ылнпкфииук(в др. раскладке) - вырубает браузер 0_0

[Sality]

Много разных глюков/вирусов повидал, но такое..впервые
Примерн неделю назад вырубило браузер Опера при запросе к какому-то сайту, после чего запускаться с теми же вкладками Опера не хотела - отключалась на 3-4 сек загрузки. Пришлось запустить со стартовой страницы (с одной пустой вкладки), какая именно вкладка вызывала такое поведение я так и не понял, так как их было много.
История повторилась и в этот раз я засёк нарушителя :-) Ввожу в яндексе ылнпкфииук (др. раскладка) и всё, Опера мгновенно отрубается. Ну, думаю, глюк Оперы, хороший браузер, но недостатки есть...Попробовал Firefox - тоже самое! InternetExplorer - продержался чуть больше, но при переходе на страницу ылнпкфииукюсщь вырубился. Захожу сюда на virusinfo.info, ввожу в поиске это самое ылнпкфииук - опять вырубился (браузер)!! Даж downloadmaster вырубается при вводе ссылки с этого сайта. Через анонимайзер удалось продержаться на вышеуказанном сайте 2-3мин, но при попытке скачивания программы - вырубает
Вот не знаю, что и думать.
Логи прилагаю

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\StaffLogger\sysdrvmon.exe','');
 DeleteService('abp470n5');
 QuarantineFile('O:\WINDOWS\system32\drivers\msenhn.sys','');
 DeleteFile('O:\WINDOWS\system32\drivers\msenhn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Какие из этих ай пи ваши?
217.106.208.2, 195.161.106.2
195.161.106.2 62.182.207.245
Что такое Bonjour Service и как его удалить. http://virusinfo.info/showthread.php?t=27923

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Sality]

Скрипты выполнил и карантин послал. Касаемо Bonjour Service:

Как видно, ничего опасного нет.

А как это отразится на iTunes, насколько я знаю именно эта программа устанавливает данный сервис?

Какие из этих ай пи ваши?
217.106.208.2, 195.161.106.2
195.161.106.2 62.182.207.245

217.106.208.2 и 195.161.106.2 - это DNS-адреса прописанные в свойствах подключения вручную, а 62.182.207.245 - это IP провайдера вроде.
Новые логи сделал.

[миднайт]

Посмотрите, есть ли файл на диске? D:\StaffLogger\sysdrvmon.exe, если есть попробуйте скопировать его с помощью AVZ(приложение 2) и прислать по правилам, если не получится, то скопируйте файл с помощью IceSword

[Sality]

sysdrvmon.exe найти не удалось и папки такой на диске D:\ нет
Но симптомы пропали, теперь могу вводить skygrabber.com в любом браузере без проблем, спасибо!
Остался вопрос: Что это было то?!?

[миднайт]

Судя по всему остатки от вируса идентичного вашему нику Sality или win32.sector. Файлы в карантин не попали.

[Sality]

А почему он блочил этот сайт? Было бы понятно, если бы блочились сайты антивиров (как с sality), но skygrabber.com? Услышав в новостях, что прога с этого сайта позволяет взламывать американские беспилотники и "граббить" изображения с них, я уж подумал, что это такая "цензура спецслужб"
Ну и напоследок такой вопрос: после перезагрузки компьютера перестаёт работать подключение к интернету: пинг есть, жму подключить - подключает, на секунду появляется иконка подключения в трее и сразу вырубается - поведение такое же, как если бы кто-нибудь сидел в интернете с моего логин/пароля. Примерно через 20-30 минут нормально подключается. Может ли это быть связано с вирусом и его остатками или мне обратиться к провайдеру?

[миднайт]

Сделайте лог MBAM

[Sality]

Сделано

[PavelA]

вот эти файлы пришлите через карантин AVZ:
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\lvds.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ns2501.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ns387.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\sii164.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\softpd.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\th164.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ti410.sys (Rootkit.Rustock) -> No action taken.

[Sality]

Готово (правд sii164.sys почему-то в карантит лезть не хочет):
Файл сохранён как 091223_130713_virus_4b31ebd1e42a6.zip
Размер файла 21667
MD5 4c3b9eab90dbf77f003f511af54eb9c6

Это файлы из образа винды от филка.ру
Но, вроде бы, я последний раз не с этого образа винду ставил.

[миднайт]

Удалите в мбам:

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

В AVZ выполните скрипт:

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('O:\System Volume Information\_restore{FA03BBB3-600F-444E-BF13-A07DB471BA62}\RP166\A0051131.exe','');
QuarantineFile('D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins\Empty Key.dll','');
QuarantineFile('D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins\SlySoft.dll','');
end.

пришлите карантин согласно правил.

[Sality]

Удалите в мбам
В AVZ выполните скрипт
пришлите карантин согласно правил.

Сделано:
Файл сохранён как 091223_184631_virus_4b323b57e0c72.zip
Размер файла 39823
MD5 82ed54d799ba00f093fef4bf4bfee46e

[миднайт]

Файлы из папки D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins не попали в карантин, посмотрите есть ли они на диске? Если есть, пришите по правилам.
Выполните скрипт:

Код:

begin
SetAVZPMStatus(true);
end.

логи повторите.

[Sality]

Файлы из папки D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins не попали в карантин, посмотрите есть ли они на диске? Если есть, пришите по правилам.
Выполните скрипт:

Файл сохранён как 091224_215538_virus_4b33b92a67e36.zip
Размер файла 14982
MD5 bc3966b2913fee659a34e1232f9c43e7testtesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttest

Странно, в последнее время появился этот глюк (см.выше) - куча надписей test вставляются в место нахождения курсора (подозреваю keyswitcher, но я его не трогал, а раньше он так не глючил вроде).
Карантин через авз создать не удалось, просто заархивил эти файлы вручную и послал (пароль:virus).


Логи готовы.

[миднайт]

testtesttest - это не глюк, это специфика работы AVZ при сканировании.

В hijackthis пофиксите:

Код:

O4 - HKCU\..\Run: [StaffLogger] D:\StaffLogger\sysdrvmon.exe

В AVZ выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('D:\StaffLogger\sysdrvmon.exe','');
 DeleteFile('D:\StaffLogger\sysdrvmon.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','StaffLogger');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

если в карантин чтото попадет, пришлите по правилам.
+ в дополнение сделайте лог Gmer

[Sality]

если в карантин чтото попадет, пришлите по правилам.
+ в дополнение сделайте лог Gmer

Отсутствовал пару дней по техн.причинам (сгорел блок питания компа). Всё сделал. В карантине пусто. Лог Gmer прилагаю.

[Sality]

Ничего, если я чуток Up-ну тему? )

[миднайт]

Конечно ничего
Полный комплект логов приложите. Незабудьте выполнить снова правила (некоторое время всёже прошло)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены