Неуловимый вирус запускаемый из-под explorer лезет в сеть
Здравствуйте!
Помогите, пожалуйста, решить проблему, меня уже достали за последнюю неделю сообщения от Антивируса Касперского идущие с интервалом в 5 минут и чаще. Вирус очень хитрый, его никак не убрать. Он запускается из-под оболочки, и его не видит даже такая классная крутая штука как AutoRuns от SysInternals (хотя авторы заявляют, что она видит всё). Кроме того, бессилен сканер CureIt от DrWeb и установленный Антивирус Касперского 2009 (8.0.0.523) с последними базами на максимальном уровне проверки (настроенном вручную, с углублённой эвристикой, проверкой запароленных архивов любого размера и прочими радостями).
Эта зараза создаёт процесс svchost.exe (netsvc -k) от имени текущего пользователя (не SYSTEM); в автозагрузке, понятно, ничего нет. Запущенный процесс периодически стучится в инет на какой-то китайский сайт со словом "google" в URL (фишинговый сайт, как однозначно сообщает KAV). Если верить утилите ActivePorts, этот процесс вообще кучу портов резервирует локальных, а удалённый порт - 1110.
Ну и значит мне это дело никак не извести, а переустанавливать систему очень не хочется, потому что образа нет, а программ до кучи установлено.
Ещё маленькая претензия к работе компа - сильная задержка при загрузке трея в начале работы, где-то около минуты с лишним (работать в это время нельзя, почти ничего не реагирует). Из видимых вещей после задержки появляются значки сетевых подключений и Касперский, но кто знает, может, там ещё какие-то скрытые службы есть, из-за которых и тормозит всё.
Кстати, хотя разработчики AutoRuns на сайте пишут, что их утилита может определить последовательность загрузки модулей и выводиить их с её учётом, я там такой опции не нашёл. Или та сортировка, в которой они выводятся по умолчанию, и считается порядком загрузки?
Единственно в чём мне эта прога помогла - там было несколько ссылок в реестре на бывшие файлы вирусов (рандомный набор букв, все экзешники, причём написано FILE NOT FOUND), я их постирал, их там штук восемь было. Может, тормозить будет меньше при запуске?..
Правила, описанные у Вас на форуме, я все выполнил, Касперским и DrWeb также сканил, логи все прикрепляю. Но чтобы Вам было ещё ьлегче понять, что происходит, позвольте прикрепить серию скриншотов - вдруг чего прояснит.
Я кстати пробовал отключать RemoteRegistry и WebClient, потому что мне показалось, что они небезопасны - но это ничего не даёт...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSITтут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- скачайте новую версию AVZ - 4.35
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
Спасибо огромное!
Теперь всё стало заметно быстрее, едва ли не летает, тормоза при загрузке ушли. Процесс тот остался, но теперь на вкладке TCP/IP в Process Explorer чисто.
Логи прикрепляю, остальные шаги выполню когда из универа вернусь)
Не, тормозит при загрузке как и раньше. Хотя в инет больше не ломится)
Сейчас просканирую последней версией AVZ...
Нет пока информации по карантину?
P.S. Хотя кто его знает, может он "заедает" как раз не из-за вирусов... Вы не знаете, как можно оптимизацию автозагрузки провести?) Он главное и при вирусе быстро загружался, но мне пришлось вчера сделать откат (я что-то три дня назад напортачил (есть подозрение, что виной какая-то из микропрограмм восстановления в AVZ) и графическое оформление ОС испортилось, стало из голубого розовато-голубоватым и квадратящимся). И после отката тормоза вернулись. Я же не помню, что я тогда такого сделал, что от них избавился Там даже пара инсталяций-деинсталяций каких-то софтин вроде было.
Последний раз редактировалось popov654; 01.11.2010 в 17:36.
Чёрт! Он опять во всю лазит куда хочет. Вот скрины...
А всего-то комп постоял к инету подключенным пару часов...
Да я и сам хочу его поставить (SP3), только спасёт ли?..
Добавлено через 3 минуты
В общем, пока вопрос открыт: как сносить, чем сносить.
А, стойте, стойте.
Это наверно я виноват.
Вы не предупредили, что надо все точки восстановления ручками почистить перед тем как обратно его включить?
Мне кажется он оттуда каким-то неведомым образом перебрался...
Тогда мне теперь надо повторять все действия, начиная с запуска первого скрипта? Который длинный?
Добавлено через 3 минуты
Хотя это только предположение, может там было и чисто. Тогда непонятно, откуда он вернулся.
Последний раз редактировалось popov654; 01.11.2010 в 22:04.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: