APPCRASH, StackHash (Windows 7 x64)

**BROTHER** · 05.04.2012, 11:37

Доброго времени суток)) Прошу вашей помощи, ситуация следующая:
ОС Windows 7 домашняя базовая (64разрядная) на ноутбуке.
Сестра скачала с какого-то сайта adobe photoshop cs5 в самораспаковывающемся архиве. Возможно, еще audiotranscoder, но говорит начались проблемы после фотошопа. После этого постепенно стали закрываться ВСЕ программы, при этом выдается следующее сообщение:
------------------------
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: HijackThis.exe

Версия приложения: 2.0.0.4
Отметка времени приложения: 4bc36b8b
Имя модуля с ошибкой: StackHash_d1a6
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Код исключения: c0000005
Смещение исключения: 00561946
Версия ОС: 6.1.7600.2.0.0.768.2
Код языка: 1049
Дополнительные сведения 1: d1a6
Дополнительные сведения 2: d1a669575716833f299fcbfd808d1e2d
Дополнительные сведения 3: 1065
Дополнительные сведения 4: 10650740642d1156316c9d73fd16dd4f
------------------------
Мне сообщила когда уже все программы стали "вылетать".
Самостоятельно установились также GuardMail.ru и SputnikMail.ru.
После удаления фотошопа, GuardMail.ru и SputnikMail.ru при загрузке сам по себе запускается firefox пытаясь пройти по адресу Mail.ru\cnt\9516 (один раз др. цифры) и запрашивает оставить ли поиск Bing по умолчанию (хотя никогда им никто на буке не пользовался) или Mail.ru.
Любые программы в т.ч. утилиты AVZ и др. возможно запустить только в безопасном режиме. Запустил на проверку AVZ -найдено 164 подозрения на вирус, ничего не удалено.
Все подозрительные Файлы в многократно вложенных папках Application Data:
С:\Documents and Settings\LUDMILA\AppData\Local\Application Data\Application Data\и т.д.
C:\Documents and Settings\All Users\Application Data\Application Data\Application Data\и т.д.

Решил обратиться к Вам, сделал проверку свежеобновленными DrWebCureIt и AVPTool. DrWebCureIt нашел и удалил два TROJAN.MAYACHOK.1:
C:\WINDOWS\SYSWOW64\DWLUYMH.DLL
C:\USERS\LUDMILA\APPDATA\LOCAL\TEMP\TMPC7AA.TMP
AVPTool нашел и удалил Hoax.Win32.ArchSMS.mzzy, в т.ч. в скачанном установочном файле фотошопа. Также во многих папках сидит RubarEngine.exe, AVPTOOL пишет not-a-virus: WebToolbar.Win32.Rubar.k:
C:\ProgramData\RubarEngine\ RubarEngine.exe
C:\Users\Все пользователи\RubarEngine\ RubarEngine.exe
C:\ЗАГРУЗКИ\audiotranscoderru.exe/data0039/RubarUpdateService.exe
C:\ЗАГРУЗКИ\audiotranscoderru.exe/data0039/RubarEngine.exe
C:\ЗАГРУЗКИ\audiotranscoderru.exe/data0039/RubarEngine.exe
C:\Documents and Settings\All Users\RubarEngine\RubarEngine.exe

На пару минут после этого в обычном режиме загрузки работы windows смог запустить AVZ после чего прямо в ходе проверки опять "программа будет завершена" и в "подробнее" та же ошибка APPCRASH и модуль STACKHASH. Остальные программы также снова стали «вылетать».
Скрипты AVZ и HiJackThis выполнил, логи прилагаю, пожалуйста, выручайте.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.04.2012, 11:38

Уважаемый(ая) BROTHER, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 05.04.2012, 14:45

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKCU\..\Run: [IE] iexplore.exe

Перезагрузите компьютер и сделайте логи virusinfo_syscheck и HijackThis в нормальном режиме.

**BROTHER** · 05.04.2012, 15:49

Спасибо за такой быстрый ответ)
Всё сделал, пожалуйста, посмотрите

**Bratez** · 05.04.2012, 16:37

Ничего зловредного в логах не видно.
Этот Rubar (Musicbar) или как там его, лучше конечно удалить, но это всего лишь безобидная адварка, а так все чисто.

**BROTHER** · 06.04.2012, 14:25

Спасибо большое, почти сутки прошли и пока программы не "вылетают", кроме самой AVZ - при запуске с опцией блокировки руткита закрывается с прежними симптомами:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.37.0.12
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: USER32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bdb3c
Код исключения: c0000096
Смещение исключения: 00015f99
Версия ОС: 6.1.7600.2.0.0.768.2
Код языка: 1049
Дополнительные сведения 1: 2ea8
Дополнительные сведения 2: 2ea8a25c1b38ae95882468e1aca20683
Дополнительные сведения 3: 235c
Дополнительные сведения 4: 235ce67c345df54f21eda49b8beca9e9
-------------
Искал информацию по теме, наткнулся на сообщение, что возможно это из-за 64-разрядности ОС.
Это нормально или всё-таки "рецидив болезни"?
----------
Запустил AVZ на проверку без блокировки руткита, опять прежние полторы сотни с лишним файлов с подозрением на Trojan.Win32.Agent2.byu
А также, C:\Windows\Performance\WinSAT\DataStore\2011-02-20 06.20.39.856.winsat.etl;2;Подозрение на IRC-Worm.Win32.Small.gh ( 1C3844D1 1DA7CD7D 004D6E44 0009046B 49152)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.5;2;Подоз рение на Trojan-Downloader.Win32.AutoIt.q ( 1CDEC0B4 1E621768 004D6E44 004D6E44 491520)
Чтобы понять есть ли смысл заморачиваться, хотел найти описание вируса Trojan.Win32.Agent2.byu и нашёл только то, что много у кого такая же ситуация и тоже не могут найти описание. Думаю, невозможно идентифицировать вирус программно, не имея его описания, если нетрудно подскажите где найти описание его действий.
Вряд ли Майкрософт делал систему так, чтобы было по 5-10 одноименных папок вложенных одна в другую как матрешки, поэтому, думаю для эксперимента, занести подозрительные файлы в карантин с помощью AVZ. Если знаете, пожалуйста, подскажите где найти информацию-описание, чтобы понять нет ли критически важных объектов в списке подозрительных ( сам список не прилагаю пока согласно правилам сайта). Как я понял, в основном там файлы журналов трассировки событий энергопотребления и пр.
Может быть что-то посоветуете на счет проверки подозрений на Trojan-Downloader.Win32.AutoIt.q и IRC-Worm.Win32.Small.gh - может быть есть утилита, специализированная на определении подобных вирусов?
Удалил спутника мэйлру и рубар из дополнений мозиллы; в истории загрузок адрес сайта с инфицированным архивом - downloadsphotoshop.com/ (если кто на форуме знает как добавить в какой-нибудь список опасных сайтов, чтоб новички не попадались, напишите плиз).

**BROTHER** · 09.04.2012, 16:57

Здравствуйте,
рано я обрадовался

через пару суток на буке перестали загружаться любые интернет страницы при том, что с сетью всё ок (сестра ни на какие левые сайты не заходила, только шторки посмотреть успела на сайтах

). Просканил всем чем можно, найдены и удалены еще какие-то "звери". После этого проверил с помощью MBAM, результат - удалено 10 ключей реестра с упоминанием удалённого на тот момент Rubar.
Пока всё нормально, но надолго ли не знаю

Поэтому очень прошу Вас посмотреть свежие логи HiJackThis и AVZ.
Настораживает наличие в них строк с Guard.Mail.ru и строка
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/9516
по этому адресу пытался пройти браузер до начала лечения.