Здравствуйте! Прошу помощи по обнаружению и ликвидации вредоносной программы.
После инфицирования был отформатирован системный диск, переустановлена ОС и осуществлена полная проверка системы антивирусными утилитами NOD32, Dr.Web, AVPTool и AVZ. Антивирусы угроз не видят, лишь AVZ в режиме Anti-RootKit (Kernel-Mode) пишет красным цветом две строчки: "CmpCallCallBacks = 00145A9F" и "Disable callback OK", но угроз не находит.
Однако, после установки драйверов и прочего ПО появляется масса разнообразных симптомов: исчезает подключение к сети, программы не запускаются ("нет прав доступа"), иконки меняют местоположение, в адресной строке браузера и в открытом текстовом редакторе появляются длинные строки "test" и "еуые", исчезает панель задач и прочее. После этого AVZ перечисляет много подозрительных файлов и процессов, но в конце пишет, что подозрений - 0, вредоносных программ - 0. Через некоторое время появляются сообщения об отсутствии системных файлов, а после этого - "синий экран смерти". Ситуация повторяется после каждой переустановки ОС.
Очень надеюсь на вашу помощь и заранее благодарю за внимание.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Странно. За полчаса до отправки сообщения я делал полную проверку с помощью AVZ (со вчерашними базами), и треть лога пестрела красным. Вот, например, характеристика, которую AVZ выдал файлу видеодрайвера "ati2evxx.exe":
Код:
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:С высокой степенью вероятности может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Таких файлов и процессов он обнаружил с полтора десятка. Сейчас, после обновления, ничего не видит.
Подскажите, пожалуйста, можно ли как-то удостовериться, что AVZ не обманут зловредом? Фраза "может бороться с антивирусами" настораживает.
И что на счет этих двух строк: "CmpCallCallBacks = 00145A9F" и "Disable callback OK". Их до инфицирования не было (я делаю регулярную проверку).
Вам ответили, что ничего плохого в логах нет. Не нужно быть таким подозрительным
Вы меня не поняли. Зараженные файлы никуда не делись: ни AVZ, ни я сам никаких действий к ним не применяли. Просто утилита их видит не всегда и не все.
Извините, если я вас оскорбил своей подозрительностью. Тяжело быть неподозрительным после трех дней борьбы с вирусом, который доводит систему до синего экрана за 40 минут с момента установки, при этом оставаясь незамеченным ведущими антивирусными утилитами. Я могу отправить вам в архиве те исполняемые файлы, которые появляются на диске С у меня на глазах, но остаются незамеченными всеми вышеперечисленными антивирусами.
Прямо сейчас у меня вылетел с ошибкой Explorer, и самозакрылся AVZ. Думается, что фраза "С высокой степенью вероятности может бороться с антивирусами" была написана программой не просто так.
Только что в безопасном режиме AVZ писал: "Опасно! Обнаружена маскировка процессов", и выдал два десятка строчек о нейтрализации кода руткита. Также нашел пару exe-файлов из тех, что возникли в папке Windows (их там больше, но он не видит). Прикрепляю новые логи.
Установка IE8 была ошибочным ходом. Запустить его толком не удалось (вирус быстро блокирует его работу), а времени на попытку обновить компоненты Windows было потрачено много (опять-таки вирус повинен в замедлении скорости). За это время на системный диск установилось еще много вредоносного, после чего аккуратно закрылись все активные приложения, исчез рабочий стол и панель задач. Я перезагрузил систему в безопасном режиме, сделал полную проверку с помощью MBAM, внимательно изучил, а потом удалил те объекты, которые он счел инфицированными. Оставил как есть генераторы ключей (давно лежат, угрозы не представляют) и файлы реестра с маркировкой PUM. В последнем не уверен. Что такое PUM? Нежелательные модификации системы?
Я думаю, что обновления не имеют значения конкретно в этом случае. Сегодня утром вся описанная выше ситуация повторилась. Пришлось повторить процесс проверки и удаления в MBAM, но, поскольку уже очевидно, что это не панацея, то я сам проверил поочередно все подпапки "Documents and Settings". Нашел то, что не заметил MBAM и все вышеперечисленные. По папкам были разбросаны номерные exe-файлы такого же вида, что и удаленные вчера с помощью AVZ, но с дополнительной цифрой в скобках: 50[1].exe, 51[1].exe, 52[1].exe и подобные.
Похоже на копии. Располагались тут:
Код:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\LocalService
Не понимаю одного: диск C был отформатирован, а D - чист; другие носители я временно не использовал; так откуда же эта зараз берется? Или я цепляю ее при посещении какого-то ресурса... Но за последние дни я меньше времени провел в интернете, чем за переустановкой системы, да и посещаемые сайты проверены временем. Тупик какой-то...
Думаю, в пределах дня будет ясно, помогло ли ручное удаление "хвостов".
Понимаете, мне важно удалить загрузчик, а не просто блокировать его деятельность. Поэтому обновления ОС меня не очень интересуют (ради формальности я установил все три пакета, которые мне предложил оф.сайт, но это ни на что не повлияло).
В соседней теме увидел похожую проблему, и там же - рекомендацию использовать GMER. Сейчас проверяю.
Прилагаю лог TDSSKiller.
И еще лог MBR Check.
Еще проверял с помощью Trend Micro Rootkit Buster, там лог вообще простой: "No hidden files/registry/processes/drivers found."
TDSSKiller, запущенный с ключем –l, почему-то дал сокращенный лог. Если необходимо, я приложу полный (оказалось, что сокращенный сохраняется в папке утилиты, а полный - в корне диска C). Но там все "OK", как он считает.
Последний раз редактировалось Disponsator; 24.10.2011 в 21:27.
Причина: сокращенный лог
Уважаемый(ая) Disponsator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Disponsator
