Подозрение на вирусы

Printable View

17.06.2008, 13:34
SSSergeich

Вложений: 3

Подозрение на вирусы

Прошу посмотреть мои логи. Подозрения на вирусы возникли из-за того, что:
1. Очень долго (от 5 до 30 минут) открывается папка "Мой компьютер"
2. Очень медленно копируются файлы с локального диска на локальный. Скорость порядка 1 - 1.5 мб/с (на другом компютере или на этом же но с другой ОС скорость копирования порядка 30-40 мб/с)
3. Часто подвисает MyIE2.
4. Очень долго перегружается или выключается компьютер. Около 4-5 минут.
5. Вирусы и трояны были выловлены на ноутбуке, с которым периодически обменивался данными.
17.06.2008, 14:20
PavelA

Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O21 - SSODL: CDRecorder025 - {A3BC5E20-0235-1ABF-9CE1-00AA00512025} - (no file)[/CODE]
Скрипт сейчас сделаю.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msapp.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
QuarantineFile('C:\WINDOWS\system32\apacheb.exe','');
DeleteService('msupdate');
QuarantineFile('C:\WINDOWS\system32\testcfgdll.dll','');
QuarantineFile('c:\windows\system32\winsys.exe','');
DeleteFile('c:\windows\system32\winsys.exe');
DeleteFile('C:\WINDOWS\system32\testcfgdll.dll');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин через красную ссылку. Kerish Doctor можно деинсталлировать.

Сделать новые логи.
17.06.2008, 15:46
SSSergeich

Вложений: 3

Пофиксил, выполнил скрипт. После перезагрузки запустил скрипты для сбора информации. Во время "исследования системы" скрипта лечения/карантина, AVZ был выгружен с сообщением об ошибке. Повторный запуск завершился нормально.
17.06.2008, 16:01
PavelA

Карантин прислал?
17.06.2008, 22:40
SSSergeich

Да, карантин выслал

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 9 минут[/I][/B][/color][/size]

Еще вот что заметил, если в AVZ включить максимальные настройки и запустить его, то после (не перегружая комп) "Мой компьютер" открывается сразу, если перегрузить комп, то опять долго не открывается, как описывал выше...
18.06.2008, 10:16
PavelA

попробуем вот так:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('testcfgdll.dll','');
QuarantineFile('msapp.exe','');
DeleteFile('msapp.exe');
DeleteFile('testcfgdll.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришли новый карантин, он д.б. поменьше.
20.06.2008, 08:51
SSSergeich

Вложений: 3

Карантин выслал.

Файл сохранён как 080619_234900_virus_485b36bcb59cd.zip
Размер файла 1088
MD5 68e6a0ef207824e0e935c944486f766f
20.06.2008, 10:27
PavelA

C:\WINDOWS\system32\apacheb.exe - остался вопрос только по вот этому файлу.

Если найдется пришли его через карантин.

Я бы еще посоветовал Kerish Doctor 2006 деинсталлировать. Он не сильно защищает компьютер.
20.06.2008, 11:23
SSSergeich

[QUOTE]
C:\WINDOWS\system32\apacheb.exe - остался вопрос только по вот этому файлу.

Если найдется пришли его через карантин
[/QUOTE]

Не находится такой :(

[QUOTE]
Я бы еще посоветовал Kerish Doctor 2006 деинсталлировать. Он не сильно защищает компьютер.
[/QUOTE]

У меня нет такого. Возможно раньше устанавливал, но и снес давно.
Стоит НОД32 и Agnitum Outpost.

"Мой компьютер" по прежнему дико тормозит. Также, при копировании больших файлов происходит 100% загрузка процессора, при этом в диспетчере задач не отображается какой именно процесс загружает систему... показатель загрузки (от 20 до 40 %) хаотически скачет по всем процессам.

Так понимаю, что проще переустановить новую систему, чем найти баги в этой. Но очень бы не хотелось...

в папке C:\WINDOWS\system32\ обнаружил подозрительный файл
~.exe размером 17 260 байт дата создания 30.05.2008. Антивирусники на него молчат.
20.06.2008, 11:32
PavelA

продолжим иссл-е:
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\GoalSaa7134.sys','');
SetServiceStart('GoalSaa7134', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\GoalSaa7134.sys','');
QuarantineFile('C:\Program Files\Kerish Doctor 2006\Doctor.exe','');
QuarantineFile('C:\WINDOWS\system32\apacheb.exe','');
SetServiceStart('MSDTCTrkWks', 4);
DeleteFile('C:\WINDOWS\system32\apacheb.exe');
DeleteFile('C:\Program Files\Kerish Doctor 2006\Doctor.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать новый карантин.
20.06.2008, 12:03
SSSergeich

Карантин выслал.
Файл сохранён как 080620_030131_virus_485b63dbec7e9.zip
Размер файла 31273
MD5 5c3ebc6fd25da4aaca4c3084bc98748f

Файл GoalSaa7134.sys - драйвер от платы видеозахвата
20.06.2008, 12:23
PavelA

Его никто не знает в гугле, вот он и показался мне подозрительным. Если что, потом можешь его включить в "Сервисах"

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Проверил - файл чистый.
20.06.2008, 12:49
SSSergeich

а файл ~.exe, про который писал выше, известный?
20.06.2008, 14:22
PavelA

Присылай его будем немного на него смотреть.
20.06.2008, 15:56
SSSergeich

Выслал в карантине.
Файл сохранён как 080620_065636_virus_485b9af4702d0.zip
Размер файла 17496
MD5 1ec49547fabe37c7af360251b17abbc6
20.06.2008, 16:14
PavelA

На вирустотал 5 сказали подозрительный, основные промолчали. В общем, на усмотрение пользователя.
21.06.2008, 16:01
SSSergeich

Ясно. Значит остается только винду переустановить :(
21.06.2008, 16:06
Bratez

Ну может быть оно и к лучшему. Как говорится, нет худа без добра. Ведь даже сама Микрософт рекомендует иногда переустанавливать, примерно раз в год. Только обязательно начисто, с форматированием системного раздела, иначе шило на мыло ;)
21.06.2008, 16:06
Rene-gad

[QUOTE=SSSergeich;244549]Ясно. Значит остается только винду переустановить :([/QUOTE]Почему так? По-прежнему медлено грузит или что ?
23.06.2008, 08:24
SSSergeich

[quote=Rene-gad;244551]Почему так? По-прежнему медлено грузит или что ?[/quote]

Да, все тормоза остались.
23.06.2008, 10:41
Rene-gad

[QUOTE=SSSergeich;245345]Да, все тормоза остались.[/QUOTE]У нас в оффисе тоже один комп есть - тормозил ужасно. Я его уже и вкривь и вкось всеми средствами проверял - ну нет зверья. Надоело мучиться - переставили систему. Сейчас летает :)
22.02.2009, 05:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\admdll.dll - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] (DrWEB: Program.RemoteAdmin.21)[*] c:\\windows\\system32\\testcfgdll.dll - [B]Trojan-Downloader.Win32.Agent.asl[/B][/LIST][/LIST]