-
Junior Member
- Вес репутации
- 54
Помогите: скрытые и неистребимые вирусы или кривые руки?
Доброе время суток,
несколько слов о системе: WinXP SP3, стоят avast! и Spyware Terminator
Был странный вирус, который создавал в папке windows\system32\ различные файлы типа XX.scr (скринсэйверы), где ХХ - произвольные цифры.
Аваст эти файлы удалял только при загрузочной проверке (логи есть), Терминатор ругался, когда они пытались запуститься. Проверил комп при помощи avz4 - он определил как вирусы примерно половину из них и поместил в карантин. Проверил в безопасном режиме при помощи AVPTool - он определил как вирусы и удалил все оставшиеся файлы XX.scr.
Одновременно с этим Аваст периодически удаляет странные файлы, находящиеся по пути Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5, AVPTool так же удалил несколько файлов по тому же пути.
После этого я вновь проверил систему при помощи avz4 и HiJack, никаких особых нареканий не получил (логи сохранились) и успокоился.
Как оказалось - зря. Спустя примерно неделю после прекрасной работы системы однажды утром отказался работать интернет (непрерывный беспарольный доступ по схеме коаксил-модем-USB). После длительных проверок и разбирательств оказалось, что в диспетчере устройств у меня продублирован и модем, и встроенная в материнку сетевая плата, вызывающая конфликт оборудования. При попытке удалить дубликат выдавалось сообщение из серии "невозможно: оборудование необходимо для загрузки!".
В итоге сегодня был отформатирован жёсткий диск и переустановлен WinXP, плюс некоторые программы, включая Office, Torrent, FireFox и avast!
Однако, почти сразу же после загрузки и обновления баз Аваст! произошло ровно то же самое: дублирование модема и исчезновение интернета.
При этом аваст сразу же предложил отправить в карантин четыре странных файла:
"C:\WINDOWS\System32\Drivers\bcsjcmmb.sys"
"C:\WINDOWS\system32\drivers\ndisvvan.sys"
"C:\Documents and Settings\Admin\kpfm.exe"
"C:\WINDOWS\System32\Drivers\lmdzwast.sys"
При проверке avz4 (логи приложены) так же определил kpfm.exe как вирус, плюс ему не понравились следующие процессы:
C:\WINDOWS\iexplorer7.exe
C:\WINDOWS\system32\ctfmon.exe
Плюс то, что беспокоит меня больше всего -
>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe"
Подмена диспетчера задач
причём этот странный файл из корзины не удаляется никакими известными мне способами
Собственно, вопрос: что же это такое, и что с этим делать?
Win ставился на свежеотформатированный Acronis-ом диск, причём та же копия операционки без нареканий работает на нескольких других компьютерах.
Последний раз редактировалось Simbaka; 23.09.2009 в 23:53.
Причина: добавлен лог
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\admin\kpfm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lmdzwast.sys','');
DeleteService('lmdzwast');
QuarantineFile('C:\WINDOWS\System32\Drivers\bcsjcmmb.sys','');
DeleteService('bcsjcmmb');
TerminateProcessByName('c:\windows\iexplorer7.exe');
QuarantineFile('c:\windows\iexplorer7.exe','');
DeleteFile('c:\windows\iexplorer7.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bcsjcmmb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lmdzwast.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\documents and settings\admin\kpfm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Файлы типа файлы типа XX.scr (если найдутся), удалите вручную
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Карантин отправлен, в папке windows\system32\ два свежих файла - 00.scr и 74.scr, удалены вручную.
при проверке подозрения у avz4 вызывают те же оставшиеся процессы -
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\iexplorer7.exe
Последний раз редактировалось Simbaka; 24.09.2009 в 00:34.
Причина: прикреплены логи
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\RECYCLER\S-1-5-21-7340059250-9414462033-472810202-6730\mwau.exe');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\229.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\229.exe');
QuarantineFile('c:\windows\system32\winpsvc.exe','');
TerminateProcessByName('c:\windows\iexplorer7.exe');
DeleteFile('c:\windows\iexplorer7.exe');
DeleteFile('c:\windows\system32\winpsvc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
карантин выслал, логи приложены
avz ругается на
C:\WINDOWS\innounp.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
и на
C:\WINDOWS\system32\ctfmon.exe
второй вряд ли вирус - размер файла 30208 Кб, находится в "правильном" месте, предоставляемая им функция запланирована и работает.
Последний раз редактировалось Simbaka; 24.09.2009 в 01:14.
Причина: добавлены логи
-
Junior Member
- Вес репутации
- 54
Только что попытался удалить реальную, не созданную вирусом fake-сетевую плату, аваст! сразу сказал:
Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\DRIVERS\ndisvvan.sys
отправил файл в карантин, удалилась и настоящая, и fake-сетевая плата
то же самое произошло с кабельным модемом (удалился настоящий и fake), модем получилось переустановить заново
в диспетчере устройств осталось только непонятное
Минипорт WAN (IP)
как я понимаю, это третий файл из папки /drivers, указанный в первом посте
как "вылечить" диспетчер задач - сделать так, чтобы он показывал только два реальных устройства, сетевую плату и кабельный модем? Как удалить фальшивую вторую сетевую, фальшивый второй модем (отмечены жёлтым восклицательным знаком и сообщают, что им не нужны драйвера) и этот непонятный минипорт?
-
Junior Member
- Вес репутации
- 54
И ещё два момента:
Сетевой экран аваст! стал блокировать сетевые атаки DCCOM-exploit - к сожалению, пока не записал, с какого адреса, но за три часа уже раз 5 подобное было
И другое - svchost.exe стала выдавать неизвестную ошибку, скрин - в приложенном файле
При нажатии на кнопку "Ок" Windows "подвисает" в области панели задач и начинает жутко тормозить, при нажатии на "Отмена" всё возвращается к работе.
Печально то, что всё это на недавно переустановленной с чистого винта Винде...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\kpfm.exe - Trojan.Win32.Agent.cwsg ( DrWEB: Trojan.Packed.154, BitDefender: Trojan.Generic.2421994, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\recycler\s-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe - Trojan.Win32.Inject.ajfn ( DrWEB: Trojan.Packed.154, BitDefender: Worm.Generic.89330, NOD32: Win32/Peerfrag.DY worm, AVAST4: Win32:Trojan-gen )
- c:\windows\iexplorer7.exe - Trojan.Win32.Buzus.camn ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2477453 )
- c:\windows\system32\drivers\bcsjcmmb.sys - Rootkit.Win32.Pakes.tx ( DrWEB: Trojan.NtRootKit.2682, BitDefender: Backdoor.Rootkit.X, NOD32: Win32/Agent.NWF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\lmdzwast.sys - Rootkit.Win32.Pakes.tx ( DrWEB: Trojan.NtRootKit.2682, BitDefender: Backdoor.Rootkit.X, NOD32: Win32/Agent.NWF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\winpsvc.exe - Trojan.Win32.Refroso.kqt ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Application.Generic.233959, NOD32: Win32/Agent.QDP trojan, AVAST4: Win32:Refroso-D [Trj] )
-