Сам проверяй, но хелперам доверяй!

[rodocop]

В общем, дожил до просьбы о помощи.

С одной стороны, вроде бы заборол за последние сутки всю навалившуюся заразу, да и проактивный подход (спасибо Вашему сайту, ну и своей голове немного) помог обойтись (пока) без особых потерь.

Итак, сначала (2 дня назад) случайно обнаружил на всех логических дисках вирусные autorun.inf и файлы типа *:\resycled\boot.com

Авторан, к счастью, не так давно весь отключил по здешнему совету, да и IE не пользую, так что всякая тварь, которую мне сие должно было накачать, не приползла (что и как должно было произойти, вычитал в одной из вирусных энциклопедий), да и сам вирь не запускался и не множился.

Удалил, отправил ДрВебу файл (его быстро включили в базу).

На следующий день (т.е. вчера) вечером обнаружил удивительную вещь: грохнулись все постоянные ярлыки из меню Пуск (те, которые туда добавляешь сам). Я насторожился, благо только что поборол зловреда. И тут вспомнил, что почему-то стали неактивными в меню Spider'a Вебовского (я абонент Корбины, и у нее с ДрВебом соглашение, так что антивир законный и постоянно обновляющийся автоматом) пункты "настройки файлового монитора" и "файловый монитор". Выяснилось, что служба Спайдера не стартует, несмотря на наличие в автозагрузке. Попытался запустить АВЗ, но и это не вышло. Короче, я все понял: поймал гада.

И началось.
Но сначала маленькое лирическое отступление: вообще-то, как всегда, виноват сам - отключил фоновое сканирование Спайдером сам (довольно давно), плюс сдуру отключил вход в систему с паролем (буквально накануне). К тому же, в начале декабря подключил резервную выделенную линию (Авангард ADSL), а в настройках забыл отключить NetBIOS через TCP/IP. Ну и накачал всякого в последние дни, конечно, впрочем, это-то дело привычное

Короче, запустил OSAM (хвала Virusinfo!) и обнаружил два скрытых ключа в реестре для запуска сервиса msqpdxmhctofxb.sys и файла mssmbios.exe.

Обоих отключил OSAM'ой моим Бен Ладеном, после чего первого вычистил AVG AntiRootkit'ом (msqpdxmhctofxb.sys и msqpdxmhctofxb.dll), а mssmbios.exe мочил долго и упорно, вычищая оставленные им в реестре следы вручную (узнал здесь), после чего - уже позже, в safemode - обнаружил его в Диспетчере оборудования и там тоже убил (по-моему, как-то вычистил и сам файл, но уже не помню точно). После OSAMa и AVG стали запускаться Spider Guard и AVZ.

AVZ обнаружил кучу всего "интересного", часть которого я знал и не дергался, но и нового было немало.

Почему-то оказался открытым сам собой авторан с CD (я, конечно, мог забыть его отключить, но вряд ли), обнаружились множественные перехваты advapi32.dll.

Ну дальше я провел всю "Помогите"-процедуру, для чего сначала ушел в safemode, где прогнал свежескачанный AVP VRTool (этот обнаружил энное количество троянов в давно лежащих на диске упакованных файлах, что вполне понятно и ожидаемо, плюс убил файл msqpdxmhctofxb.dl_, которого до него никто не видел), затем - сканер ДрВеба (еще кой-чего старенького по мелочи :-), потом вернулся в нормальный режим и собрал логи.

Собственно, их и высылаю с одним главным вопросом - вирусны ли перехваты advapi32.dll.

Ну и остальное посмотрите плиз.

Простите, что длинно, но надеюсь моя история и полученные мной уроки кому-то когда-нибудь помогут.
ЗЫ. До сих пор со всеми вирями справлялся сам
_____________***_______________
ЗЗЫ. Да, забыл сказать, что в настройке подключения к Авангарду в процессе лечения обнаружился прописанным некий левый DNS-server, про который AVZ (вроде бы) сказала, что "похож на троянский". Был вручную удален переведением в режим "Получать автоматически".
При этом никаких проблем с интернетом и прочей зловредной активности, кроме указанной, не обнаружилось. Жить ничто не мешало, даже отсутствие запуска монитора Спайдеровского.
Разве что, судя по AnVir'у, почти все запущенные процессы начинали забирать на себя по 20 метров памяти (у меня стоит настройка автоматом освобождать память, если процесс ест больше 20Мб), чего не наблюдалось ранее и не наблюдается сейчас - после проведенных мероприятий. Впрочем, и тогда сие явление "на ощупь" никак не ощущалось - никакого дополнительного торможения...

И еще - в качестве файрволла стоит Ghostwall, не позволяющий управлять доступом в Сеть на уровне приложений, так что кто куда ломился я не знаю, да особо и не нужно оно было раньше... Придется задуматься о переходе на что-нибудь более навороченное и тяжелое типа Comodo, наверное... А так не хочется...

[Rene-gad]

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('F:\WINDOWS\system32\KCFG32.CPL','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[rodocop]

Карантин залил.

Заодно возник вот какой вопрос: может, это связано с данной инфекцией, а может нет, но вдруг кто-то подскажет - система (WinXP SP2) вдруг стала определяться как windows 2000.

Сначала это проскочило на каком-то сайте, который может показывать инфу о системе, useragent'e и так далее. Я особого внимания этому не придал, но сегодня отказалась устанавливаться ХИПСа - Real-Time Defender Pro, мотивируя это тем, что

The setup program only can run under Windows 2000 SP4/XP SP1, SP2/2003/2003 SP1

При этом в Сведениях о Системе красуется Win XP SP2, як и було :-)

Может, кто знает, как сие исправить?

[pig]

Интересно, а что по этому поводу скажет HijackThis? Только скачайте актуальную версию.

[rodocop]

Вот что он думает (в аттаче).

hijackthis.log - это со всеми отключенными вручную резидентами
hijackthis1.log - это сразу после загрузки системы.

P.S. MyProxy, который был в прошлых отчетах, я сам ставил и сам же отключил (надоел он мне)
_______________***_________________

Лично меня в этих отчетах напрягло только появление левого DNS (85.255.116.34;85.255.112.231), однако в реальных настройках сетевых соединений (у меня 2 провайдера) он не появляется...

[PavelA]

С включенным AVZPM сделай логи.

MyProxy отключил или удалил?

[rodocop]

MyProxy не удален - просто отключен из автозагрузки.

AVZPM загружен все это время...

_____***_____

Хм, в Менеджере служб и драйверов AVZ ВСЕ драйвера трактуются как незапущенные. Это глюк AVZ или нехороший признак?

[PavelA]

Вот это профиксить:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.34;85.255.112.231

А что на машине от БитДеффендера установлено?

[rodocop]

a ServiWin вот что одновременно выдает:

AVZRK AVZ-RK Kernel Driver Запущен системный Boot Bus Extender AVZ Monitoring Driver 1, 3, 0, 0 AVZ Monitoring Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys

uzqwodew AVZ-RK Kernel Driver Остановлен системный Boot Bus Extender AVZ Monitoring Driver 1, 3, 0, 0 AVZ Monitoring Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys

Непонятненько...

Добавлено через 2 минуты

Вот это профиксить:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.34;85.255.112.231

Пофиксил, правда руками - в IceSword'e

А что на машине от БитДеффендера установлено?

Уже ничего. Было дело - ставил/удалял, после чего от него какие-то службы оставались, я их как-то вычищал, и мне казалось, что вычистил...

[rodocop]

Извиняюсь, но вынужден еще раз задать один очень важный вопрос:

не знает ли кто-нибудь, как исправить ситуацию с идентификацией системы как Win2000?

Удалось выяснить вот что (программой SIW):

Property Value
Emulated OS
Name Windows 2000 Professional
Terminal Services in Remote Admin Mode
Uniprocessor Free
Running on the console.

Underlying Operating System
Name Windows XP (Professional)
Terminal Services in Remote Admin Mode
Uniprocessor Free
Running on the console.

С чего вдруг ХРюша стала эмулировать винтукей? И можно ли это отключить?

[PavelA]

AVZ-RK Kernel Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
- это нормальный драйвер от AVZ.

[rodocop]

AVZ-RK Kernel Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
- это нормальный драйвер от AVZ.

Это-то понятно. Непонятно, почему он одновременно "запущен" и "остановлен"

Добавлено через 3 часа 49 минут

Спешу сообщить, что проблема с "подменой" версии ОС каким-то образом решилась сама. Ну не совсем сама - я много рыпался, но идентифицировать причину подмены равно как и "лекарство" я так и не смог.

P.S. А что там про мой карантин слышно? Зловредина али нет?

[PavelA]

KCFG32.CPL_

Вредоносный код в файле не обнаружен.

[rodocop]

Ну что ж, будем считать, что пролечился успешно. Тем более, что природа "подмены Виндов", похоже, не вирусного свойства.

Спасибо большое хелперам за помощь!

ЗЫ. Я смотрю, уже весь интернет по здешним методикам лечит :-) На всех форумах логи АВЗ :-))) Большой респект автору тулзы! Реальная вещь!

P.S. Дойду до "деньгоеда" какого-нить - скормлю немного денюжки в кошелечек заветный...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены