Стоял НОД32 - пропустил какую-то заразу (причем, видать, не одну)...
Симптомы следующие:
1. Сначала НОД что-то засек и даже начал блокировать - в названиях обнаруженной заразы фигурировали абревиатуры "VBN" и "Jolee"...
2. После перезагрузки система (XP SP2 Rus) вроде грузится в нормальном режиме - начинают загружаться в трей программки, но вместе с ними туда заскакивает желто-черно-коричневый щит, именюющий себя "System Security 2009", после чего загрузка всего остального прекращается, а ранее загруженное в трей выгружается... Затем фон сменяется на синий с мелкими серыми нулями и единицами и кучей крупных красных (Warning your`re in danger! Your computer is infected with spyware! Secure yourself right now! Remove all spyware from your PC!) и белых надписей...
3. Затем ЭТО запускает как-бы свое "антивирусное" диалоговое окно и начинает "сканировать" систему и даже что-то "находит", после чего предлагает установить свое антивирусное ПО - естессно посылается (сетевой кабель предусмотрительно выдернут)...
4. При этом практически ничего не возможно загрузить (из программ, сайты не пробовал)...
Как пытался лечить:
1. Пытался лечить CureIt-том последним, загрузившись с другой системы - он понаходил всякого-разного и даже вылечил (в названии обнаруженного вируса окончание было следующее (без кавычек) "Win32.Virut.56"... Сразу удалил все из карантина и корзины, а также повторно проверил папки с точками восстановления системы...
2. После перезагруза и попытки войти из-под зараженной системы - та же фигня на экране;
3. Запустил уже здесь CureIt (в надежде на очистку заразы, сидящей в памяти) - НИЧЕГО не находит (ни в памяти ни на дисках) - типа расслабься, все в порядке При этом в лоб не получается сделать статистику - загрузка всех прог блокируется: жму на исполнение - секундная задумчивость (или открытие консольного окна cureit-scan.bat, или первой страницы лицензионного соглашения хайджека) - и ничего не происходит либо само закрывается окно...
Были предприняты следующие обходные маневры:
1. Провел проверку последним LiveCD от Dr.Web - на второй "системе" (F) найдено несколько Win32.Virut.56 (в папке WINDOWS - все излечены) и один Win32.HLLW.Autoruner.6013 (SYSTEM VOLUME INFORMATION - удален)... При этом "зараженный" диск (C) по мнению Доктора - девственно чист...
2. После этого был запущен KAV Rescue Disc - проверялись только 2 "системных" логических диска и папки Recycled и SVI на всех остальных дисках - иначе такими темпами неделю бы проверял (хотя оперативки 2 Гига, проц Core2Duo и винты весьма шустрые - правда все настройки проверки на максимуме)):
а) c:\Documents and Settings\All Users\Документы\lnyxkk.exe - найден Trojan.Win32.Autoit.xp (лечение не возможно - я его удалил);
б) с:\windows\system32\tpszxyd.sys - найден Trojan.Win32.Agent.bvzv (лечение не возможно - я его удалил);
в) f:\SYSTEM VOLUME INFORMATION\_restore\...\RP130\A0026597.exe - найден Trojan.Win32.ConnectionServices.e (лечение не возможно - я его удалил);
г) f:\SYSTEM VOLUME INFORMATION\_restore\...\RP130\A0026595.exe - найден Trojan.Win32.ConnectionServices.e (лечение не возможно - я его удалил);
д) немного потенциально-опасного, вроде RAdmina, и рекламного (например, у Daemon Tools) - но это ожидаемо и в расчет не берется...
Кроме того, меня лично смутило то, что в одной папке с п.а) и в корне нескольких дисков лежит некий исполняемый файл kns нулевого размера и вроде без расширения (иконка похожа на шестеренку) - что это и не прибить ли его от греха?
Что было сделано дальше:
0. Сеть отключена напрочь - вытащил кабель;
1. Прибил а)-г);
2. Прибил часть д)
3. Прошерстил реестр BRD Commander-ом - удалил все связанное с "System Security 2009" - исполняемый файл C:\Documents and Settings\All Users\Application Data\12392814\12392814.exe - все из этой директории я сохранил - надо? куда направить и как обозвать архив?
4. Проглядел автозапуск - вроде ничего подозрительного;
5. Почистил Temp-ы, SVI и Корзины на всех дисках - правда, видать, не все;
6. Загрузился с "зараженного" диска - все загрузилось и "System Security 2009" не появился, хотя сеть не работает напрочь (пишет что-то про отсутвие сетевых протоколов - видать вирь покоцал - как включить обратно?) и в процессе дальнейших действий НОД32 нашел пару файлов и вроде как вылечил с какой-то заразой, в названии которых опять фигурировала абревиатура VBN...
7. Поставил 3 патча от Дяди Билла, закрывающие дыры и которые все здесь советуют поставить;
8. Запустил cureit-scan.bat - ничего не найдено, лог прилагаю (cureit-results.cab);
9. Запустил Хайджека - лог прилагаю (hijackthis.rar);
10. Запустил RKU - лог прилагаю (RKU_Report.rar);
11. Запустил GMER - лог прилагаю (gmer.rar);
12.Отключил восстановление системы;
13. Запустил AVZ - был найден Trojan.Win32.Koblu.to и помещен на карантин (файл virusinfo_cure.zip Вам нужен?) лог в нормальном виде (virusinfo_syscure.zip), почему-то, автоматически не получился - поэтому прилагаю сохраненный в ручную лог (avz_log.rar)... Лог с подключением к сети Интернет (virusinfo_syscheck.zip) также не получилось сделать, т.к. сетевые протоколы не работают (хоть я и воткнул для этого теста сетевой кабель обратно);
14. Перегрузился в безопасном режиме и запустил Kaspersky Virus Removal Tool - автоматическое удаление вирусов (проверял память и диск С)... Было найдено и прибито следующее:
а) Trojan.Win32.Koblu.to;
б) Trojan-Downloader.Win32.DlfBfkg.fn;
в) Trojan-Clicker.HTML.IFrame.ahj;
г) Trojan.Win32.Vapsup.umv;
д) Trojan.Win32.VBimay.bs;
е) Trojan.Win32.Qhost.lsd;
ж) Trojan.Win32.VBimay.bl - полный лог прилагаю (kav1.rar)... После этого прибил все в "резервное хранилище";
15. Kaspersky Virus Removal Tool - ручное лечение - логи прилагаю (avptool_syscheck.zip - весьма похож на AVZ-шный лог и название такое же);
16. Щас Kaspersky Virus Removal Tool - автоматическое удаление вирусов - проверяет все диски (проверил уже память и диск С - ничего подозрительного не нашел, на других что-то нашел, но это со слов домочадцев, оставшихся дома) - завтра проинформирую о результатах...
Собсно что это было и убито ли окончательно (с учетом лечения в п.15)?
С учетом знакомости всех лиц и однотипности первоначальных советов мне, видимо, следует пофиксить хайджеком, проверить АВЗ и хайджеком и выложить новые логи?
Последний раз редактировалось Rene-gad; 13.07.2009 в 17:57.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закончил сканирование (с дуру KAV RemovalTool проверил все 2 раза - по второму проходу ничего уже не нашел, т.к. я все найденное прибил в процессе или вылечил) - найдено было следующее:
1. удалено: троянская программа Trojan-GameThief.Win32.Lmir.ceu Файл: D:\Flash\Good soft\Drive_Data_Recovery_v2.0.1.5\pendrivedatareco very.exe;
2. удалено: троянская программа Trojan-Dropper.Win32.NeodurkJoiner.j Файл: D:\Old Vint\ARCH\SOFT\Graphics\Picture to Ico v.1.88 Setup.exe//data0003//ASPack
3. удалено: троянская программа Trojan.Win32.Vapsup.umv Файл: D:\Новые проги\NSIS\NOD32view4_04.exe//file5
4. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: F:\Program Files\Windows Sidebar\Gadgets\Shutdown-Reboot.gadget\shutdown-reboot.html
5. удалено: троянская программа Trojan.Win32.Qhost.lsc Файл: F:\WINDOWS\system32\drivers\etc\hosts
6. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Harry Potter\Орден Феникса\Support\European Help Files\EA_Help_Select.htm
7. вылечено: вирус Virus.Win32.Virut.ce Файл: G:\Games\pg3dSE\PG3Play.exe
8. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\readme.html
9. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\readme_patch_12.html
10. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\Manual\index.html
11. удалено: троянская программа Trojan.Win32.KillWin.lo Файл: H:\Музыка\setup_embrobox1_3.zip/setup_embrobox_1.3.exe
12. удалено: троянская программа Trojan-Dropper.Win32.NeodurkJoiner.j Файл: O:\f\ARCH\SOFT\Graphics\Picture to Ico v.1.88 Setup.exe//data0003//ASPack
Затем было сделано следующее:
1. Прибито все в папках SVI, Windows\Temp, кэш оперы (предварительно C:\WINDOWS\temp\EvID4226Patch.exe скопировал);
2. Прибил файлы khs (везде, где нашел);
3. Загрузился с "больного" диска в нормальном режиме;
4. Запустил Хайджека - попытался пофиксить предложенные ранее строчки, но кнопка фикс не подсвечивается после скана (в процессе скана подсвечивается, но делать ничего невозможно - тормозит). Как быть?
5. Сделал лог Хайджеком - прилагаю (hijackthis.rar);
6. Сделал логи полиморфным AVZ - прилагаю, но напоминаю, что сеть пропала напрочь по неясным мне причинам - жду советов по восстановлению (virusinfo_syscheck.zip, virusinfo_syscure.zip, еще создал virusinfo_cure.zip размером 22 байта, но внутри ничего нет - нужен?);
7. Файла C:\WINDOWS\TEMP\234515427mxx.dll на диске не обнаружил;
8. Проверил ВирусТоталом следующие файлы (они были в раровских архивах):
а) EvID4226Patch.exe - 11/41 (http://www.virustotal.com/ru/analisi...e9e-1247329506) - этот файл я прибил в п.1;
б) tmp2D.tmp - 0/41 (http://www.virustotal.com/ru/analisi...a-1247329743);
в) tmp4B.tmp - 0/39 (http://www.virustotal.com/ru/analisi...e-1247329895);
г) wul.exe - 2/41 - ИМХО фигня (http://www.virustotal.com/ru/analisi...f01-1247330253).
9. Запустил КК последний - все по нулям (Kido нигде не найден).
Что дальше и как решить следующие проблемы:
1. Невозможность пофиксить Хайджеком;
2. Напрочь мертвая сеть во всех ее проявлениях...
ЗЫ. Выяснил из журнала НОД32, какую дрянь он находил в разгар эпидемии в хронологическом порядке (с разницей в несколько минут): червь Win32/Joleee.NF, вирус Win32/Virut.NBP, троянская программа Win32/SpamTool.Agent.NAJ... Всю найденную дрянь НОД32 помещал в карантин - я его щас прибил, т.к. в этих файлах зараза содержалась, но не детектилась прочими антивирусами...
Пофиксил - прикладываю лог Хайджека после фиксинга...
за 3 дня от вас ни одного ответа по делу не получено...
Важное замечание
Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Уважаемый(ая) BlackNinja, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: