Началось все с устаревшей ссылки на архив. Следуя природному любопытству я стер в адресной строке все до знака "/" (с конца), в надежде увидеть там что - нибуть интересное . Компьютер, судя по звукам, начал чтото активно переваривать, и стал подтупливать, у меня так частенько бывает перед тревогой Сумантека. Антивирус себя ждать не заставил и начал выдавать сообщения о пойманных троянах, сумантековский фаервол отбил атаку, и через некоторое время, в связи с самопроизвольным отключением некоторых его служб, попросил перезагрузки. После перезагрузки ситуация не изменилась, служба, в названании которой точно было чтото про "HTTP Proxy", не включалась. Вручную запускать тоже не получалось, всплывали ошибки сценария. Автоматическая защита антивируса отключалась примерно через 5 минут при каждой перезагрузке (всплывающее окно), хотя его значок был обычным. Еще одна перезагрузка снова ничего не решила, а фаервол вобще перестал запускаться. Исправление и переустановка не дали результатов. Удалил вообще, т. к. пользоваться протоколом HTTP не удавалось.
При первой проверке AVZ заподозрил Trojan-Downloader.Win32.Tiny.acv в _svchost.exe в system32, загружающийся автоматом. Поскольку вразумительной информации по нему я найти не смог, то решил удалить его сам. Естественно, исходящий трафик при подключении сразу уходил в отрыв, по сравнению с входящим . Плюс сразу же я попытался удалить system32\vg109974.dll, который на "99.05% похож на типовой перехватчик событий клавиатуры/мыши", но это не получилось.
Позже стали появляться другие трояны, которых AVZ сам удалял.
Скан CureIt'ом показал, что почти во всех exe'шниках автозагрузки и еще некоторых других, например в аське, даунлод мастере, флешгете есть модификация Win32.Kuku, и на середине проверки, я увидел BSOD. Следущий скан показал ту же модификацию в файлах, но уже без синего экрана. Плюс к этому чтото стало изменять экзешник AVZ, увеличивая его примерно на 70 кб. Заменял его на оригинальный, ставил "рид онли" - не помогало. А теперь после каждой перезагрузки он совсем исчезает. Также удалился и CureIt!.
Подключение к сети и интернету стало нестабильным, количество процессов svchost.exe растет на 1 с каждым подключением, причем некоторые из них сетевые, некоторые системные, в данный момент насчитал 8 штук. Постепенно появились процессы winpidn.exe (кушает почти все ресурсы ЦП), wineuje.exe, еще какие - то, начинающиеся с "win...", которых раньше точно не было.
Буду очень благодарен, если кто откликнется...
P. S. Могу попробовать найти ссылку, "с которой все началось"...
Последний раз редактировалось Weather; 08.01.2008 в 20:23.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл сохранён как 080106_223250_2008-01-07_4781ab7210bb3.zip
Размер файла 4028224
MD5 c1b4d4219a735f1680a0bea15c7aff70
В очередной раз столкнулся с изменением exe AVZ
Засек еще несколько процессов:
winswsq.exe
winamfe.exe
winkfmjt.exe
(при отсутствии прежних)
И самое забавное, появилось диалапное подключение, которое начало куда то дозваниваться и говорить про недоступный номер из динамика (ДСЛьное подключение секундой ранее упало)
Послал образец в drweb, добавят скоро... как ответ придет - отпишу. Если ждать не хотите можете утилиту avptools скачать и выполнить полную проверку ПК.
Добавлено через 2 часа 48 минут
Все добавили уже. Скачайте CureIt заново и выполните полную проверку из безопасного режима.
Последний раз редактировалось zerocorporated; 07.01.2008 в 14:23.
Причина: Добавлено
CureIt не обнаружил Trojan.Win32.Patched.au, зато число зараженных Win32.Kuku постоянно растет. AVPTools находит Trojan.Win32.KillAV.ne (говорящее название ) в 200стах с лишним exe'шниках (вылечить получается не все или вобще ничего).
Можно удалить vg109974.dll, vg109974.dl_ и evojill.sys, плюс ключи в реестре (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ MCIDRV_2600_6_0), но через некоторое время все возвращается на свои места (предположительно после соединения с интернетом, тутже появляются 2 службы с названиями на "win..." - похоже на динамическое изменение имен)
Добавлено через 31 минуту
vg109974.dll, vg109974.dl_ и evojill.sys заражены Trojan.Downloader.38489 (По Др. Вебу)
Добавлено через 34 минуты
Пример файлов создающихся в каталоге C:\Documents and Settings\Юзер\Local Settings\Temp:
winfshs.exe
winhaatmg.exe
winlphbcb.exe
winpidn.exe
wintfuj.exe
winwmkkiq.exe
winxxax.exe
Один раз CureIt поймала в одном из них Trojan.Spybot.origin, в другой Trojan.Proxy.origin.
А Trojan.Downloader.38489 вылечивается CureIt'ом, но появляется опять
Последний раз редактировалось Weather; 08.01.2008 в 03:29.
Причина: Добавлено
1. Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
x - буква CD
Если не выйдет - Пуск--выполнить--cmd
sfc /scannow
(потребуется дистрибутив windows)
2. Прогоните проверку avptool
Все это время к интернету не подключайтесь...
По первому пункту - сначала не получилось.
По второму - тоже (скорее всего изза кривого ДВД дистрибутива).
Первый пункт получился, после копирования файла на жесткий диск (E:\i386\ntoskrnl.ex_).
Скан Касперским: любимые файлы vg109974.dll, evojll.sys заражены Trojan.Win32.KillAV.ne. Всего 260 зараженных им объектов, которые не лечятся. По моим оценкам - все exe'шники на всех локальных дисках и несколько динамических библиотек.
Не понимаю от чего зависит выполнение первого пункта в сообщении Рубина... Перезагрузился, попробовал также с винчестера по такой же команде подменить файл... Не получается никак...
А логи бы я с радостью сделал, только AVZ ничего не находит, сколько ни пытался
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Компьютер домашний. Локальная сеть используется для интернета (ДСЛ - подключение)
Сообщение от wise-wistful
И не мешало бы антивирус поставить, а то частенько к нам на огонёк заглядывать будете
А мне у вас понравилось
З. Ы. Только, что упало соединение. Два процесса на "win" сидят.
Буду сканить...
Добавлено через 3 минуты
2. Проверка памяти
Количество найденных процессов: 16
Количество загруженных модулей: 245
c:\windows\system32\vg109974.dll >>>>> Trojan.Win32.KillAV.ne
Проверка памяти завершена
Последний раз редактировалось Weather; 08.01.2008 в 23:47.
Причина: Добавлено
ну странного особенно ничего нет .... ходить в интернет без антивируса -то ....
скорее зловред попадает к вам с сайтов на которые вы заходите ... или через локалку ... через шары
давайте так ... сейчас новые логи ...
и вы сразу ставите антивирус .... например триал касперского ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: