Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Обнаружен Bubnix-j, заблокированы taskbar, звук и антивирусы (заявка № 87255)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23

    Обнаружен Bubnix-j, заблокированы taskbar, звук и антивирусы

    Проблема такова:
    Система под управлением WinXP SP3 с защитой 'Avast! Free' и 'Agnitum Outpost Firewall', пользуясь браузером Opera заблокировал баннер на одном сайте, после чего Avast поднял тревогу (около полусотни угроз). Сразу после перезагрузки перестала работать Панель Задач, комбинации клавиш на вызов Диспетчера задач, отпал звук в системе, Outpost не мог запустить свои службы, а в Avast'е отключились экраны файловой системы и WEB'а, постоянно ломилось в интернет какое-то приложение. Провёл полное исследование системы Avast'ом - выявил около 20 инфицированных файлов (драйверы и один исполнимый), был обнаружен Bubnix-j, активный руткит, после лечения ситуация не поменялась. Отключил Восстановление Системы. Провёл сканирование DrWEB-CureIt и Kaspersky Virus Removal Tool в безопасном режиме - угроз не выявлено.
    Прошу помощи, логи вложены.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
     QuarantineFile('H:\autorun.inf','');
     DeleteFile('H:\autorun.inf');
     DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');       
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Скрипты выполнены, вложил лог в пост.
    Высылаю запрошенный карантин.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    В безопасном режиме:

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
     DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     DeleteFile('H:\autorun.inf');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи

    Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Возникла проблема с повторным сбором логов после выполнения первого скрипта - полностью отключить антивирусы не удалось, Avast при отключении всех экранов повис, Outpost представлялось возможным выгрузить только через элементы управления в Трее - Трэй (System Tray) не работает; кнопка power на системном блоке не завершает работы системы как раньше. Все предыдушие проблемы остались.
    Всё же прикрепляю логи в надежде на вашу помощь.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Где лог МВАМ?
    Последний раз редактировалось Никита Соловьев; 06.09.2010 в 21:52. Причина: не мой день

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Выполнил скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
     DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     DeleteFile('H:\autorun.inf');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Логи вложены.
    Карантин выслал и получил сообщение "Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Удалите в МВАМ:
    Код:
    C:\Documents and Settings\Олег\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    Что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Удалил через MBAM.
    Проблема из первого сообщения осталась целиком.
    Добавилось вот что:
    - заблокированно переключение раскладки клавиатуры;
    - периодически зависают браузеры Opera и IE, окна проводника;
    - о подключении к инету ни какого уведомления, в папке сетевых подключений изменения отображаются только после принудительного обновления;
    - трэй не работает;
    - наведеный курсор на панель задач показывает - занят (песочные часы);
    - сочетания клавиш CTRL+ALT+DEL, CTRL+ALT+ESC не работают;
    - всё вышеперечисленное включая симптомы из первого сообщения проявляется *в первые 20 минут* после запуска компьютера и входа в пользователь;
    + скорость инета упала очень сильно (это проявляется постоянно и только на заражённом компьютере);

    Прикладываю логи.
    Посоветуете чем ещё провериться?
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Проблема осталась.
    Во время проверки с помощью ComboFix крэшанулись с запросом отправить отчёт для майкрософт программы под названием "PEV.exe" и "PEV.cffxe".
    Вложения Вложения
    Последний раз редактировалось OlegF; 09.09.2010 в 17:16.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Восстановил sfcfiles.dll, проблема осталась

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Сделайте новые логи AVZ

  16. #15
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Время повисания сократилось до 7-ми минут. Обычно первое запущенное приложение виснет на неопределённый срок - будь то браузер, проводник, paint или даже AVZ.
    После выполнения скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и перезагрузки компьютера, в местоположении "Мой Компьютер" появился значок "Web Folders".
    Вложения Вложения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    Это уберёт веб-папки. Вредоносного ПО не наблюдаю.

  18. #17
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    Веб паки убраны;
    Всё таки таскбар блокируется в начале сеанса (примерно 7-10 минут после запуска) и сочетания клавиш на вызов системных функций не работают. Заметна какая-то активность в эти 7 минут - жёсткий диск производит операции (диод сигналит), и медленно, с задержкой открываются программы и окна проводника. По прошествии этого времени система обрабатывает последовательно все нажатия клавиш, щелчки курсором по таскбару, открывает диспетчер задач например и т.д. От подключения к интернету (вплоть до выдернутого из сетевухи кабеля) это не зависит, надеялся на проблемы с антивирусами - удалил и Outpost и Avast - проблема осталась. Скачал OTC с ссылки на форуме, запустил чистку - не подействовало. В чём может быть проблема я не представляю, по этому спрашиваю у вас помощи как с этим справиться...

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Дефрагментацию давно делали?

  20. #19
    Junior Member Репутация
    Регистрация
    05.09.2010
    Сообщений
    15
    Вес репутации
    23
    После деврагментации пропала проблема с таскбаром. Диспетчер Задач, Панель Управления и тд всё ещё не открываются в первые 7 минут после загрузки

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Почистите временные файлы с помощью CCleaner или дургой программы

  • Уважаемый(ая) OlegF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 12
      Последнее сообщение: 26.08.2011, 12:26
    2. Очень долго грузится TaskBar в XP
      От BeerAlex в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 01.09.2010, 13:51
    3. Ответов: 8
      Последнее сообщение: 09.07.2009, 15:26
    4. Заблокированы антивирусы
      От yuramic в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.12.2008, 17:31
    5. slow startup and taskbar problem
      От sameerchoudhary в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 30.11.2008, 21:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01556 seconds with 22 queries