-
Junior Member
- Вес репутации
- 50
Обнаружен Bubnix-j, заблокированы taskbar, звук и антивирусы
Проблема такова:
Система под управлением WinXP SP3 с защитой 'Avast! Free' и 'Agnitum Outpost Firewall', пользуясь браузером Opera заблокировал баннер на одном сайте, после чего Avast поднял тревогу (около полусотни угроз). Сразу после перезагрузки перестала работать Панель Задач, комбинации клавиш на вызов Диспетчера задач, отпал звук в системе, Outpost не мог запустить свои службы, а в Avast'е отключились экраны файловой системы и WEB'а, постоянно ломилось в интернет какое-то приложение. Провёл полное исследование системы Avast'ом - выявил около 20 инфицированных файлов (драйверы и один исполнимый), был обнаружен Bubnix-j, активный руткит, после лечения ситуация не поменялась. Отключил Восстановление Системы. Провёл сканирование DrWEB-CureIt и Kaspersky Virus Removal Tool в безопасном режиме - угроз не выявлено.
Прошу помощи, логи вложены.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
Скрипты выполнены, вложил лог в пост.
Высылаю запрошенный карантин.
-
В безопасном режиме:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Возникла проблема с повторным сбором логов после выполнения первого скрипта - полностью отключить антивирусы не удалось, Avast при отключении всех экранов повис, Outpost представлялось возможным выгрузить только через элементы управления в Трее - Трэй (System Tray) не работает; кнопка power на системном блоке не завершает работы системы как раньше. Все предыдушие проблемы остались.
Всё же прикрепляю логи в надежде на вашу помощь.
-
Последний раз редактировалось Никита Соловьев; 06.09.2010 в 21:52.
Причина: не мой день
-
-
Junior Member
- Вес репутации
- 50
Выполнил скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Олег\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Логи вложены.
Карантин выслал и получил сообщение "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
-
Удалите в МВАМ:
Код:
C:\Documents and Settings\Олег\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Удалил через MBAM.
Проблема из первого сообщения осталась целиком.
Добавилось вот что:
- заблокированно переключение раскладки клавиатуры;
- периодически зависают браузеры Opera и IE, окна проводника;
- о подключении к инету ни какого уведомления, в папке сетевых подключений изменения отображаются только после принудительного обновления;
- трэй не работает;
- наведеный курсор на панель задач показывает - занят (песочные часы);
- сочетания клавиш CTRL+ALT+DEL, CTRL+ALT+ESC не работают;
- всё вышеперечисленное включая симптомы из первого сообщения проявляется *в первые 20 минут* после запуска компьютера и входа в пользователь;
+ скорость инета упала очень сильно (это проявляется постоянно и только на заражённом компьютере);
Прикладываю логи.
Посоветуете чем ещё провериться?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Проблема осталась.
Во время проверки с помощью ComboFix крэшанулись с запросом отправить отчёт для майкрософт программы под названием "PEV.exe" и "PEV.cffxe".
Последний раз редактировалось OlegF; 09.09.2010 в 17:16.
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Восстановил sfcfiles.dll, проблема осталась
-
-
-
Junior Member
- Вес репутации
- 50
Время повисания сократилось до 7-ми минут. Обычно первое запущенное приложение виснет на неопределённый срок - будь то браузер, проводник, paint или даже AVZ.
После выполнения скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и перезагрузки компьютера, в местоположении "Мой Компьютер" появился значок "Web Folders".
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
Это уберёт веб-папки. Вредоносного ПО не наблюдаю.
-
-
Junior Member
- Вес репутации
- 50
Веб паки убраны;
Всё таки таскбар блокируется в начале сеанса (примерно 7-10 минут после запуска) и сочетания клавиш на вызов системных функций не работают. Заметна какая-то активность в эти 7 минут - жёсткий диск производит операции (диод сигналит), и медленно, с задержкой открываются программы и окна проводника. По прошествии этого времени система обрабатывает последовательно все нажатия клавиш, щелчки курсором по таскбару, открывает диспетчер задач например и т.д. От подключения к интернету (вплоть до выдернутого из сетевухи кабеля) это не зависит, надеялся на проблемы с антивирусами - удалил и Outpost и Avast - проблема осталась. Скачал OTC с ссылки на форуме, запустил чистку - не подействовало. В чём может быть проблема я не представляю, по этому спрашиваю у вас помощи как с этим справиться...
-
Дефрагментацию давно делали?
-
-
Junior Member
- Вес репутации
- 50
После деврагментации пропала проблема с таскбаром. Диспетчер Задач, Панель Управления и тд всё ещё не открываются в первые 7 минут после загрузки
-
Почистите временные файлы с помощью CCleaner или дургой программы
-