-
Junior Member
- Вес репутации
- 53
Коктейль из троянов после посещения сайта
Добрый день! Вчера вечером случайно кликнул на редирект на какой-то сайт. Стоял Norton AV 2005 - он ругнулся на вирус на сайте, я закрыл браузер. Ни по одной ссылке на том сайте не кликал, ничего не нажимал. И началось.
Сначала были такие симптомы - постоянное обращение к дисководу каждые 5 секунд. На все внешние носители записываются скрытые файлы Autorun.exe и Autorun.inf.
Не запускается Word, Outlook - пишет недостаточно памяти.
Сделал полную проверку Norton 2005 - без результатов. Установил ESET Smart Security 4 (разумеется базы везде последние), сделал полный скан - что-то удалилось, но все симптомы остались на месте.
Поставил Kaspersky Internet Security 10, сделал полный скан - симптомы остались. Создал загрузочный Kaspersky Rescue Disk, загрузился с него, сделал полную проверку жесткого диска. Опять удалил массу всего, как и при проверке в работающей ОС.
Симптомы остались. Прилагаю скрин Касперского:
Касперский начал что-то обнаруживать при старте системы, предлагал 2 раза вылечить в особом режиме с перезагрузкой - после этого слетел видеодрайвер, а вирус остался. Прилагаю логи.
Помогите, пожалуйста - нет бэкапов, поднимать систему неоткуда. Работает все хуже.
***
После лечения Касперским дисковод каждые 5 секунд "дрыгаться" перестал, но Word и Outlook не запускаются - пишут "недостаточно памяти".
Еще проблема - слетел видеодрайвер. Удалил, а обратно он не ставится! Просто вылетает при копировании файлов. Также выскакивало сообщение, что у меня нет прав на перезагрузку или выключение системы. Сейчас вроде работает.
Excel тоже не запускается - вылезает всегда пустая таблица. Пишет - "не может найти файл", хотя файл пока на месте (надеюсь он не поврежден вирусом? Для меня это катастрофа)
Как такое может быть при обычном посещении сайта (редиректе)? И можно ли еще что-либо сделать?
Последний раз редактировалось AndreyKa; 08.10.2009 в 09:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\mmmsmtrtmg.dll','');
DeleteFile('C:\WINDOWS\system32\mmmsmtrtmg.dll');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('c:\windows\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Свойства обозревателя - Безопасность - Выбрать уровень безопасности по умолчанию для всех зон.
Подключите какой-нибудь внешний накопитель.
Сделайте новые логи AVZ и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо за ответ! Закачал карантин - пароль virus.
Вопрос насчет карантина - я делал по инструкции, а там не сказано, что надо проводить лечение AVZ. Так что карантин дефолтный после скана как у вас в инструкции - это правильно?
Прилагаю новые логи.
***
Сделал как написали, скрипт выполнился, но комп завис при перезагрузке. Нажал Reset - стало лучше! Спасибо! Теперь Word, Excel и Outlook снова запускаются, дисковод не трещит каждые 5 секунд. Чем еще можно проверить, чтобы вытравить всю эту заразу?
Последний раз редактировалось AndreyKa; 08.10.2009 в 10:29.
-
Сообщение от
Old School
я делал по инструкции, а там не сказано, что надо проводить лечение AVZ.
По какой это инструкции?
Не надо одно и тоже в двух архивах загружать.
Системный файл C:\WINDOWS\System32\sfcfiles.dll восстановите из дистрибутива или возьмите из приложенного архива.
-
-
Junior Member
- Вес репутации
- 53
AndreyKa
Большое спасибо за помощь! Спасли жизнь!
Делал несколько раз проверку на вирусы KIS - что-то вылазило, наверное остатки, последний раз все чисто.
Беспокоят следующие строки из лога HiJackThis:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Этот файл - ctfmon.exe - должен быть в автозагрузке?
Кроме этого, делал проверку Dr. Web и получил такие сообщения (проверка KIS на этот момент уже давала отрицательный результат):
Я решил пока без вашего одобрения не восстанавливать Hosts в стандартное состояние - может быть, его KIS модифицировала? Стоит ли восстановить?
В целом система работает отлично.
-
ctfmon.exe - это языковая панель.
Файл hosts можно восстановить, в логах все нормально.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\mmmsmtrtmg.dll - Trojan-PSW.Win32.Small.ke ( DrWEB: Trojan.PWS.Webmonier.200, BitDefender: Gen:Trojan.Heur.PT.bC8ab04Ij5jc )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
- c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.ab ( DrWEB: BackDoor.Butirat )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-