В процессе работы в системе самопроизвольно создаются маршруты в таблице роутинга.
До переустановки не запускался ie - вылетал с ошибкой.
В процессе работы в системе самопроизвольно создаются маршруты в таблице роутинга.
До переустановки не запускался ie - вылетал с ошибкой.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('\\?\globalroot\systemroot\system32\E0zwEAM.exe',''); QuarantineFile('C:\WINDOWS\system32\ovtbyt.exe',''); QuarantineFile('C:\WINDOWS\system32\ff_acm.acm',''); QuarantineFile('C:\WINDOWS\system32\febd07dd.exe',''); DeleteFile('C:\WINDOWS\system32\a99c801c.exe'); DeleteFile('C:\WINDOWS\system32\febd07dd.exe'); DeleteFile('C:\WINDOWS\system32\ovtbyt.exe'); DeleteFile('\\?\globalroot\systemroot\system32\E0zwEAM.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Карантин отослал.
Логи прилагаю.
ЗЫ. Маршруты продолжают создаваться.
1. Профиксите в HijackThis
2. Выполните скрипт в AVZКод:O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Temp\jlig.tmp 2nEDFBNEED',''); DeleteFile('C:\Temp\jlig.tmp 2nEDFBNEED'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\wm'); QuarantineFile('C:\WINDOWS\system32\drivers\.netsts5uwn.sys',''); DeleteFile('C:\Program Files\Common Files\keylog.txt'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог RSIT
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению
При перезагрузке подвис - сбросил reset'ом.
Карантин отправил:
Файла приложил.Файл сохранён как 100818_212159_quarantine_4c6c16b74f38d.zip
Размер файла 424342
MD5 1d0b8d2b952c3881363728d17e7db9b4
Маршруты добавляются
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\drivers\.netsts5uwn.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('.netsts5uwn'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог RSIT
При перезагрузке опять подвис - пришлось через reset.
Log RSIT во вложении.
Признаки проблемы остались.
Извините, но up
Ничего необычного не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Маршруты продолжают появляться самопроизвольно при запросах браузера или торрент-клиента или при прочих запросах к сети.
D:\>route print
================================================== =========================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 19 66 30 8a e5 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠шэшяюЁЄ яы
рэшЁют∙шър яръхЄют
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 20
66.102.13.83 255.255.255.255 192.168.1.1 192.168.1.20 20
78.25.161.203 255.255.255.255 192.168.1.1 192.168.1.20 20
78.36.187.173 255.255.255.255 192.168.1.1 192.168.1.20 20
78.62.35.42 255.255.255.255 192.168.1.1 192.168.1.20 20
80.77.160.85 255.255.255.255 192.168.1.1 192.168.1.20 20
85.30.249.44 255.255.255.255 192.168.1.1 192.168.1.20 20
85.140.155.76 255.255.255.255 192.168.1.1 192.168.1.20 20
87.119.243.219 255.255.255.255 192.168.1.1 192.168.1.20 20
87.239.27.122 255.255.255.255 192.168.1.1 192.168.1.20 20
91.195.91.216 255.255.255.255 192.168.1.1 192.168.1.20 20
92.101.191.106 255.255.255.255 192.168.1.1 192.168.1.20 20
92.112.10.65 255.255.255.255 192.168.1.1 192.168.1.20 20
92.243.181.44 255.255.255.255 192.168.1.1 192.168.1.20 20
95.79.22.177 255.255.255.255 192.168.1.1 192.168.1.20 20
109.197.138.55 255.255.255.255 192.168.1.1 192.168.1.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.20 192.168.1.20 20
192.168.1.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.20 192.168.1.20 20
216.246.90.119 255.255.255.255 192.168.1.1 192.168.1.20 20
224.0.0.0 240.0.0.0 192.168.1.20 192.168.1.20 20
255.255.255.255 255.255.255.255 192.168.1.20 192.168.1.20 1
Основной шлюз: 192.168.1.1
================================================== =========================
Постоянные маршруты:
Отсутствует
- Сделайте лог MBAM
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c1de446a-8770-4621-9378-f1922c74a36c} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\BitAccelerator (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил, проблема осталась.
Все Ваши маршруты вполне легитимные
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Это понятно, но то что они возникают сами - не нормально.
Когда включаешь, например, uTorrent список маршрутов вырастает до огромного размера.
А как по Вашему работать торрент-клиенту, если идет прием и раздача информации???
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я понимаю, что торрент-клиент открывает и принимает много соединений.
Меня смущает то, что с недавнего времени они начали прописываться в таблицу маршрутизации (для любой программы, окрывающей соединения).
По-моему открытие соединений не должно приводить в созданию прямого маршрута на Destination IP в таблице маршрутизации. На этот счет для внешних адресов (если руками не задано иное) должно быть одно единственное правило (маршрут по умолчанию):
а не туча маршрутов по одному на каждый конкретный адрес.Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 ХХ
Добавлено через 6 часов 31 минуту
У меня есть подозрение, что эта зараза запускается через скрипты Opera.
Подскажите, как проверить?
Последний раз редактировалось Sosna; 22.08.2010 в 20:08. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Sosna, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.