С одной стороны, вроде бы заборол за последние сутки всю навалившуюся заразу, да и проактивный подход (спасибо Вашему сайту, ну и своей голове немного) помог обойтись (пока) без особых потерь.
Итак, сначала (2 дня назад) случайно обнаружил на всех логических дисках вирусные autorun.inf и файлы типа *:\resycled\boot.com
Авторан, к счастью, не так давно весь отключил по здешнему совету, да и IE не пользую, так что всякая тварь, которую мне сие должно было накачать, не приползла (что и как должно было произойти, вычитал в одной из вирусных энциклопедий), да и сам вирь не запускался и не множился.
Удалил, отправил ДрВебу файл (его быстро включили в базу).
На следующий день (т.е. вчера) вечером обнаружил удивительную вещь: грохнулись все постоянные ярлыки из меню Пуск (те, которые туда добавляешь сам). Я насторожился, благо только что поборол зловреда. И тут вспомнил, что почему-то стали неактивными в меню Spider'a Вебовского (я абонент Корбины, и у нее с ДрВебом соглашение, так что антивир законный и постоянно обновляющийся автоматом) пункты "настройки файлового монитора" и "файловый монитор". Выяснилось, что служба Спайдера не стартует, несмотря на наличие в автозагрузке. Попытался запустить АВЗ, но и это не вышло. Короче, я все понял: поймал гада.
И началось.
Но сначала маленькое лирическое отступление: вообще-то, как всегда, виноват сам - отключил фоновое сканирование Спайдером сам (довольно давно), плюс сдуру отключил вход в систему с паролем (буквально накануне). К тому же, в начале декабря подключил резервную выделенную линию (Авангард ADSL), а в настройках забыл отключить NetBIOS через TCP/IP. Ну и накачал всякого в последние дни, конечно, впрочем, это-то дело привычное
Короче, запустил OSAM (хвала Virusinfo!) и обнаружил два скрытых ключа в реестре для запуска сервиса msqpdxmhctofxb.sys и файла mssmbios.exe.
Обоих отключил OSAM'ой моим Бен Ладеном, после чего первого вычистил AVG AntiRootkit'ом (msqpdxmhctofxb.sys и msqpdxmhctofxb.dll), а mssmbios.exe мочил долго и упорно, вычищая оставленные им в реестре следы вручную (узнал здесь), после чего - уже позже, в safemode - обнаружил его в Диспетчере оборудования и там тоже убил (по-моему, как-то вычистил и сам файл, но уже не помню точно). После OSAMa и AVG стали запускаться Spider Guard и AVZ.
AVZ обнаружил кучу всего "интересного", часть которого я знал и не дергался, но и нового было немало.
Почему-то оказался открытым сам собой авторан с CD (я, конечно, мог забыть его отключить, но вряд ли), обнаружились множественные перехваты advapi32.dll.
Ну дальше я провел всю "Помогите"-процедуру, для чего сначала ушел в safemode, где прогнал свежескачанный AVP VRTool (этот обнаружил энное количество троянов в давно лежащих на диске упакованных файлах, что вполне понятно и ожидаемо, плюс убил файлmsqpdxmhctofxb.dl_, которого до него никто не видел), затем - сканер ДрВеба (еще кой-чего старенького по мелочи :-), потом вернулся в нормальный режим и собрал логи.
Собственно, их и высылаю с одним главным вопросом - вирусны ли перехваты advapi32.dll.
Ну и остальное посмотрите плиз.
Простите, что длинно, но надеюсь моя история и полученные мной уроки кому-то когда-нибудь помогут.
ЗЫ. До сих пор со всеми вирями справлялся сам
_____________***_______________
ЗЗЫ. Да, забыл сказать, что в настройке подключения к Авангарду в процессе лечения обнаружился прописанным некий левый DNS-server, про который AVZ (вроде бы) сказала, что "похож на троянский". Был вручную удален переведением в режим "Получать автоматически".
При этом никаких проблем с интернетом и прочей зловредной активности, кроме указанной, не обнаружилось. Жить ничто не мешало, даже отсутствие запуска монитора Спайдеровского.
Разве что, судя по AnVir'у, почти все запущенные процессы начинали забирать на себя по 20 метров памяти (у меня стоит настройка автоматом освобождать память, если процесс ест больше 20Мб), чего не наблюдалось ранее и не наблюдается сейчас - после проведенных мероприятий. Впрочем, и тогда сие явление "на ощупь" никак не ощущалось - никакого дополнительного торможения...
И еще - в качестве файрволла стоит Ghostwall, не позволяющий управлять доступом в Сеть на уровне приложений, так что кто куда ломился я не знаю, да особо и не нужно оно было раньше... Придется задуматься о переходе на что-нибудь более навороченное и тяжелое типа Comodo, наверное... А так не хочется...
Последний раз редактировалось rodocop; 14.12.2008 в 21:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Заодно возник вот какой вопрос: может, это связано с данной инфекцией, а может нет, но вдруг кто-то подскажет - система (WinXP SP2) вдруг стала определяться как windows 2000.
Сначала это проскочило на каком-то сайте, который может показывать инфу о системе, useragent'e и так далее. Я особого внимания этому не придал, но сегодня отказалась устанавливаться ХИПСа - Real-Time Defender Pro, мотивируя это тем, что
The setup program only can run under Windows 2000 SP4/XP SP1, SP2/2003/2003 SP1
При этом в Сведениях о Системе красуется Win XP SP2, як и було :-)
Может, кто знает, как сие исправить?
Последний раз редактировалось rodocop; 16.12.2008 в 01:00.
hijackthis.log - это со всеми отключенными вручную резидентами
hijackthis1.log - это сразу после загрузки системы.
P.S. MyProxy, который был в прошлых отчетах, я сам ставил и сам же отключил (надоел он мне)
_______________***_________________
Лично меня в этих отчетах напрягло только появление левого DNS (85.255.116.34;85.255.112.231), однако в реальных настройках сетевых соединений (у меня 2 провайдера) он не появляется...
Последний раз редактировалось rodocop; 16.12.2008 в 12:56.
AVZ-RK Kernel Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
- это нормальный драйвер от AVZ.
Это-то понятно. Непонятно, почему он одновременно "запущен" и "остановлен"
Добавлено через 3 часа 49 минут
Спешу сообщить, что проблема с "подменой" версии ОС каким-то образом решилась сама. Ну не совсем сама - я много рыпался, но идентифицировать причину подмены равно как и "лекарство" я так и не смог.
P.S. А что там про мой карантин слышно? Зловредина али нет?
Последний раз редактировалось rodocop; 17.12.2008 в 16:44.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: