-
Junior Member
- Вес репутации
- 51
Не стабилен интернет, часики рядом с курсором.
Здравствуйте. Своими силами пока не могу победить зловреда. Посему обращусь к знающим людям.
Дело такое:
-На компьютере нестабильный интернет, соединение держится порядка 5 минут, потом обрывается.
-Сразу после запуска ОС Win XP рядом с курсором постоянно моргают песочные часики.
-Процесс services.exe потребляет много памяти, и с каждой секундой значение оспользуемой памяти увеличивается. Может увеличиться с 3 МБ до 800 МБ и больше. Что собственно сказывается на быстродействии системы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [msnmsgs] C:\Documents and Settings\Администратор\Application Data\jjjrimi.exe
O4 - HKLM\..\Run: [Driversys] C:\WINDOWS\qomxssm.exe
O4 - HKLM\..\Run: [Taskman] C:\RECYCLER\S-1-5-21-9489766014-6036192484-478562050-1276\csisf.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKCU\..\Run: [msnmsgs] C:\Documents and Settings\Администратор\Application Data\jjjrimi.exe
O4 - HKCU\..\Run: [Driversys] C:\WINDOWS\qomxssm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O4 - HKUS\S-1-5-18\..\Run: [Driversys] C:\WINDOWS\vnxfxey.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Driversys] C:\WINDOWS\vnxfxey.exe (User 'Default user')
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\71.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\vnxfxey.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9489766014-6036192484-478562050-1276\csisf.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\jjjrimi.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\jjjrimi.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9489766014-6036192484-478562050-1276\csisf.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\vnxfxey.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=95403).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Спасибо. Карантин выслал. Кстати есть пара замечаний:
1. Часики рядом с курсором все еще моргают. Если отключить AVAST, то часики перестают моргать.
2. Сам AVAST ругается на некий C:\windows\system32\drivers\zitnpew.sys
-
У нас тоже есть замечание
Сообщение от
Bratez
Сделайте новые логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
У нас тоже есть замечание
Признаю. Был не прав. Вот, пожалуйста, новые логи.
-
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9489766014-6036192484-478562050-1276\csisf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ekrn');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика, в норм. режиме).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Прогресс
После последнего скрипта часики рядом с курсором перестали моргать. Но процесс services.exe по-прежнему потребляет много памяти (сейчас уже порядка 1,3Гб). И антивирус AVAST постоянно сообщает о рутките C:\windows\system32\drivers\zitnpew.sys Этот файл удаляется антивирусом, но он заново создается и опять удаляется антивирем, и так до бесконечности. Удалось вытащить его (zitnpew.sys) из карантина и проверить на VirusTotal. 26 из 42 показало наличие трояна.
-
Нос вытащили - хвост увяз... Ставьте все обновления безопасности на Windows, вышедшие после SP3, иначе будем лечиться до бесконечности.
После обновлений просканируйте антивирусом со свежими базами в безопасном режиме, затем сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Да, есть доп. информация по zitnpew.sys (может поможет?): эта штука упоминается в одном месте реестра - HKLM\SYSTEM\ControlSet002\Services\taskeno
В нем есть ряд параметров, среди которых два - особо интересных:
Строковый параметр _MAIN со значением \??\C:\WINDOWS\system32\MAI63.tmp
и
Строковый параметр ImagePath со значением system32\drivers\zirtnpew.sys
По Вашему совету, Bratez, попробую поставить обновления и просканиться.
Последний раз редактировалось Black_moon; 16.01.2011 в 23:12.
-
Junior Member
- Вес репутации
- 51
Прогресс
К сожалению, обновления с узла Windows Update поставить не могу, т.к. копия ОС не проходит проверку подлинности (хотя ставили ОС в СЦ)...
Просканился Cureit & MBAM (извиняюсь за самодеятельность). Лог MBAM прилагаю. Я так понимаю, все найденное можно снести за ненадобностью. Вот только у меня сомнения по поводу "str.sys" и ключей реестра, которые вызвали подозрения у MBAM. И все еще я не решил вопрос, можно ли безболезненно удалить параметры реестра, указанные мной в предыдущем сообщении данной темы. Подскажите пожалуйста, как быть?
-
На необновленную систему червяк приползет снова
Удалите в МВАМ
Код:
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4YPLL9NN\xcell[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\051.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\0849.exe (Worm.Email) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\156.exe (Worm.Email) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\178.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\285.exe (Worm.Email) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\30287.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\322.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\335.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\421557.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\435.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\5857522.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\664.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\789570.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\8470414.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\8616827.exe (Worm.Email) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\90867.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\950.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\956.exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\97705.exe (Worm.Email) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\1H9DD85A\bnet[1].exe (Trojan.Scar) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\1H9DD85A\99[1].jpg (Extension.Mismatch) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\BLVRZL3S\war[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\SAM16DX3\7p[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\SAM16DX3\8p[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\SAM16DX3\a1[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ZOJWOPGP\a2[1].exe (Backdoor.NetWorm) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ZOJWOPGP\gettinglawds[1].jpg (Extension.Mismatch) -> No action taken.
c:\program files\avz4\quarantine\2011-01-14\avz00003.dta (Worm.Email) -> No action taken.
c:\program files\avz4\quarantine\2011-01-15\avz00001.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\quarantine\2011-01-15\avz00002.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\quarantine\2011-01-15\avz00003.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\quarantine\2011-01-15\avz00004.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\quarantine\2011-01-15\avz00005.dta (Trojan.Scar) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-14\avz00003.dta (Worm.Email) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-15\avz00001.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-15\avz00002.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-15\avz00003.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-15\avz00004.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-15\avz00005.dta (Trojan.Scar) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-16\avz00004.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-16\avz00006.dta (Backdoor.NetWorm) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-16\avz00007.dta (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-16\bcqr00013.dat (Trojan.Agent) -> No action taken.
c:\program files\avz4\Старое\quarantine\2011-01-16\bcqr00014.dat (Trojan.Agent) -> No action taken.
c:\Temp\8144.exe (Backdoor.NetWorm) -> No action taken.
d:\старые логи\quarantine\2011-01-16\avz00004.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-16\avz00006.dta (Backdoor.NetWorm) -> No action taken.
d:\старые логи\quarantine\2011-01-16\avz00007.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-15\avz00001.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-15\avz00002.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-15\avz00003.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-15\avz00004.dta (Trojan.Agent) -> No action taken.
d:\старые логи\quarantine\2011-01-15\avz00005.dta (Trojan.Scar) -> No action taken.
d:\старые логи\quarantine\2011-01-14\avz00003.dta (Worm.Email) -> No action taken.
c:\windows\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Согласен, необновленная система - это риск заражения. В общем осталось решить несколько вопросов:
1. services.exe все еще потребляет память. И как его отучить - не знаю
2. При загрузке ОС открываются "Мои документы" в проводнике.
3. Как безболезненно избавиться от zitnpew.sys. Аваст все время ругается на него, удаляет, а он заново создается. Думаю, что в этом замешана ветка реестра HKLM\SYSTEM\ControlSet002\Services\taskeno:
В ней есть ряд параметров, среди которых два - особо интересных:
Строковый параметр _MAIN со значением \??\C:\WINDOWS\system32\MAI63.tmp
и
Строковый параметр ImagePath со значением system32\drivers\zirtnpew.sys
Можно ли их просто удалить, или необходима более глубокая чистка реестра?
Последний раз редактировалось Black_moon; 16.01.2011 в 23:12.
-
Junior Member
- Вес репутации
- 51
Последнее усилие.
Пока Аваст боролся с "system32\drivers\zirtnpew.sys" я успел создать папку с одноименную папку zirtnpew.sys в system32\drivers. Теперь в той папке больше файл с таким именем создаться не смог. На этом его "генерация" прекратилась. Аваст замолчал, services.exe упало до 3 МБ .
Так что, в целом ситуация нормализовалась (я не учитываю оставшихся ссылок в реестре на зловреда). Остался только п.2.
(2. При загрузке ОС открываются "Мои документы" в проводнике). Не может ли это происходить из-за наличия в ветке реестра HKLM\SOFTWARE|Microsoft\WindowsNT\CurrentVersion\W inlogon строкового параметра Driversys - C:\WINDOWS\qomxssm.exe ?? Боюсь что-то там трогать, ведь в случае чего танцы с бубном обеспечены. Подскажите, как быть?
В остальном большое спасибо Bratez и thyrex за оказанную помощь!! Надеюсь мы справимся общими усилиями с этой штукой .
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Вот, пожалуйста, лог ComboFix-а.
-
Junior Member
- Вес репутации
- 51
Отлично, теперь папка "Мои документы" при старте не запускается .
А подскажите, пожалуйста такую вещь: можно ли просто удалить строковый параметр, который ссылается на уже не существующий ЕХЕ. Например, параметр Driversys ссалается на C:\WINDOWS\qomxssm.exe. или будет необходимо лазить по всему реестру и вычищать "хвосты". Спрашиваю потому, что ОС как-то долго загружается, полоса загрузки раз 20 пробегает, прежде чем появится экран приветствия. Может это из-за этих "мертвых" ссылок на экзешники??
-
Сообщение от
Black_moon
можно ли просто удалить строковый параметр
Удаляйте
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\zirtnpew.sys
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Отчет готов!
P.S. Странно, ComboFix убирает языковую панель. Приходится ctfmon.exe прописывать в реестре.
-
Сообщение от
Black_moon
Приходится ctfmon.exe прописывать в реестре
После удаления утилиты все бы вернулось само собой
c:\windows\system32\drivers\zirtnpew.sys запакуйте с паролем virus и пришлите по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
После удаления утилиты все бы вернулось само собой
c:\windows\system32\drivers\zirtnpew.sys запакуйте с паролем virus и пришлите по красной ссылке
Дык вот почему-то обратно не вернулось. Ну ладно, это мелочи.
А файла "zirtnpew.sys" там нет-> c:\windows\system32\drivers\. Есть одноименная папка, которую создал я, чтобы перехитрить вирь. Вытащил оригинальный zirtnpew.sys из карантина Аваста.