Неуловимый подлый вирус

Printable View

12.11.2010, 14:10
Spark24

Неуловимый подлый вирус

Добрый день, господа!
Прошу прощения за тему сообщения, но "help!" писать запрещено, а к Вам обращаются за помощью, когда все доступное остальное уже испробовано.

1. Мой компьютер: Wind XP, serv.pack3. Частота 3 Ггц, Оперативной памяти 2 Гб.

2. Установлены NOD 32 (4Й ВЫПУСК), Avira, Зоркий глаз и AnVir Task Manager. Все регулярно обновляется.

3. Симптомы.
Через 30-90 мин. после начала работы пропадают подписи к части иконок, ярлыков на рабочем столе. Одновременно исчезает подпись под кнопкой Пуск и подписи на панели задач открытых приложений. Однвременно пропадают надписи "Файл", "Правка", "Вид"... в открытых приложениях (по крайней мере активном). Как правило, одновременно появляется окно сообщеня. В нем текста тоже нет. Но один раз текст был - "недостаточно памяти". Через 5-10 сек. появляется окно AnVir Task Manager-а в котором говорится, что 2-5-7... программ добавлено в автозагрузку. Например Internet Explorer. При попытки вызвать Process Explorer (комбинацией Contrl-Alt-Delit) утилита частично не прорисовывается (всегда в левой верхней части).
Еще через 10-15сек. кнопки перестают нажиматься, на клавиатурные комбинации тоже реакции нет.
Приходится перезагружаться, часто принудительно (кнопкой Reset).
Позже было замечена блокировка показывания скрытих и системных файлов и блокировка Безопасного режима.
(Обе функции сейчас восстановлены "Зорким глазом")
4. Что предпринималось.
Сначала была попытка восстановить систему используя Acronis. На нем был записан образ диска С в зоне безопасности Acronis-а (образ находился на винчестере). Восстановление проблему не решило.
- сканирование утилитой Cure It!. Если в обычном режиме, как правило, в конце сканирования вирус активировался...
(В безопасном режиме проблем со сканированием нет). Вирусы не обнаруживаются.
- ESET NOD32 Antivirus и Anti Vir находили подозрительный файл usb safely remove, но он у меня работает очень давно и указанные антивирусы на него и раньше так реагировали.
- Была дополнительно установленна программа
Mal ware bytes' Anti - Malware. В результате сканирования было обнаружено и удалено 9 объектов, работа компьютера явно улучшилась, но описанные высше явления не прекратились.
- Были отключено "Восстановление системы", и вручную очищены папки Temp.

- По Вашим рекомендациям была проверка Cure It! в безопасном режиме (За 5 часов работы сбоев не было, вирусы не обнаружены), созданы требуемые отчеты.

Спасибо за помощь. С искренним уважением, Олег.
12.11.2010, 14:45
olejah

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
13.11.2010, 16:45
Spark24

Добрый день!

Высылаю отчет Malwarebytes. И фото как
разрушение рабочего стола выглядит на практике.

Возможно интересно будет следующее.
В течение 1-2х дней Malwarebytes вирусов не находил.
Но перед отправкой отчета решил сделать свежий
скан. И тут он начал находить вирусы (я как раз
смотрел на монитор), а затем текст
"Инфицированные объекты: 4" пропал!
(Вчера в корзину отправили Temp-ы.)
Сразу после обнаружения вирусов комп. стал разрушаться. После перезагрузки скан удалось повторить еще раз. Все прошло нормально. Все инф. объекты подтвердились.

Единственное, что я позволил себе, это выбросить 1 инфицированный файл в корзину (Дистрибутив Героев 3.5).

С уважением, Олег.
13.11.2010, 16:52
olejah

Добрый день! Не вижу только лога.
13.11.2010, 17:39
Spark24

Прошу прощения, видно забыл нажать кнопку "Загрузить"
И фото оказалось слишком большое...
13.11.2010, 17:41
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите[/URL] всё, что нашёл МВАМ

- Повторите лог

- Опишите, что происходит с ситемой.
13.11.2010, 17:46
Spark24

Потребуется примерно 20-30 мин. Стартую Malwarebytes.
13.11.2010, 18:52
Spark24

Со второй попытки просканировал. Файл отчета после удаления.
13.11.2010, 18:54
olejah

Что сейчас с проблемой?
13.11.2010, 20:16
Spark24

Ну, не все сразу (как сказала одна бабулька, когда гости перепутали ее свадьбу с поминками). Проблема проявится через 30-90-120 мин. Лучше всего ее инициирует антивирус.
Ведь очищена от вируса только корзина.
Почитал описания как они работают ([url]http://daxa.com.ua/vir/num52/[/url] ). Там предлагают набор утилит Virus Hunter utilities.
Я так понял, что до самого вируса, или его модифицированного клона Malwarebytes Anti-Malware 1.46 не добрался. Впрочем, я не специалист.
Запущу утилиту Dr.Web и посмотрим.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 10 минут[/I][/B][/color][/size]

Все тоже. Через час работы CureIt вирус сломал сканер. Перезагрузил ReSet-ом.
13.11.2010, 20:18
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
13.11.2010, 20:40
Spark24

Высылаю лог ComboFix.
14.11.2010, 23:03
Spark24

У компа буду только в среду. Всем участвующим в моем "подлом" вирусе - спасибо!
Олег.
16.11.2010, 22:41
Spark24

Господа, кто может посоветовать? Если у меня все так не просто и мне прийдется переустанавливать Wind, то подскажите:
У меня дистрибутивы программ находятся на логическом диске D. Некоторые программы, не требующие установки работали прямо с этого диска (на пример Total comander или Process Explorer).
Вопрос: не заразились ли эти программы "моим" вирусом? Иначе нет и смысла переустанавливать Wind.
Спасибо.
16.11.2010, 23:30
thyrex

В последнем логе ничего необычного
17.11.2010, 07:59
Spark24

Ну а вирус то злодействует! Есть совет как жить дальше?
Спасибо.
17.11.2010, 08:02
olejah

[QUOTE='Olejah;731684']- Опишите, что происходит с ситемой.[/QUOTE] По порядку.
17.11.2010, 08:29
Spark24

Мой компьютер: Wind XP, serv.pack3. Частота 3 Ггц, Оперативной памяти 2 Гб.
Установлены NOD 32 (4Й ВЫПУСК), Avira, Зоркий глаз и AnVir Task Manager. Все регулярно обновляется.

Симптомы.

1 Через 30-90 мин. после начала работы пропадают подписи к части иконок, ярлыков на рабочем столе.
Одновременно исчезает подпись под кнопкой Пуск и подписи на панели задач открытых приложений.
Однвременно пропадают надписи "Файл", "Правка", "Вид"... в открытых приложениях и тексты в этих окнах.

2 Через 10-30 секунд появляется окно сообщеня. В нем текста тоже нет. (один раз текст был - "недостаточно памяти").

3 Затем появляется окно AnVir Task Manager-а в котором говорится, что 2-5-7... программ добавлено в автозагрузку. Например Internet Explorer. При попытки вызвать Process Explorer (комбинацией Contrl-Alt-Delit) утилита частично не прорисовывается.
4 Еще через 30-60сек. кнопки перестают нажиматься, на клавиатурные комбинации отзыва нет.

Приходится перезагружаться, часто принудительно (кнопкой Reset).

Позже было замечена блокировка показывания скрытых и системных файлов и блокировка Безопасного режима.
(Обе функции сейчас восстановлены "Зорким глазом")

Прилагаю фото злодейств.

Спасибо.
17.11.2010, 10:17
Spark24

Я снова в сети и готов выполнять Ваши рекомендации.
Спасибо всем участвующим.
18.11.2010, 01:28
thyrex

[QUOTE='Spark24;731158']2. Установлены NOD 32 (4Й ВЫПУСК), Avira, Зоркий глаз[/QUOTE]Что-то одно оставьте