Показано с 1 по 5 из 5.

Возможно масс-заражение системы (заявка № 80235)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2010
    Сообщений
    4
    Вес репутации
    24

    Arrow Возможно масс-заражение системы

    Добрый день. Прошу помочь выявить "заразу" в системе.
    Уже и Windows с форматирование переустанавливал, но
    откуда-то опять эти странные файлы. Сначала думал от
    Microsoft .Net Framework 4.0 [может какой левый попался],
    да нет. Проверил установщик - вроде бы все чисто.

    Установлена система: Windows XP Pro SP3
    Сканировал систему: Антивирус Касперский, AVZ, Spybot S&D,
    CureIT, HijackThis. Все кроме последнего, ничего не нашли!

    Если напрячь память, то вроде после вылазки в интернет,
    начались "симптомы". Но непонятно, откуда! Зашел буквально
    на пару проверенных сайтов, где точно нет заразы [рекламу режет модуль].

    Что меня натолкнуло на мысль:

    Подозрительные, пустые папки [в инете полистал, пишут вроде зараза]:

    C:\WINDOWS\apppatch используется C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\inetsrv используется C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\h323log.txt используется C:\WINDOWS\system32\svchost.exe

    C:\Documents and Settings\Admin\Local Settings\Apps\2.0\OGDMX234.9DA\WDZ9M390.ZP9\manife sts
    C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Portable Devices

    C:\WINDOWS\Temp\msohtmlclip
    C:\WINDOWS\Temp\WPDNSE
    Подозрительная папка, содержит подкаталоги:
    C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache
    C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache\IEG1T3GG\ieonline.microsoft[1]

    Внутри этой папки другие с именами типа HXE97MUZ [внутри каждой desktop.ini и все папки скрытые]
    Вроде как подмена расширения:
    srrstr.dll на самом деле srrstr.exe и так с кучей библиотек в system32
    В ветке реестра HKEY_CLASSES_ROOT подозрительные записи:
    Пример: AutoplayHandler и рядом AutoplayHandler.1 и так со многими!
    такая же история и с некоторыми библиотеками в system32:
    Пример: wuauclt.exe и рядом wuauclt1.exe
    Основные системные файлы заменял [через сторонний лайв-сд],
    результат один, после перезагрузки все по новой появляется.
    Файлов как таковых не нашел, возможно в "памяти" прячется тело.
    Кстати в безопасном режиме чисто. Папки не появляются. Очень,
    возможно, что с драйверами грузится.

    Подскажите, пожалуйста, можно ли что сделать,
    или опять форматировать и все ставить по новой?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,
    Больше ничего плохого
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2010
    Сообщений
    4
    Вес репутации
    24
    Спасибо за оперативность.

    Это то пофиксю [да и фиксил уже]. А написанное
    мною выше ни чем не грозит? Например настройки
    некоторые слетают [вроде различных откл/вкл в пуске,
    даже звуки не дает сменить!]. Что-то в системе есть таки.

    Как бы выявить?

    Добавлено через 1 час 47 минут

    Так что, больше рекомендаций не ждать? То, что
    я описал - это как бы не нормально, для винды.

    Обратился к вам, так как уже 3 дня маюсь с этой проблемой.
    Windows перевешивать не лучший выход [хоть и быстрый]. Много
    софта я ставлю и большая часть по работе. Установка то еще ладно,
    но вот настройка... Каждую программу настраивать - это ужас. А у меня
    еще и спутник стоит, там своих "заморочек" туча.
    Последний раз редактировалось KloneB@DGuY; 05.06.2010 в 19:14. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    05.06.2010
    Сообщений
    4
    Вес репутации
    24
    Дополняю информацию

    Comodo отлавливает доступ System к некому 10.228.80.68 порт 445 и 43227

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2010
    Сообщений
    4
    Вес репутации
    24

    >.<

    Это какой-то кошмар просто! Возился, возился, плюнул - переустановил систему.
    Все вроде бы было хорошо. Но, после того, как я использовал свою утилиту
    [она очищает все области автозагрузки и снимает запреты, запуск диспетчера задач и прочее..].
    появилось окно, мол системные файлы заменены и т.д.. При загрузке, появилось окно, с прогресс-баром,
    мол идет восстановление файлов [а диска та нет в приводе!]. И началалось... Видимо троян уже был в
    системе и следил за этими областями. Раньше я сомневался, троян ли это был, но теперь есть доказательства!

    Постояно system и svchost.exe ломятся на 10.228.139.201/10.228.176.108 порты 135/445

    в msconfig в автозагрузку постоянно прописывается:
    \NTUSER.DAT
    \ntuser.dat.log
    \ntuser/ini


    Наличие папки apppatch в C:\WINDOWS [как уже убедился, первый признак, что трой в активировался]

    Обнаружил файл C:\WINDOWS\wininit.ini такого содержания:
    [rename]
    NUL=C:\WINDOWS\Temp\gert0.dll
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico
    NUL=G:\AutoRun.exe
    NUL=G:\DATACA~5.EXE
    NUL=G:\DATACA~8.EXE
    NUL=G:\RESETD~C.EXE
    NUL=G:\AUTORUN.INF
    NUL=G:\SYSCO~10.DAT
    NUL=G:\Startup.ico


    Я правильно понял, заражение произошло с диска G ?
    Важно очень узнать. Если да, то придется идти,
    ругатся в магазин - ибо это USB-модем от мегафона о_о

    все это, очень похоже на вот этот случай. Мне кажется,
    что очень возможно, что проблема кроется в winlogon.exe.

    Кстати, как выполнил скрипт "Поиск и нейтрализация RootKit..."
    в AVZ, system и svchost.exe перестали ломится в интернет! Но
    только до перезагрузки. Уже начинает паника брать! Систему
    перевесил и все равно заразился! В сети не лазил! Файервол
    и антивирус не отключаю вообще! Стоят на самом высоком уровне!

  • Уважаемый(ая) KloneB@DGuY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Возможно заражение...
      От zonderz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.10.2010, 19:50
    2. Возможно заражение Конфикером
      От eppa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2009, 19:18
    3. Возможно, заражение?
      От 4r0 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.05.2009, 14:14
    4. Возможно ли заражение в таком варианте
      От Sayn в разделе Общая сетевая безопасность
      Ответов: 3
      Последнее сообщение: 18.01.2008, 16:55
    5. Помогите ! возможно заражение.
      От VRV в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.08.2007, 10:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00835 seconds with 20 queries