Цепная Реакция

Началось все с устаревшей ссылки на архив. Следуя природному любопытству я стер в адресной строке все до знака "/" (с конца), в надежде увидеть там что - нибуть интересное :dry:. Компьютер, судя по звукам, начал чтото активно переваривать, и стал подтупливать, у меня так частенько бывает перед тревогой Сумантека. Антивирус себя ждать не заставил и начал выдавать сообщения о пойманных троянах, сумантековский фаервол отбил атаку, и через некоторое время, в связи с самопроизвольным отключением некоторых его служб, попросил перезагрузки. После перезагрузки ситуация не изменилась, служба, в названании которой точно было чтото про "HTTP Proxy", не включалась. Вручную запускать тоже не получалось, всплывали ошибки сценария. Автоматическая защита антивируса отключалась примерно через 5 минут при каждой перезагрузке (всплывающее окно), хотя его значок был обычным. Еще одна перезагрузка снова ничего не решила, а фаервол вобще перестал запускаться. Исправление и переустановка не дали результатов. Удалил вообще, т. к. пользоваться протоколом HTTP не удавалось.

При первой проверке AVZ заподозрил Trojan-Downloader.Win32.Tiny.acv в _svchost.exe в system32, загружающийся автоматом. Поскольку вразумительной информации по нему я найти не смог, то решил удалить его сам. Естественно, исходящий трафик при подключении сразу уходил в отрыв, по сравнению с входящим :cool:. Плюс сразу же я попытался удалить system32\vg109974.dll, который на "99.05% похож на типовой перехватчик событий клавиатуры/мыши", но это не получилось.

Позже стали появляться другие трояны, которых AVZ сам удалял.

Скан CureIt'ом показал, что почти во всех exe'шниках автозагрузки и еще некоторых других, например в аське, даунлод мастере, флешгете есть модификация Win32.Kuku, и на середине проверки, я увидел BSOD. Следущий скан показал ту же модификацию в файлах, но уже без синего экрана. Плюс к этому чтото стало изменять экзешник AVZ, увеличивая его примерно на 70 кб. Заменял его на оригинальный, ставил "рид онли" - не помогало. А теперь после каждой перезагрузки он совсем исчезает. Также удалился и CureIt!.

Подключение к сети и интернету стало нестабильным, количество процессов svchost.exe растет на 1 с каждым подключением, причем некоторые из них сетевые, некоторые системные, в данный момент насчитал 8 штук. Постепенно появились процессы winpidn.exe (кушает почти все ресурсы ЦП), wineuje.exe, еще какие - то, начинающиеся с "win...", которых раньше точно не было.

Буду очень благодарен, если кто откликнется...

P. S. Могу попробовать найти ссылку, "с которой все началось"... :smile:

Выключите восстановление системы, выполните скрипт, после перезагрузки карантин по правилам.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('msupdate');
DeleteService('msupdate');
QuarantineFile('msupdate.sys','');
StopService('Microsoft Int Service');
DeleteService('Microsoft Int Service');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\vg109974.dll','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\msupdate.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Не сразу понял, но разобрался, вот результат:

Файл сохранён как 080106_223250_2008-01-07_4781ab7210bb3.zip
Размер файла 4028224
MD5 c1b4d4219a735f1680a0bea15c7aff70

В очередной раз столкнулся с изменением exe AVZ
Засек еще несколько процессов:
winswsq.exe
winamfe.exe
winkfmjt.exe
(при отсутствии прежних)
И самое забавное, появилось диалапное подключение, которое начало куда то дозваниваться и говорить про недоступный номер из динамика (ДСЛьное подключение секундой ранее упало) :)

Файл C:\WINDOWS\system32\ntoskrnl.exe заражен вирусом [B]Trojan.Win32.Patched.au[/B]

Послал образец в drweb, добавят скоро... как ответ придет - отпишу. Если ждать не хотите можете утилиту [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]avptools[/URL] скачать и выполнить полную проверку ПК.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 48 минут[/I][/B][/color][/size]

Все добавили уже.
[B]Скачайте [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] заново[/B] и выполните полную проверку из безопасного режима.

Доступ к безопасному режиму закрыт - BSOD.

CureIt не обнаружил Trojan.Win32.Patched.au, зато число зараженных Win32.Kuku постоянно растет. AVPTools находит Trojan.Win32.KillAV.ne (говорящее название :)) в 200стах с лишним exe'шниках (вылечить получается не все или вобще ничего).

Можно удалить vg109974.dll, vg109974.dl_ и evojill.sys, плюс ключи в реестре (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MCIDRV_2600_6_0), но через некоторое время все возвращается на свои места (предположительно после соединения с интернетом, тутже появляются 2 службы с названиями на "win..." - похоже на динамическое изменение имен)

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

vg109974.dll, vg109974.dl_ и evojill.sys заражены Trojan.Downloader.38489 (По Др. Вебу)

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

Пример файлов создающихся в каталоге C:\Documents and Settings\Юзер\Local Settings\Temp:
winfshs.exe
winhaatmg.exe
winlphbcb.exe
winpidn.exe
wintfuj.exe
winwmkkiq.exe
winxxax.exe

Один раз CureIt поймала в одном из них Trojan.Spybot.origin, в другой Trojan.Proxy.origin.
А Trojan.Downloader.38489 вылечивается CureIt'ом, но появляется опять

1. Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
x - буква CD
Если не выйдет - Пуск--выполнить--cmd
sfc /scannow
(потребуется дистрибутив windows)
2. Прогоните проверку avptool
Все это время к интернету не подключайтесь...

По первому пункту - сначала не получилось.
По второму - тоже (скорее всего изза кривого ДВД дистрибутива).
Первый пункт получился, после копирования файла на жесткий диск (E:\i386\ntoskrnl.ex_).

Скан Касперским: любимые файлы vg109974.dll, evojll.sys заражены Trojan.Win32.KillAV.ne. Всего 260 зараженных им объектов, которые не лечятся. По моим оценкам - все exe'шники на всех локальных дисках и несколько динамических библиотек.

Trojan.Win32.KillAV не файловый вирус ... поэтому в этих файлах ничего полезного ...
сделайте новые логи ...

Не понимаю от чего зависит выполнение первого пункта в сообщении Рубина... Перезагрузился, попробовал также с винчестера по такой же команде подменить файл... Не получается никак...

А логи бы я с радостью сделал, только AVZ ничего не находит, сколько ни пытался

причем находит не находит ...
нужны три файла как в первом сообщении ... только новые ...

AVZ обновил. Он нашел, сообщил, что вылечил...

[quote=V_Bond;169009]Trojan.Win32.KillAV не файловый вирус ... поэтому в этих файлах ничего полезного ...[/quote]

Интересно, что значит ничего полезного?) :rolleyes:

отключите антивирус ...
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Microsoft Int Service');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....

Сделал все по указанной инструкции...
(Антивируса на данный момент нет вообще)

Вроде - бы все мертвы:dry:

Что-то из этого используется

[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]

Это Вы делали ?
[QUOTE]Заблокирована настройка автоматического обновления[/QUOTE]

Если нет, то запустите АВЗ файл--Мастер поиска и устранения проблем

И не мешало бы антивирус поставить, а то частенько к нам на огонёк заглядывать будете :dry:

[quote=wise-wistful;169066]
Что-то из этого используется
[/quote]
Не очень хорошо понял, что это значит и что с этим нужно делать.

Автоматическое обнавление блокировал сам

Антивирус конечно же попробую поставить, просто как писал выше, его зараза убивала

компьютер домашний\ рабочий ?
локальная сеть есть \ нет ?

Компьютер домашний. Локальная сеть используется для интернета (ДСЛ - подключение)

[quote=wise-wistful;169066]
И не мешало бы антивирус поставить, а то частенько к нам на огонёк заглядывать будете :dry:[/quote]

А мне у вас понравилось :cool: :tongue:

З. Ы. Только, что упало соединение. Два процесса на "win" сидят.
Буду сканить...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

2. Проверка памяти
Количество найденных процессов: 16
Количество загруженных модулей: 245
c:\windows\system32\vg109974.dll >>>>> Trojan.Win32.KillAV.ne
Проверка памяти завершена

ну странного особенно ничего нет .... ходить в интернет без антивируса -то ....
скорее зловред попадает к вам с сайтов на которые вы заходите ... или через локалку ... через шары
давайте так ... сейчас новые логи ...
и вы сразу ставите антивирус .... например триал касперского ...

так быстро ? давайте тогда опять логи, что-то видать пропустили. Под юзером надо сидеть, а то липнет вся падаль :)

Ребят, я в "эти дни" в интернет хожу:
Подключаюсь - в свою тему - закрываю подключение, пишу мессаг - подключаюсь - отправляю - отключаюсь :)

Логи прикрепляю, смотрите. А сам занимаюсь попытками установки антивируса...

[quote=V_Bond;169091]через шары
давайте так ...[/quote]
Эээ...)

А сеть у меня используется только во время соединения с интернетом. Без подключения через нее передается конечно какойто трафик, но мизерный и через временные промежутки (скорее всего для поддержания связи). Если из телефонной розетки выдернуть шнур, то она упадет :)
Могу ее тоже отключать на то время, что не нахожусь в интернете (если посоветуете)

выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
DeleteFile('C:\WINDOWS\system32\vg109974.bak');
BC_ImportDeletedList;
BC_DeleteSvc('evojll');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог ...

Попытка установки Symantec Client Security:
Как и пару дней назад установка прекратилась на "запуске служб" - "убедитесь, что у вас достаточно прав для запуска системных служб". Из другого администраторского профиля установить удалось, но чувствуется, что ущербно - фаер не запустился, лайвапдейт не работает, Intelligent Updater якобы обновляет, но дата баз в программе остается той же, только что всплыло сообщение об отключении автоматической защиты.

Новые логи... (По - моему ничего не изменилось)

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
DeleteFile('C:\WINDOWS\system32\vg109974.bak');
BC_Importall;
BC_DeleteSvc('evojll');
BC_DeleteSvc('fwdrv.sys');
ExecuteRepair(6);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите арантин согласно приложения 3 правил ...

Есть!)

(Не могу понять закономерности по которой изменяется или удаляется avz.exe + в проводнике появился пункт "веб - папки", внутри пусто. Первый раз такое вижу)

сделайте virusinfo_syscure.zip посмотрим остался или нет.

Остался(

Безопасный режим загружается? попробуйте в нём выполнить скрипт, который предлагает [B]V_Bond[/B].

Безопасный режим по прежнему не загружается.
Мой случай безнадежен?

Выполните скрипт в AVZ:
[code]begin
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.[/code]
и пробуйте войти в безопасный режим. Если компьютер как бы зависает с пустым экраном - попробуйте подождать подольше, возможно минут 20.

Если получится безопасный режим, просто запустите в AVZ стандартный скрипт #3, он должен прибить все файлы зловреда. Затем перезагрузитесь в обычный режим и сделайте стандартный скрипт #2. Полученные таким образом новые логи прикрепите.

Вы прям волшебник :)
В безопасный режим войти удалось относительно быстро.
Скрипт выполнил, AVZ удалял пакости, лог прикрепляю.
Но это мало что дало. Перезагрузился, при проверке тоже самое, да еще и новые тревоги, лог прикрепляю.

Установил все - таки Kaspersky Internet Security. Постоянно ругается на тотже KillAV.ne, на Heur.AntiAV (модификация) и на клавиатурный перехватчик (system32\DRIVERS\anvosdnt.sys) (лечить их не может). В нескольких файлах на "win..." Trojan.Win32.Dialer.zz (во временной директории профиля) (их вычистил).

Интересно еще и то, что из dll'ок с именами вроде "vg109974" антивирус KillAV.ne вычащает, а за остальные файлы не берется. В целом, после установки антивируса, работа системы сильно замедлена, один раз, когда писал сюда сообщение (пишу его второй раз), произошел самопроизвольный ребут, на время (несколько перезагрузок) после этого перестал грузить страницы IE (антивирус чтото сделал), хотя протокол работал нормально...

Логи забыл прикрепить

Живучий какой, прям как Дункан
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('MCIDRV_2600_6_0');
QuarantineFile('MCIDRV_2600_6_0.sys','');
DeleteService('MCIDRV_2600_6_0');
DeleteFile('MCIDRV_2600_6_0.sys');
QuarantineFile('C:\WINDOWS\system32\vg109974.dll','');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
BC_DeleteFile('C:\WINDOWS\system32\vg109974.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Ну думаю вы в курсе:).....


Повторите логи avz

Как обычно...

iexplore.exe не хочет грузить страницы, пробовал переустановить компонент, ноль эффекта. Поставил другой браузер

[QUOTE=Weather;169007]
Скан Касперским: любимые файлы vg109974.dll, evojll.sys заражены Trojan.Win32.KillAV.ne. Всего 260 зараженных им объектов, которые не лечятся. По моим оценкам - все exe'шники на всех локальных дисках и несколько динамических библиотек.[/QUOTE]
вы эти файлы удалили? (я надеюсь )

Давайте попробуем так:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ch109974.dll');
DeleteFile('C:\WINDOWS\system32\eh109974.dll');
DeleteFile('C:\WINDOWS\system32\gj109974.dll');
DeleteFile('C:\WINDOWS\system32\vg109974.dll');
DeleteFile('C:\WINDOWS\system32\vg109974.bak');
DeleteFile('C:\WINDOWS\system32\vi109974.dll');
DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
после перезагрузки новый syscheck.

[QUOTE=V_Bond;169545]вы эти файлы удалили? (я надеюсь )[/QUOTE]
Как я их только не удалял, и вручную, в реестре убивая ветку, с помощью AVZ, другими утилитами антивирусными - после перезагрузки снова появляются...(

Пробую выполнить скрипт, отпишусь.

вы антивирусу разрешили удалить ?

[QUOTE=V_Bond;169676]вы антивирусу разрешили удалить ?[/QUOTE]
Dll'ки да, а остальные exe'шники нет (не вижу смысла удалять все исполняющие файлы в системе, на некоторые можно наплевать, конечно, но от некоторых плакать хочется, как они нужны, я бы давно уже переставил систему, так троян сидит даже в инсталлах нужных мне программ, которые я бы сразу стал устанавливать на новой системе)

Помимо syscheck, сделал syscure, как видите разница есть...

И еще хочется, если можно, консультации по поводу C:\WINDOWS\system32\drivers\klif.sys (см. логи)