классический Адварь, но с левой резьбой

Printable View

16.04.2015, 12:24
pvoid

Вложений: 5

классический Адварь, но с левой резьбой

добрый день!

имеется юзерская машина, на которой в виду ряда причин нельзя закрыть административный доступ пользователю. более того, система заведена от встроенного администратора.
юзер не слишком хочет разбираться в премудростях вирусной безопасности, периодически хватая всякую бяку.
стоит отметить, что на компьютере стоит полноценный корпоративный каспер (KES) 10-й версии. был бы ключ, снес бы эту парашу и поставил бы KIS 2011-12 эдак года.

в общем, компьютер приходится частенько чистить руками. вот недавно на компьютер залез стандарный казалось бы адварь - всплывающие окна в браузере. браузер - лиса.
в ходе попыток лечения было установлено что адварь относится к классу подменяющих днс-ответ.

в хостс все чисто. второго нет.
были проверены системные настройки днс, все ровно.
полная проверка касперским дала вирусы и адварь. вирусы касперский стер, а адварь лечить отказался (а зачем?)
затем проверил адвклинером. внизу лог лечения, снес все включая гугл апдейт (мало ли файлы подменены).
чистил кэш днс. чистил кэш браузера.
проверял в безопасном режиме. чистота.
проверил роутер (хотя у меня с ним же все хорошо), заменил днс на гугл.
был проверен стек ndis (через свойства подключения и утилиты авз), ничего лишнего нет.
была попытка отдельно поискать руткиты - ничего (хотя авз, например, просто пасует проверять ядро в x64).
касперский иногда находит js-вирусы в кэше лисы, но больше ничего не находит. чистка кэша не дает результата.
возможно, заменены системные файлы? sfc запущен и в обычном, и в безопасном режиме. "некоторые файлы не были восстановлены", впрочем он всегда так пишет. его ужасные логи я не могу нормально читать, может кто подскажет адекватный парсер?

к настоящему моменту из странных на мой взгляд явлений в системе осталось две вещи:
1. множество ссылок в реестре на файлы, включая системные, которые согласно ответу ФС якобы не существуют
2. появляющийся сам собой тулбар ИЕ.
при этом очевидна вирусная активность:
1. в браузере, причем только в одном (ФФ) вылезает реклама.
2. записи кэша ДНС (а значит 99% ответы днс) оказываются подменены на сервера всплывающей рекламы.

то есть вирус 100% есть и 100% на локальном компьютере, но ни я, ни антивирус, ни автоматические утилиты не находят способ инфекции.
прошу помочь разобраться.
16.04.2015, 12:26
Info_bot

Уважаемый(ая) [B]pvoid[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.04.2015, 00:29
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
22.04.2015, 15:15
pvoid

Вложений: 2

Проверил систему утилитой.

В логах бросилось в глаза внедрение в лису файла настроек. Посмотрел фаил my.cfg, посмотрел и завалил его в карантин сразу, потому что нормальные скрипты так не выглядят (все символы какие можно заменены кодами, красота).
Снес кэш браузера, снес кэш днс, но при перезапуске барузера фаил родился вновь. Причем браузер сам его (видимо таки его) скачал - успела отобразиться анимация завершения загрузки, но с списке конечно же чистота. Можно конечно же выявить виновный сервер, раз они так облажались, но разве есть в этом смысл?

В целом в логах вроде та же картина, что я и наблюдал ранее. Хотя признаться честно, я мало уже сейчас понимаю на что в этих логах еще смотреть.
Система в целом голая: вин7проф64, офис2010, 7зип, касперский 10, лиса. все остальное - от лукавого.

Сами логи прилагаю.
24.04.2015, 01:56
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1447453744-400514449-3988784330-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2014-12-02]
OPR Extension: (No Name) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2014-12-02]
2015-04-03 16:49 - 2015-04-03 16:49 - 01224704 _____ () C:\Users\Администратор\AppData\Roaming\8QEOKJNHEPbnH8Q37aH.exe
2015-04-02 16:53 - 2015-04-07 10:04 - 00000004 _____ () C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-03-31 11:14 - 2015-03-31 11:14 - 00004387 _____ () C:\Users\Администратор\AppData\Roaming\8QEOKJNHEPbnH8Q37aH
2014-09-01 11:18 - 2014-09-01 11:18 - 0001248 _____ () C:\Users\Администратор\AppData\Roaming\LDYFU
2014-09-01 11:18 - 2015-04-16 08:24 - 0000935 _____ () C:\Users\Администратор\AppData\Roaming\SL
Task: {080BADD6-D2F2-42A6-93F1-D0EE4A4E80B8} - \b251e8c1-ac20-4d67-8df1-ac049d4ad8b1-11 No Task File <==== ATTENTION
Task: {0A55D7C4-EC4F-4885-B54D-F6A29D0D7FED} - \SystemScript No Task File <==== ATTENTION
Task: {5FBD09BC-52BA-4C97-A650-4271A8393035} - \b251e8c1-ac20-4d67-8df1-ac049d4ad8b1-2 No Task File <==== ATTENTION
Task: {6E8FF947-A011-4A62-AC96-7408396DA1DE} - \b251e8c1-ac20-4d67-8df1-ac049d4ad8b1-1 No Task File <==== ATTENTION
Task: {789C8B45-755B-4DC3-BA71-68A12FB8B7A9} - \b251e8c1-ac20-4d67-8df1-ac049d4ad8b1-4 No Task File <==== ATTENTION
Task: {961F82F1-F9E7-4C11-B4F2-C76D7479435C} - \b251e8c1-ac20-4d67-8df1-ac049d4ad8b1-5 No Task File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent No Task File <==== ATTENTION
Task: {E3C7F2D3-DAB5-48C0-843D-C86C4C508931} - \89f6c72c-5026-4a20-9b92-f963877ebfcf No Task File <==== ATTENTION
Task: {F1103786-ADA2-4F79-A1D0-8DB778C0B660} - \Opera scheduled Autoupdate 1417509078 No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mintcastnetworks => ""="service"
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]