы, укажите папку "С:\Windows" (у вас может быть папка Windows.0 или иная, главное чтобы она содержала Вашу зараженную ОС);
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: