-
Junior Member
- Вес репутации
- 50
Не запускаются полиморфные антивирусные утилиты, нет доступа к антивирусным сайтам и ресурсам автообновлений., .
Проблема полностью аналогична этой (лог Anvir Task Manager):
Код:
10/08 23:21:37 HiJackThis.cmd 1748 started by TOTALCMD.EXE KHARON\Nosferato E:\avz4\HiJackThis.cmd
10/08 23:21:37 window created by HiJackThis.cmd TrendMicro HijackThis
10/08 23:21:39 HiJackThis.cmd 1748 terminated, CPU 0:00 E:\avz4\HiJackThis.cmd
10/08 23:21:39 avz.exe 4040 started by TOTALCMD.EXE KHARON\Nosferato E:\avz4\avz.exe
10/08 23:21:41 avz.exe 4040 terminated, CPU 0:00 E:\avz4\avz.exe
10/08 23:21:43 mink.pif 2176 started by TOTALCMD.EXE KHARON\Nosferato E:\avz4\mink.pif
10/08 23:21:45 mink.pif 2176 terminated, CPU 0:00 E:\avz4\mink.pif
10/08 23:22:17 startup.exe 2980 started by explorer.exe KHARON\Nosferato E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\startup.exe
10/08 23:22:17 setup_9.0.0.722_08.10.2010_18-35.exe 2680 started by startup.exe KHARON\Nosferato E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\setup_9.0.0.722_08.10.2010_18-35.exe -gui -bl
10/08 23:22:19 startup.exe 2980 terminated, CPU 0:00 E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\startup.exe
10/08 23:22:19 setup_9.0.0.722_08.10.2010_18-35.exe 2680 terminated, CPU 0:00 E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\setup_9.0.0.722_08.10.2010_18-35.exe
Таким образом, выполнить условия запроса помощи не удаётся.
Помимо этого нет доступа к сайтам антивирусного профиля и к сетевым ресурсам, запрашиваемым автообновлениями разнообразного ПО (Java, PCTools, Adobe etc.)
------
После создания темы обнаружил ещё одну аналогичную от пользователя, чей ник встречал ранее на сайтах, посвящённых игре "Сталкер"; стал анализировать. Первые признаки заражения в моём случае проявились в середине сентября, когда мой отпрыск активно разламывал "Сталкер: Зов Припяти". Не исключаю, что заражение произошло после запуска каких-либо утилит (трейнеров, конвертеров, распаковщиков) для этой игры.
Последний раз редактировалось CaHTeXHuK; 08.10.2010 в 21:52.
Причина: Дополнено мыслями о возможном источнике
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать лог ComboFix
-
-
Junior Member
- Вес репутации
- 50
Насколько безопасна "деструктивная" деятельность ComboFix, описанная в этом постинге?
К сожалению в отличие от других подобных приложений в программе не предусмотрена возможность вмешательства пользователя в её работу.
Это ведёт иногда к потере важных данных, ошибочно отнесённых программой к вредоносному ПО.
Внимание: Перед операциями восстановления обязательно посоветуйтесь с Вашим хелпером!!!
Дело в том, что на компьютере установлено очень много лицензионного ПО, необходимого для работы, оперативное восстановление части которого станет невозможно в случае утраты.
Последний раз редактировалось CaHTeXHuK; 08.10.2010 в 22:05.
Причина: Сохранил вместо предпросмотра
-
Обычно всё восстанавливается. Никакой особо деструктивной деятельности не наблюдалось. Лицензионное ПО затронутся не должно, но - гарантии 100% конечно дать не могу.
-
-
Junior Member
- Вес репутации
- 50
М-да.
ComboFix вычистила напрочь hosts (состоявший, к слову, из почти сотни строк) и снесла WinPCap. Если второе - не критично (переустановить - не проблема), то первое - очень плохо.
-
По-моему программа делает карантин hosts файла...
Пока вылечим ОС...
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\system32\80074bb0.exe
c:\windows\system32\isnvfo.exe
c:\windows\system32\55af13d0.exe
c:\windows\system32\ssofyj.exe
Folder::
c:\program files\Common Files\FF7C1FADa
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Собственно говоря, процедуру удаления кейлог-файла из Common Files и очистки Userinit из этого скрипта (плюс route -f и перезапуск адаптера для возможности писать сюда без включения "турбо" в Опере) я делаю вручную после каждой загрузки ещё до запуска броузера.
Exe-файлов из скрипта (и параметра Userinit) в system32 нет вообще - как я их удалил вручную ещё до обращения сюда, так более они и не появлялись (видимо, они удаляются автоматически в процессе деятельности вируса ещё до загрузки GUI и explorer.exe или нужны только для первичного заражения ОС); директория FF-чего-то-там в Program Files содержит пустую поддиректорию keys и обычным путём не удаляется ("Папка keys используется другими программами"), при удалении её с помощью соответствующих утилит, после перезагрузки создаётся директория с аналогичным, но другим именем и тем же содержанием (так же, как и восстанавливается параметр Userinit в реестре).
И ещё. Судя по тому, что при подключении флешки вновь стал появляться диалог "На носителе есть файлы, что будем с ними делать?"- автозапуск, отключенный давным-давно при помощи "решения проблем" в avz, - деятельность этого вируса не ограничивается кейлоггерством, изменением таблицы маршрутизации и перехватом запуска антивирусов и броузеров...
(Хотя, кейлоггерство вроде как и не работает: директория FFxxxx и её поддиректория keys остаются пустыми, файл jqyrg4inedzz13m - нулевой длины.
Не уверен.
В самом начале разборок с системой обратил внимание, что процесс lsass постоянно ломился на relay4.discom.net.ru и закрыть это соединение система не позволяла; я зарулил этот адрес на 127.0.0.1 в hosts - lsass перестал ломиться в сеть вообще. Не исключаю, что это и была передача собранной информации.)
Чуть позже выполню Вашу рекомендацию и выложу результаты - есть необходимость закончить свою работу.
Что ж таймаут сессии здесь такой короткий? (:
-
Junior Member
- Вес репутации
- 50
В Common Files родилась новая директория FF7C1C55a; в процессе работы в старой FFxxxxx в keys создался лог ошибки апдейта Java (пока занимался своими делами, при загрузке одной из страниц в нете была безуспешная попытка апдейтить Java).
Прилагаю лог ComboFix, создан после ручного удаления всех "излишеств" (в процессе работы ComboFix вылезла ошибка работы её модуля, сразу после этого в system32 объявился exe-файл с цифровым именем (есть в логе), Userinit в реестре - опять с "добавками", таблица маршрутизации не дополнилась, "лишних" соединений в сети не было, несмотря на девственно чистый hosts).
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ssofyj.exe
c:\windows\system32\55af13d0.exe
c:\windows\system32\isnvfo.exe
c:\windows\system32\80074bb0.exe
c:\program files\Common Files\jqyrg4inedzz13m
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
-
Сообщение от
CaHTeXHuK
Ну, если настаиваете
Я - не настаиваю. Мне всё равно, не хотите не делайте.
-
-
Эти инструкции были выполнены в точности так, как написал консультант?
-
-
Junior Member
- Вес репутации
- 50
Да.
Ну, почти да. ComboFix на Рабочий стол не переносил - сделал туда линк из E:/avz4.
Это критично? (:
-
-
-
Junior Member
- Вес репутации
- 50
-
Мы можем ждать хоть неделю. Но Вы должны выполнить всё в соответствии с инструкцией, если хотите результат...
-
-
Junior Member
- Вес репутации
- 50
Скопировал всё в c:\Documents and Settings\Nosferato\Рабочий стол\, перезагрузил, надвинул иконку CFScript на иконку ComboFix.
После перезагрузки привычным движением грохнул файл в Common Files, вынес Userinit в реестре, cmd.exe-route print-route -f, пишу вам.
ComboFix на этот раз учуял страшную угрозу от скринсейверов пятилетней давности и беспощадно их кастрировал.
А, да. На этот раз PEV.cfxe ошибок не выдал. Что-то изменилось от того, что я позволил обновить консоль восстановления...
Последний раз редактировалось CaHTeXHuK; 09.10.2010 в 23:25.
-
-
-
Junior Member
- Вес репутации
- 50
Принимайте.
В процессе работы MBAM в system32 родился ЕХЕ-фал с цифровым именем, Userinit этим файлом дополнился.
-
Возьмите этот файл, запакуйте в ZIP с паролем virus и пришлите нам. (красная ссылка прислать запрошенный карантин вверху темы)
-