-
Junior Member
- Вес репутации
- 52
Помогите добить вирус
Помогите добить гада, Cureit и AVPTool удалили зараженные файлы и больше ничего не находят, но то ли сам вирус, то ли его последствия ещё сохранились: блокируется страница скачивания cureit, Windows XP чуть дольше обычного грузит процессы после включения, а в результате в трее каждый раз разное количество значков, иногда даже громкость не отображает.
История проблемы.
Вчера после загрузки винда не смогла отобразить картинку фона рабочего стола, вместо неё на белом фоне красовалась надпись "невозможно загрузить Active Desktop" с предложением "восстановить desktop" (кнопка), которое ничем не помогало: вылетала ошибка "операция не может быть применена к данному объекту". В противном случае предлагался совет отключить web-элементы рабочего стола (которых и так нет). Решил убрать проблему самым простым и топорным способом: встроенным откатом системы. Включаю его, а там сюрприз: девственная чистота, все точки восстановления пропали. Понял, что здесь не просто ошибка, а проделки зловреда. Кое-как наладив картинку рабочего стола (поставил стандартные настройки обозревателя) включил Cureit (постоянного антивируса на компьютере нет), который грохнул пару зараженных файлов из системной папки. Но на этом проблемы не закончились. Обнаружились в дальнейшем за вечер следующие проблемы:
1. При загрузке в трее почти всегда разное число значков, процессы грузятся после появления рабочего стола чуть дольше обычного.
2. В system32 остались явно зловредские exe с иконкой "черный квадрат", время создания всех различное, но в день после заражения. Имена в стиле QV4p62G.exe, описание и производитель - рандомный набор латиницы. Cureit и AVRTool не считают их зараженными, вручную удалил десяток этих файлов, 2 оставил "для коллекции" специалистам, могу выслать.
3. Некоторые сайты заблокированы, долгое время даже youtube не работал (в это же время на другом компе, подключенном к тому же маршрутизатору всё нормально открывалось). Потом youtube заработал, но сайты с советами по лечению вирусов, скачкой соответствующего ПО не открывались (в том числе и virusinfo). Открыл блокнотом файл Host, а там комментарий "some shit to block" и куча сайтов по антивирусной тематике с комментариями в стиле "#Kas Smersky#". Всё вручную очистил, оставил только 127.0.0.1 localhost. но и после этого не все сайты открываются, например, я могу зайти на сайт DR WEB, но не могу перейти во вкладку "скачать" download.drweb.com, так что новый cureit я скачал и перенес с другого компа.
4. Нарушение работы IE 8. При первом открытии после загрузки системы окно IE всегда открывалось "неполноценное", без половины панелей и без адресной строки. Далее при новых запусках IE и открытии новых окон тоже часто появлялись "неполноценные окна". Переустановка IE проблему не решила.
В итоге скачал последнюю версию cureit, AVPTool, AVZ, HJT (первый только с другого компа), проверил первыми двумя. Cureit ничего нового не нашел в этот раз, AVPTool удалил несколько зараженных файлов из system32 (Trojan.Win32.Agen.dish, Backdoor.Win32.Bredav.bzy) и аналогичную дрянь из System Volume Information (Trojan.Win32.Agen.dish, Backdoor.Win32.Bredav.bzy, Trojan.Win32.Agen.diro).
После проверок 2мя сканнерами IE заработал без "неполноценных" папок, но зайти на скачивание cureit всё равно не могу. Плюс странная загрузка иконок в трее (см выше). Есть подозрение, что часть вируса не удалена.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
SerzhPiter
вручную удалил десяток этих файлов, 2 оставил "для коллекции" специалистам, могу выслать.
Пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 52
Отправил как полагается архив с двумя этими экземплярами.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O9 - Extra button: 360И¦ - {998A88A0-A355-809B-831C-B83A80000991} - http://new.360quan.com/?afid=18634&lev1=1&ac=XXXX&bc=XXXX (file missing)
O9 - Extra 'Tools' menuitem: 360И¦ - {998A88A0-A355-809B-831C-B83A80000991} - http://new.360quan.com/?afid=18634&lev1=1&ac=XXXX&bc=XXXX (file missing)
O4 - HKLM\..\Run: [13522964] C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe','');
StopService('GPCIDrv');
QuarantineFile('C:\WINDOWS\GPCIDrv.sys','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','13522964');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Выполнил скрипты, карантин отослал. Грузится после запуска Windows теперь быстрее, с треем вроде всё в порядке, но страница загрузки cureit по прежнему не открывается. Прилагаю новые логи.
-
Junior Member
- Вес репутации
- 52
Помогите, плиз, разобраться, что блокирует страницу загрузки cureit. Она по прежнему недоступна.
-
C:\Program Files\PPLive\PPLive.exe - эта программа Вам известна?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Известна. P2P проигрыватель, стоит давно уже.
-
В логах похоже что чисто. Проверим 2 файла. Добавьте в карантин вручную файлы:
C:\WINDOWS\GPCIDrv.sys
C:\WINDOWS\system32\Drivers\GVTDrv.sys
и пришлите их согласно правил.
-
-
Junior Member
- Вес репутации
- 52
-
в командной строке наберите: route print >c:\route.txt
route.txt прикрепите к теме.
-
-
Junior Member
- Вес репутации
- 52
Прикрепляю к сообщению route.
-
- В командной строке наберите: route -f
отпишитесь о проблеме, после
-
-
Junior Member
- Вес репутации
- 52
Сделал, теперь заходит на недоступные до этого страницы, вроде всё OK. Спасибо за помощь!
-
Пожалуйста!!
Вы можете отблагодарить весь проект VirusInfo вот тут.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\qv4p62g.exe - Trojan.Win32.Agent.dkww ( BitDefender: Trojan.Generic.3214917, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\tdfztxz.exe - Trojan.Win32.Agent.dkww ( BitDefender: Trojan.Generic.3214917, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
-