Добрый день.
ОС - ХР SP3, антивирус DrWeb (всё лицензия со всеми обновлениями от разработчиков ПО). С понедельника DrWeb периодически ругался на различные вирусы и перемещал их в карантин. Делал полную проверку самим антивирусом, CureIt-ом, проверял с "свежезаписанного" диска Live CD от DrWeb. В результате ничего не помагает. Сейчас то Internet Explorer не запускается, то Java выдает ошибки.
По инструкции с Вашего сайта (из раздела диагностика) сделал следующее: AVPTool (ситуация не улучшилась), проверил с помощью AVZ (п.1 раздела диагностика) - получил два файла virusinfo_cure.zip и virusinfo_syscure.zip (последний прикрепляю). К п. 2 перейти не могу, т.к. после перезагрузки на компьютере появляется окно с надписью "Невозможно загрузить DLL xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку dll" далее активна только кнопка "перезагрузка". Табличка появляется и в обычном режиме загрузки и в режиме защиты системы от сбоев.
Что дальше делать просто не знаю. Буду благодарен Вашим рекомендациям и помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Geo_V, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сразу хочу оговориться, что все действия делал в режиме защиты от сбоев без поддержки сетевых драйверов. Во всех остальных случаях компьютер просто не загружается - в конце загрузки появляется окно с информацией о поврежденном dll (см. пой первый пост).
Сообщение от Nikkollo
Выполните скрипт в AVZ
Сделал
Сообщение от Nikkollo
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Выслал
Сообщение от Nikkollo
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Сделал но только в режиме защиты от сбоев
Сообщение от Nikkollo
Этот кейлоггер сами устанавливали?
c:\documents and settings\all users\application data\mpk\mpk.exe
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\BeTwinServiceXP.exe','');
DeleteFile('c:\documents and settings\all users\application data\mpk\mpk.exe');
DeleteFileMask('c:\documents and settings\all users\application data\mpk','*.*', true);
DeleteDirectory('c:\documents and settings\all users\application data\mpk');
DeleteFile('C:\WINDOWS\system32\BeTwinServiceXP.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','GinaDLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Попробуйте загрузиться в обычном режиме.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
(если не получится, то сделайте в безопасном режиме).
Вроде все работае нормально. Понаблюдаю сегодня-завтра. Сейчас осталось два вопроса.
1)
Этот кейлоггер сами устанавливали?
c:\documents and settings\all users\application data\mpk\mpk.exe
что делать с самой этой папкой MPK. Что это такое не знаю. Дата создания 12.04 (когда начались проблемы с компом. Объем папки сейчас 55 мб.
2) На компьютере часто пользуюсь флешками и периодически USB ключиком от банк клиента (ключик вставляю по необходимости, т.е. посточнно не держу в компе) так вот, перед тем как вынуть флешку делаю "Безопасное извлечение устройства" и заметил, что в списке отключаемых устройств (то в одном экземпляре, то в двух) присутствует некое устройство "USB shared device". Что это такое может быть? появляться это "устройство" стало тоже с 12.04. Комп пишет, что флешку можно вынимать только после того, как отключишь саму флешку и эти устройства.
1) Это папка кейлоггера (клавиатурный шпион), видимо установленный зловредом. Удалите ее вручную. И смените все пароли, особенно в банковском клиенте.
2) По логу у вас виден USB over Network Server от FabulaTech. Видимо дело в нем.
Если сами не устанавливали,то посмотрите в Панель управления - Установка и удаление программ что-нибудь похожее. Если не получится удалить вручную, могу написать скрипт.
1) Это папка кейлоггера (клавиатурный шпион), видимо установленный зловредом. Удалите ее вручную. И смените все пароли, особенно в банковском клиенте.
Папку удалил. Относительно паролей тоже уже думал на эту тему.
Сообщение от Nikkollo
2) По логу у вас виден USB over Network Server от FabulaTech. Видимо дело в нем.
Если сами не устанавливали,то посмотрите в Панель управления - Установка и удаление программ что-нибудь похожее. Если не получится удалить вручную, могу написать скрипт.
В Панель управления - Установка и удаление программ ничего похожего нет. Если напишите скрипт - буду благодарен.
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Для контроля сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Есть еще один файл - C:\WINDOWS\System32\WinSCard.dll
который пока не хочу удалять, т.к. не уверен, что он относистся к этому USB over Network Server, хотя и имеет ту же дату/время. Пока просто в карантин заберем.
И еще. Не знаю,что у вас за USB ключ от банк клиента, но похоже он теперь скомпрометирован злоумышленниками. Рекомендую обратиться в банк на предмет замены этого ключа.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Скрипты выполнил. Карантин прислал
Сообщение от Nikkollo
Для контроля сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Прилагаю
Сообщение от Nikkollo
И еще. Не знаю,что у вас за USB ключ от банк клиента, но похоже он теперь скомпрометирован злоумышленниками. Рекомендую обратиться в банк на предмет замены этого ключа.
Вы написали "похоже он..." Это абсолютно точно? В банке менять сам ключ или достаточно только смены пароля?
USB over Network Server теперь удален.
Эти "USB shared device" при извлечении флешки исчезли?
C:\WINDOWS\System32\WinSCard.dll в логе присутствует, отправлен в вирлаб на анализ.
Скорей всего он легитимный.
Пароль меняйте обязательно и чем быстрей, тем лучше.
Абсолютно точно я ничего утверждать не могу.
Но, судя по присутвовавшему у вас кейлоггеру и USB over Network Server, которые вы сами никогда не устанавливали, подозреваю, что кто-то хотел получить (или уже получил) ваши банковские учетные данные и копию этого банковского USB ключа. А имея все это на руках, этот кто-то может управлять вашим банковским счетом.
На вашем месте я сменил бы и ключ, если это не очень дорого.
USB over Network Server теперь удален.
Эти "USB shared device" при извлечении флешки исчезли?
Да, исчезли.
Сообщение от Nikkollo
C:\WINDOWS\System32\WinSCard.dll в логе присутствует, отправлен в вирлаб на анализ.
Скорей всего он легитимный.
Хотелось бы узнать результат
Сообщение от Nikkollo
Пароль меняйте обязательно и чем быстрей, тем лучше.
Абсолютно точно я ничего утверждать не могу.
Но, судя по присутвовавшему у вас кейлоггеру и USB over Network Server, которые вы сами никогда не устанавливали, подозреваю, что кто-то хотел получить (или уже получил) ваши банковские учетные данные и копию этого банковского USB ключа. А имея все это на руках, этот кто-то может управлять вашим банковским счетом.
На вашем месте я сменил бы и ключ, если это не очень дорого.
Завтра этим займусь. В принципе, кроме самого ключика и пароля есть еще один уровень защиты - OTP token. Кроме того пароль с OTP tokena надо вводить повторно и при подписании платежных поручений.
Проверил файл на Virustotal, детектов нет. (0 из 42).
Файл является частью системы и удалять просто так его нельзя.
Вирлаб может и не ответить Киберу, если они не нашли в нем зловредного. Ладно, подождем еще до завтра.
Есть подозрения на его подмену.
У вас Windows родной от Микрософт или какая-то сборка от умельцев?
Сообщение от Geo_V
Завтра этим займусь. В принципе, кроме самого ключика и пароля есть еще один уровень защиты - OTP token. Кроме того пароль с OTP tokena надо вводить повторно и при подписании платежных поручений.
Тем не менее я бы на вашем месте позвонил в банк и попросил бы временно заблокировать счет (если это не доставит сильных неудобств). Есть вероятность, что до завтра можем и не успеть.
У вас Windows родной от Микрософт или какая-то сборка от умельцев?
ОС - лицензия (как и весь остальной софт) со всеми обновлениями
Сообщение от Nikkollo
Тем не менее я бы на вашем месте позвонил в банк и попросил бы временно заблокировать счет (если это не доставит сильных неудобств). Есть вероятность, что до завтра можем и не успеть.
На этом счете денег в приницпе совсем немного , так что по этому поводу я особо не переживаю, но в банк позвонил. Завтра сам ключ поменяю. А вот пароль поменять займёт какое-то время.
По файлу C:\WINDOWS\System32\WinSCard.dll вирлаб ничего не ответил. Значит видимо не нашли в нем ничего явно зловредного.
Назначение этого системного файла - программный интерфейс для работы с смарт-картами.
Но у меня остается стойкое подозрение, что его подменили с какой-то целью.
Отпишитесь, когда получите новый ключ и разблокируете счет.
Но пока ключ не вставляйте.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: