Возможно масс-заражение системы

Printable View

05.06.2010, 17:16
KloneB@DGuY

Возможно масс-заражение системы

Добрый день. Прошу помочь выявить "заразу" в системе.
Уже и Windows с форматирование переустанавливал, но
откуда-то опять эти странные файлы. Сначала думал от
Microsoft .Net Framework 4.0 [может какой левый попался],
да нет. Проверил установщик - вроде бы все чисто.

[B]Установлена система:[/B] Windows XP Pro SP3
[B]Сканировал систему:[/B] [URL="http://www.kaspersky.ru/kaspersky_anti-virus_downloads?downlink=206911810"]Антивирус Касперский[/URL], [URL="http://z-oleg.com/avz4.zip"]AVZ[/URL], [URL="http://www.safer-networking.org/ru/ownmirrors1/index.html"]Spybot S&D[/URL],
[URL="http://www.freedrweb.com/download+cureit/gr/?lng=ru"]CureIT[/URL], [URL="http://free.antivirus.com/hijackthis"]HijackThis[/URL]. Все кроме последнего, ничего не нашли!

Если напрячь память, то вроде после вылазки в интернет,
начались "симптомы". Но непонятно, откуда! Зашел буквально
на пару проверенных сайтов, где точно нет заразы [рекламу режет модуль].

[B]Что меня натолкнуло на мысль:

Подозрительные, пустые папки [в инете полистал, пишут вроде зараза]:[/B]
[QUOTE]
C:\WINDOWS\apppatch [B]используется [/B] C:\WINDOWS\system32\[B]winlogon.exe[/B]
C:\WINDOWS\system32\inetsrv [B]используется[/B] C:\WINDOWS\system32\[B]winlogon.exe[/B]
C:\WINDOWS\system32\[B]h323log.txt используется [/B] C:\WINDOWS\system32\[B]svchost.exe[/B]

C:\Documents and Settings\Admin\Local Settings\Apps\2.0\OGDMX234.9DA\WDZ9M390.ZP9\manifests
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Portable Devices

C:\WINDOWS\Temp\msohtmlclip
C:\WINDOWS\Temp\WPDNSE[/QUOTE]

[B]Подозрительная папка, содержит подкаталоги:[/B]
[QUOTE]C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache\IEG1T3GG\[B]ieonline.microsoft[1][/B]

Внутри этой папки другие с именами типа [B]HXE97MUZ[/B] [внутри каждой [B]desktop.ini[/B] и все [B]папки скрытые[/B]][/QUOTE]

[B]Вроде как подмена расширения:[/B]
[QUOTE][B]srrstr.dll[/B] на самом деле [B]srrstr.exe[/B] и так с кучей библиотек в system32[/QUOTE]

[B]В ветке реестра HKEY_CLASSES_ROOT подозрительные записи:[/B]
[QUOTE][B]Пример: AutoplayHandler[/B] и рядом [B] AutoplayHandler.1[/B] и так со многими![/QUOTE]

[B]такая же история и с некоторыми библиотеками в system32:[/B]
[QUOTE][B]Пример:[/B] wuauclt.exe и рядом wuauclt1.exe[/QUOTE]

Основные системные файлы заменял [через сторонний лайв-сд],
результат один, после перезагрузки все по новой появляется.
Файлов как таковых не нашел, возможно в "памяти" прячется тело.
Кстати в безопасном режиме чисто. Папки не появляются. Очень,
возможно, что с драйверами грузится.

Подскажите, пожалуйста, можно ли что сделать,
или опять форматировать и все ставить по новой?
05.06.2010, 17:19
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,[/CODE]Больше ничего плохого
05.06.2010, 19:14
KloneB@DGuY

Спасибо за оперативность.

Это то пофиксю [да и фиксил уже]. А написанное
мною выше ни чем не грозит? Например настройки
некоторые слетают [вроде различных откл/вкл в пуске,
даже звуки не дает сменить!]. Что-то в системе есть таки.

Как бы выявить?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 47 минут[/I][/B][/color][/size]

Так что, больше рекомендаций не ждать? То, что
я описал - это как бы не нормально, для винды.

Обратился к вам, так как уже 3 дня маюсь с этой проблемой.
Windows перевешивать не лучший выход [хоть и быстрый]. Много
софта я ставлю и большая часть по работе. Установка то еще ладно,
но вот настройка... Каждую программу настраивать - это ужас. А у меня
еще и спутник стоит, там своих "заморочек" туча.
06.06.2010, 10:43
KloneB@DGuY

[B]Дополняю информацию[/B]

[B]Comodo[/B] отлавливает доступ [B]System[/B] к некому [B]10.228.80.68[/B] порт [B]445[/B] и [B]43227[/B]
12.06.2010, 12:02
KloneB@DGuY

>.<

Это какой-то кошмар просто! Возился, возился, плюнул - переустановил систему.
Все вроде бы было хорошо. Но, после того, как я использовал свою утилиту
[она очищает все области автозагрузки и снимает запреты, запуск диспетчера задач и прочее..].
появилось окно, мол системные файлы заменены и т.д.. При загрузке, появилось окно, с прогресс-баром,
мол идет восстановление файлов [а диска та нет в приводе!]. И началалось... Видимо троян уже был в
системе и следил за этими областями. Раньше я сомневался, троян ли это был, но теперь есть доказательства!

Постояно [B]system[/B] и [B]svchost.exe[/B] ломятся на [B]10.228.139.201/10.228.176.108 [/B]порты [B]135/445[/B]

в [B]msconfig[/B] в [B]автозагрузку[/B] постоянно прописывается:
[B]\NTUSER.DAT
\ntuser.dat.log
\ntuser/ini[/B]

Наличие папки [B]apppatch[/B] в [B]C:\WINDOWS[/B] [как уже убедился, первый признак, что трой в активировался]

Обнаружил файл [B]C:\WINDOWS\wininit.ini[/B] такого содержания:
[B][rename]
NUL=[U]C:\WINDOWS\Temp\gert0.dll[/U]
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico[/B]

Я правильно понял, заражение произошло с диска [B]G[/B] ?
Важно очень узнать. Если да, то придется идти,
ругатся в магазин - ибо это [B]USB-модем[/B] от [B]мегафона[/B] о_о

все это, очень похоже на вот [URL="http://www.securitylab.ru/forum/forum18/topic4952/"]этот[/URL] случай. Мне кажется,
что очень возможно, что проблема кроется в [B]winlogon.exe[/B].

Кстати, как выполнил скрипт [B]"Поиск и нейтрализация RootKit..."[/B]
в [B]AVZ[/B], [B]system[/B] и [B]svchost.exe[/B] перестали ломится в интернет! Но
только до перезагрузки. Уже начинает паника брать! Систему
перевесил и все равно заразился! В сети не лазил! Файервол
и антивирус не отключаю вообще! Стоят на самом высоком уровне!