Помогите разобраться в такой беде. Извините за долгую историю, но придётся откатиться назад. <br>Стал замечать, что в браузере иногда начинал помигивать курсор, затем на ссылках появляются частично выделенные элементы (одна-две буквы) без срабатывания ссылки. Далее перестаёт двигаться линейка протяжки в окне и далее - полная потеря управления. Невозможно ничего закрыть, работает только кнопка свёртывания окна браузера (Опера 11.60). Зато начинают самопроизвольно открываться все ссылки, содержащиеся в экспресс-панели и закладках. Попытка заблокировать трафик или прочие операции с Каспером приводят к открыванию Менеджера лицензий и попытке снести ключ, KIS11 при этом серел и впадал в кому. При этом не работают Диспетчер задач и контекстные меню по ПКМ. Зато всё, что рядом с курсором - открывается в десятках экземпляров. Причём расширение файла не имеет значения. Всё это приводит к загрузке процессора и зависанию системы. Бипер сигналы в системнике подаёт. Адекватная реакция наступает только в случае выдёргивания модема при первых признаках "приступа". Вот тут начиналось самое интересное. На глазах поочерёдно закрывались десятки экземпляров открытых окон (самостоятельно), зато окна открытых страниц авторизации на форумах и Сервис-Гид от Мегафон - открывались снова многократно. Тут же вылазит сообщение об ошибке (нет сети) - и ярлычок открытой вкладки менял цвет на Оперскую страницу Ошибки. Вот по цвету и ориентируешься. После успокоения все открытые в одном экземпляре вкладки легко закрывались. Восстанавливалась управляемость и в Проводнике. Чистки и сканирования, обновления ничего не дали. CureIt! нарыл несколько заражённых файлов Troian Exploit, Troian Backdoor в старых точках восстановления, всё почистил. Эффект остался, причём работа браузера и наличие инета совершенно не влияло на бешенство Проводника. Привязать к чему-то конкретно эффект не удалось. Если порыться, я могу даже логи тех времён нарыть. Потом стали появляться признаки бут-вируса, что ли - частые ошибки с ростом бэдов при chckdsc. Самое интересное - стали появляться предупреждения от Каспера, что некоторые файлы ИЗМЕНЕНЫ и предлагать их блокировку, на что я ответил ограничением прав этих программ. Изменены: Opera.exe,AVZ.exe,gmer.exe, RSIT.exe и ещё пара неважных вещей, которые пылились без дела. Смущало то, что эти заявления я не смог найти в журнале. Естественно, снёс указанное и скачал с офсайтов снова. Затем стал хиреть Каспер, как-то нелепо быстро обновляясь. АВЗ вообще считал, что обновлений нет. Стали появляться BSOD'ы. Причём перемещёнными куда-то оказывались файлы обновления Каспера. В результате он умер, восстановление и переустановка не помогли. После падения системного диска в RAW и попыток спасти данные система была установлена заново с полным форматированием. Соответственно - программы тоже поставлены заново, даже закладки и прочее погибло - так что всё должно быть чистым. Певым делом был поставлен КИС12, обновлён. Затем - АВЗ с обновлением и полным сканированием. Хиджаком и Каспером так же прошёл полностью. Ничего не нашлось. А эффект появился снова. Система поставлена с другого совершенно дистрибутива, так что всё стало непонятным. LiveCD Dr.Web нарыл только безобидные кряки. Когда появились некоторые изменения в бешенстве Проводника (возможность открытия Диспетчера задач по Ctrl+Alt+Del с вводом задачи на запуск Хиджака или АВЗ) В логе Хиджака обнаружилась новая незнакомая запись типа "O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall ,0 (User 'LOCAL SERVICE') ". Дрянь эта фиксилась только после второго фикса. Похоже, что сам CTFMON.EXE в этой же ветке ключа S-1-5-19 подвергся модификации - потому как эффект появлялся после перезагрузки. Файл custom.inf не трогал, хотя там про этот ZZZZ упоминается. Думал, что достаточно выковырять весь изюм из rundll32.exe advpack.dll, но оказалось, что Проводник бесится даже при "чистом" логе!!! Куда рыть, люди?!
PS: не знаю, как систематизировать вложения. Логи Хиджака идут так - первый просто лог, далее - после первого фикса и после повторного. По данным лога АВЗ был запущен скрипт по мелким недостаткам-уязвимостям.
Последний раз редактировалось cadrovic; 29.12.2011 в 21:11.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) cadrovic, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Упоминания о ZZZZ встречаются даже в архивах форума за 2008-9 годы, но без особого развития в вопросах. Если это старая зараза - почему свежий КИС её не ловит? Есть ещё одно наблюдение - бесится всё при запуске системы или смене пользователя, выходе из ждущего режима. Длится около 5 минут. Время до появления повторных корчей во время работы не засекал, не могу сказать. Но напрягает очень Особенно при работе в браузере с открытыми авторизованными страницами. Потому как трафик бешенный и неудержимый, кроме зверского выдирания модема - больше ничем...
Ещё подробности - появился автовход в учётную запись пользователя, выключавшего комп. Через 5-7 минут работы - перезагрузка. Свежий лог:
Последний раз редактировалось cadrovic; 30.12.2011 в 07:26.
Уважаемый(ая) cadrovic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
