Цепная Реакция

Началось все с устаревшей ссылки на архив. Следуя природному любопытству я стер в адресной строке все до знака "/" (с конца), в надежде увидеть там что - нибуть интересное :dry:. Компьютер, судя по звукам, начал чтото активно переваривать, и стал подтупливать, у меня так частенько бывает перед тревогой Сумантека. Антивирус себя ждать не заставил и начал выдавать сообщения о пойманных троянах, сумантековский фаервол отбил атаку, и через некоторое время, в связи с самопроизвольным отключением некоторых его служб, попросил перезагрузки. После перезагрузки ситуация не изменилась, служба, в названании которой точно было чтото про "HTTP Proxy", не включалась. Вручную запускать тоже не получалось, всплывали ошибки сценария. Автоматическая защита антивируса отключалась примерно через 5 минут при каждой перезагрузке (всплывающее окно), хотя его значок был обычным. Еще одна перезагрузка снова ничего не решила, а фаервол вобще перестал запускаться. Исправление и переустановка не дали результатов. Удалил вообще, т. к. пользоваться протоколом HTTP не удавалось.

При первой проверке AVZ заподозрил Trojan-Downloader.Win32.Tiny.acv в _svchost.exe в system32, загружающийся автоматом. Поскольку вразумительной информации по нему я найти не смог, то решил удалить его сам. Естественно, исходящий трафик при подключении сразу уходил в отрыв, по сравнению с входящим :cool:. Плюс сразу же я попытался удалить system32\vg109974.dll, который на "99.05% похож на типовой перехватчик событий клавиатуры/мыши", но это не получилось.

Позже стали появляться другие трояны, которых AVZ сам удалял.

Скан CureIt'ом показал, что почти во всех exe'шниках автозагрузки и еще некоторых других, например в аське, даунлод мастере, флешгете есть модификация Win32.Kuku, и на середине проверки, я увидел BSOD. Следущий скан показал ту же модификацию в файлах, но уже без синего экрана. Плюс к этому чтото стало изменять экзешник AVZ, увеличивая его примерно на 70 кб. Заменял его на оригинальный, ставил "рид онли" - не помогало. А теперь после каждой перезагрузки он совсем исчезает. Также удалился и CureIt!.

Подключение к сети и интернету стало нестабильным, количество процессов svchost.exe растет на 1 с каждым подключением, причем некоторые из них сетевые, некоторые системные, в данный момент насчитал 8 штук. Постепенно появились процессы winpidn.exe (кушает почти все ресурсы ЦП), wineuje.exe, еще какие - то, начинающиеся с "win...", которых раньше точно не было.

Буду очень благодарен, если кто откликнется...

P. S. Могу попробовать найти ссылку, "с которой все началось"... :smile:

Выключите восстановление системы, выполните скрипт, после перезагрузки карантин по правилам.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('msupdate');
DeleteService('msupdate');
QuarantineFile('msupdate.sys','');
StopService('Microsoft Int Service');
DeleteService('Microsoft Int Service');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\vg109974.dll','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\msupdate.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Не сразу понял, но разобрался, вот результат:

Файл сохранён как 080106_223250_2008-01-07_4781ab7210bb3.zip
Размер файла 4028224
MD5 c1b4d4219a735f1680a0bea15c7aff70

В очередной раз столкнулся с изменением exe AVZ
Засек еще несколько процессов:
winswsq.exe
winamfe.exe
winkfmjt.exe
(при отсутствии прежних)
И самое забавное, появилось диалапное подключение, которое начало куда то дозваниваться и говорить про недоступный номер из динамика (ДСЛьное подключение секундой ранее упало) :)

Файл C:\WINDOWS\system32\ntoskrnl.exe заражен вирусом [B]Trojan.Win32.Patched.au[/B]

Послал образец в drweb, добавят скоро... как ответ придет - отпишу. Если ждать не хотите можете утилиту [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]avptools[/URL] скачать и выполнить полную проверку ПК.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 48 минут[/I][/B][/color][/size]

Все добавили уже.
[B]Скачайте [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] заново[/B] и выполните полную проверку из безопасного режима.

Доступ к безопасному режиму закрыт - BSOD.

CureIt не обнаружил Trojan.Win32.Patched.au, зато число зараженных Win32.Kuku постоянно растет. AVPTools находит Trojan.Win32.KillAV.ne (говорящее название :)) в 200стах с лишним exe'шниках (вылечить получается не все или вобще ничего).

Можно удалить vg109974.dll, vg109974.dl_ и evojill.sys, плюс ключи в реестре (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MCIDRV_2600_6_0), но через некоторое время все возвращается на свои места (предположительно после соединения с интернетом, тутже появляются 2 службы с названиями на "win..." - похоже на динамическое изменение имен)

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

vg109974.dll, vg109974.dl_ и evojill.sys заражены Trojan.Downloader.38489 (По Др. Вебу)

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

Пример файлов создающихся в каталоге C:\Documents and Settings\Юзер\Local Settings\Temp:
winfshs.exe
winhaatmg.exe
winlphbcb.exe
winpidn.exe
wintfuj.exe
winwmkkiq.exe
winxxax.exe

Один раз CureIt поймала в одном из них Trojan.Spybot.origin, в другой Trojan.Proxy.origin.
А Trojan.Downloader.38489 вылечивается CureIt'ом, но появляется опять

1. Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
x - буква CD
Если не выйдет - Пуск--выполнить--cmd
sfc /scannow
(потребуется дистрибутив windows)
2. Прогоните проверку avptool
Все это время к интернету не подключайтесь...

По первому пункту - сначала не получилось.
По второму - тоже (скорее всего изза кривого ДВД дистрибутива).
Первый пункт получился, после копирования файла на жесткий диск (E:\i386\ntoskrnl.ex_).

Скан Касперским: любимые файлы vg109974.dll, evojll.sys заражены Trojan.Win32.KillAV.ne. Всего 260 зараженных им объектов, которые не лечятся. По моим оценкам - все exe'шники на всех локальных дисках и несколько динамических библиотек.

Trojan.Win32.KillAV не файловый вирус ... поэтому в этих файлах ничего полезного ...
сделайте новые логи ...

Не понимаю от чего зависит выполнение первого пункта в сообщении Рубина... Перезагрузился, попробовал также с винчестера по такой же команде подменить файл... Не получается никак...

А логи бы я с радостью сделал, только AVZ ничего не находит, сколько ни пытался

причем находит не находит ...
нужны три файла как в первом сообщении ... только новые ...

AVZ обновил. Он нашел, сообщил, что вылечил...

[quote=V_Bond;169009]Trojan.Win32.KillAV не файловый вирус ... поэтому в этих файлах ничего полезного ...[/quote]

Интересно, что значит ничего полезного?) :rolleyes:

отключите антивирус ...
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Microsoft Int Service');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....

Сделал все по указанной инструкции...
(Антивируса на данный момент нет вообще)

Вроде - бы все мертвы:dry:

Что-то из этого используется

[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]

Это Вы делали ?
[QUOTE]Заблокирована настройка автоматического обновления[/QUOTE]

Если нет, то запустите АВЗ файл--Мастер поиска и устранения проблем

И не мешало бы антивирус поставить, а то частенько к нам на огонёк заглядывать будете :dry:

[quote=wise-wistful;169066]
Что-то из этого используется
[/quote]
Не очень хорошо понял, что это значит и что с этим нужно делать.

Автоматическое обнавление блокировал сам

Антивирус конечно же попробую поставить, просто как писал выше, его зараза убивала

компьютер домашний\ рабочий ?
локальная сеть есть \ нет ?

Компьютер домашний. Локальная сеть используется для интернета (ДСЛ - подключение)

[quote=wise-wistful;169066]
И не мешало бы антивирус поставить, а то частенько к нам на огонёк заглядывать будете :dry:[/quote]

А мне у вас понравилось :cool: :tongue:

З. Ы. Только, что упало соединение. Два процесса на "win" сидят.
Буду сканить...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

2. Проверка памяти
Количество найденных процессов: 16
Количество загруженных модулей: 245
c:\windows\system32\vg109974.dll >>>>> Trojan.Win32.KillAV.ne
Проверка памяти завершена

ну странного особенно ничего нет .... ходить в интернет без антивируса -то ....
скорее зловред попадает к вам с сайтов на которые вы заходите ... или через локалку ... через шары
давайте так ... сейчас новые логи ...
и вы сразу ставите антивирус .... например триал касперского ...

так быстро ? давайте тогда опять логи, что-то видать пропустили. Под юзером надо сидеть, а то липнет вся падаль :)