-
Junior Member
- Вес репутации
- 51
Не запускается Firefox, подозрения на руткит
Предыстория: система WinXP SP2, антивирусник AVG8.5. После лазанья по порносайтам (использовался только Firefox) вместо запуска браузера начал получать окно сообщения Mozilla о неожиданной ошибке и завершении работы.
Что сделано: снесен AVG с чисткой реестра вручную. Свежим CureIt в безопасном режиме полное сканирование системы - завис на проверке одного из файлов в папке закачек (на диске D:\ ), других проблем не найдено. Загрузился с ERD Commander2007, снова полная проверка системы, файл в закачках убит (какой-то троян, "SMS..." в имени).
сразу после этого, из-под ERD вручную очистил все папки Temp и временных файлов IE (IE8 стоит, правда, без обновлений). Поставлен свежий DrWeb, обновлен, настроен файрволл. Несколько раз сносил и ставил Firefox (3.6.9 и 3.5.12) - без выигрыша, симптомы те же. В интернете по этому поводу ничего вразумительного, поэтому продолжил искать заразу.
AVZ и RSIT стартуют и сразу закрываются, что подтверждает подозрения, при том, что у антивирусника отключил всё, что мог.
Сканирование RootkitRevealer и особенно Gmer дало результаты - логи прилагаю.
Почистить реестр вручную из безопасного режима не удалось. Опять воспользоваться ERD? Пожалуйста, помогите.
P.S. - предыдущее обращение за помощью осталось незавершенным - у клиента рухнул системный раздел на винте - физически, "размер 0 байт", поэтому перестановка системы на новом винте. Но всё равно спасибо всем, кто помогал советом!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте avptool.ru, если результат нет - попробуйте ComboFix
-
-
Junior Member
- Вес репутации
- 51
С инструментом от Каспера ничего не вышло - поставиться он поставился, но запускаться отказался, даже с командной строки. ComboFix отработал, лог прилагаю. Ещё анализировал комп утилитой SvchostAnalyzer перед запуском Combofix - показал примерно то же, что и Gmer - есть подозрительный процесс. Прилагаю скриншот
-
По Гмеру -
- Сохраните текст ниже как 1.bat в ту же папку, где находится GMER.exe(GMER) и запустите этот батник(1.bat):
Код:
GMER.exe -del service jyzbgkfwr
GMER.exe -del file "C:\WINDOWS\system32\ussppvet.dll"
GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jyzbgkfwr"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jyzbgkfwr"
GMER.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 51
Батник выполнил, при этом на каждую выполняемую строку выпадало окно сообщения "запрашиваемый модуль не найден", что для ключей реестра, что для файлов.
Правда, перед этим я немного некорректно запустил батник - открыл Gmer, перешел на вкладку cmd и в верхнем окне прописал имя батника, потом кнопка Run. Gmer ругнулся, перезапустил комп, после этого я уже корректно запустил батник просто из папки программы и получил упомянутые сообщения.
Судя по логам - почистилось.Хотя что такое hidserv?
Теперь осталось деинсталлировать каспера и Combofix. Кстати, Rsit и AVZ всё так же себя ведут - стартуют и схлопываются.
-
Junior Member
- Вес репутации
- 51
Сейчас еще делаю сканирование Mbam - нашел 15 объектов, но лог сохранить пока не может - загрузка скакнула до 100 %. Как смогу - вложу
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\33f5f3b8.exe
c:\windows\system32\kpewku.exe
c:\program files\Common Files\jqyrg4inedzz13m
Driver::
stremu
NetSvc::
Folder::
c:\program files\Common Files\cee1f29
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 51
Пришлось всё-таки "врукопашную" через ERD чистить реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметрах userinit и usrinit были прописаны файлы 33f5f3b8.exe и kpewku.exe. Параметр usrinit убил совсем, userinit - почистил от заразы, соответственно убил эти файлы в system32, кроме этого тут же посмотрел, что модифицировалось примерно в дату и время заражения (по аналогии с явной заразой) - убил еще пару файлов с "кракозябрами" в именах.
При первом запуске Mbam - когда не смог сохранить лог - был вычислен троян ".BHO" и указан кусок пути в реестре: HKCR\AppID\{b0ed4726-....
Так вот, в реестре там прописана fhilib.dll - убил этот путь и ещё один ключ реестра, который ссылался на этот раздел. Но остались ещё упоминания про эту .dll Вычистить или оставить?
После перезагрузки Mbam отработал, лог сохранил, прилагаю. То, что в нем указано - уже удалил
Начали нормально стартовать AVZ и RSIT, но на выполнение не запускал.
-
Junior Member
- Вес репутации
- 51
Polword, извиняюсь, не увидел ваш пост, сейчас выполню
-
Junior Member
- Вес репутации
- 51
-
папку c:\program files\Common Files\cee1fc0 удалите вручную
- Удалите ComboFix
что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
И Firefox начал нормально стартовать!! Сейчас деинсталлирую все, что понаставил, посмотрим. Ну и SP3 постараюсь воткнуть.
Добавлено через 2 минуты
Удалил. Большое спасибо за помощь!
Добавлено через 21 минуту
Единственный оставшийся нюанс - система после появления обоев рабочего стола "думает" около 1 минуты, потом появляются все иконки и вроде норм. работает. Видимо, следствие работы Combofix. Посмотрю, что "почикано" - восстановлю, отпишусь
Последний раз редактировалось ujin07; 16.09.2010 в 16:13.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
В общем итого: проблема решилась, всё работает.
Замечания - после работы ComboFix - система как решето - оч. многие службы не работают. Причем у меня не создался каталог Qoobox с перемещенными объектами (или удалился при деинсталляции и зачистке?)
Пришлось с CD-диска делать восстановление Винды и немного покопаться с восстановлением разных настроек.
Всем, помогавшим в лечении большое спасибо!
-
Сообщение от
ujin07
у меня не создался каталог Qoobox с перемещенными объектами (или удалился при деинсталляции и зачистке?)
Именно так
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-