-
Junior Member
- Вес репутации
- 43
Вирус в системе и в сети.Антивирусы не помогают!
Здравствуйте, прошу Вас помочь избавиться от вируса.
Все началось с того, что, поставив загружать торрент на закачку, с локального трекера провайдера "Билайн" город Ульяновск, я увидел в своем торрент-клиенте множество иностранных айпи адресов из США, Испании, Израиля и других стран, а также странные айпи типа VENOM-ПК, которые мне раздавали этот торрент. Причем количество раздающих и качающих постоянно росло( доходило до 500 ).Я посмотрел на трекере реальную информацию о раздающих и качающих( было 10 сидов и 2 пира), и их айпи адреса, в клиенте я их не увидел. Скорость загрузки была не более 2 мб/c, с такой скоростью я качал с внешних трекеров, с локальных скорость всегда доходила до 12 мб/c.
На сервер трекера не передавалась статистика о закачке, как будто я скачивал с другого ресурса. Сейчас такое же происходит с любым трекером и внешним и локальным. Переустановка торент-клиента не помогла.
Позже я стал замечать быстрорастущее число принятых интернет пакетов, хотя ничего не закачивал, а иногда наоборот – очень сильно увеличивалось количество отправленных, при том, что торент-клиент был выключен и даже браузер был закрыт.
В истории браузера я каждый день обнаруживаю сайты на которые не заходил. Например: browseridvaccinestats.appspot.com
Мне кажется, что вирус что-то постоянно скачивает на компьютер.
Систему проверял разными антивирусами( аваст, доктор веб, касперский, нортон, панда) в обычном и безопасном режимах. Нашлось несколько троянов, но проблема не разрешилась. Последняя проверка Panda Cloud Cleaner обнаружила несколько подозрительных соединений и закрыла их. После этого на дисках С и D появились скрытые системные папки System Volume Information и RECYCLER, а также множество системных скрытых файлов, например таких: AUTOEXEC.BAT, CONFIG.SYS, MSDOS.SYS, NTDETECT.COM. Также, почти во всех папках, появился файл Thumbs.db, а в некоторых desktop.ini, а также в папке Documents and Settings появились файлы:ntuser.dat, ntuser.dat.LOG, ntuser.ini. Папка WINDOWS стала видимой.
Norton Internet Security обнаружил 2 трояна в папках System Volume Information и поместил их в карантин:
Категория:Карантин
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Путь - имя файла
24.08.2012 19:13:32,Высокая,a0000530.exe (Trojan Horse) обнаружен Автоматическая защита,Помещено в карантин,Устранено — действия не требуются,d:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp2\a0000530.exe
Категория:Карантин
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Путь - имя файла
24.08.2012 18:26:54,Высокая,a0000515.exe (Suspicious.Cloud.AM) обнаружен Автоматическая защита,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp2\a0000515.exe
В реестре HKEY_LOCAL_MACHNE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Winlogon под Userinit C:\WINDOWS\system32\userinit.exe, появился подозрительный ключ Userini в котором вразброс были прописаны цифры и буквы. Его я удалил.
Также в диспетчере я заметил что некоторые процессы копируются, как например wscntfy.exe. Все стало очень медленно грузиться , несколько раз компьютер зависал.
Антивирусы по-прежнему ничего не находят!
Очень надеюсь на вашу помощь. Заранее спасибо за ответ)
Последний раз редактировалось kotyh; 25.08.2012 в 22:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) kotyh, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 43
папка Quarantine пуста, есть только virusinfo_cure.zip в папке LOG
-
- Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O3 - Toolbar: (no name) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Setup.exe','');
executerepair(16);
executerepair(20);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows
- Повторите логи.
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 43
Выслал карантин.
- - - Добавлено - - -
Сделал логи.
- - - Добавлено - - -
Журнал Norton Internet Security:
Категория:Брандмауэр - Действия
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
26.08.2012 6:40:59,Информация,"Передача данных блокирована функцией блокировки неиспользуемых портов. Входящее соединение TCP от 178.132.5.20, локальная служба Port (39832) .",Обнаружено,Действия не требуются,Брандмауэр - Действия
Передача данных блокирована функцией блокировки неиспользуемых портов.<br>Входящее соединение TCP. <br>Удаленный адрес, локальная служба: (178.132.5.20, Port (39832) ).
Категория:Защита от изменений продукта Norton
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Дата,Cубъект,PID субъекта,Цель,PID цели ,Действие,Реакция
26.08.2012 6:43:34,Средний,Блокирован несанкционированный доступ (Отправить окну прерывающее сообщение),Заблокировано,Действия не требуются,26.08.2012 6:43:34,C:\WINDOWS\EXPLORER.EXE,1940,C:\Program Files\Norton Internet Security\Engine\19.8.0.14\ccsvchst.exe,1116,Отправ ить окну прерывающее сообщение,Блокирован несанкционированный доступ
Категория:Защита от изменений продукта Norton
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Дата,Cубъект,PID субъекта,Цель,PID цели ,Действие,Реакция
26.08.2012 6:54:28,Средний,Блокирован несанкционированный доступ (Скопировать объект),Заблокировано,Действия не требуются,26.08.2012 6:54:28,C:\WINDOWS\SYSTEM32\SERVICES.EXE,688,C:\Pr ogram Files\Norton Internet Security\Engine\19.8.0.14\ccsvchst.exe,3424,Скопир овать объект,Блокирован несанкционированный доступ
Категория:Брандмауэр - Сеть и соединения
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
26.08.2012 6:54:25,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Teredo Tunneling Pseudo-Interface\" (IP-адрес: fe80::ffff:ffff:fffd%4).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
Защита подключения к новой обнаруженной сети через адаптер "Teredo Tunneling Pseudo-Interface" (IP-адрес: fe80::ffff:ffff:fffd%4).
Категория:Брандмауэр - Сеть и соединения
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
26.08.2012 6:52:47,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Automatic Tunneling Pseudo-Interface\" (IP-адрес: fe80::5efe:10.86.75.230%2).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
Защита подключения к новой обнаруженной сети через адаптер "Automatic Tunneling Pseudo-Interface" (IP-адрес: fe80::5efe:10.86.75.230%2).
Категория:Брандмауэр - Сеть и соединения
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
26.08.2012 6:52:09,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"NVIDIA nForce Networking Controller\" (IP-адрес: 10.86.75.230).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
Защита подключения к новой обнаруженной сети через адаптер "NVIDIA nForce Networking Controller" (IP-адрес: 10.86.75.230).
Категория:Брандмауэр - Сеть и соединения
Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
26.08.2012 6:51:46,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Loopback Pseudo-Interface\" (IP-адрес: fe80::1%1).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
Защита подключения к новой обнаруженной сети через адаптер "Loopback Pseudo-Interface" (IP-адрес: fe80::1%1).
- - - Добавлено - - -
Просмотр событий/Предупреждение/WinMgmt:
1.Поставщик HiPerfCooker_v1 зарегистрирован в пространстве имен WMI Root\WMI с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.
2.Поставщик Rsop Planning Mode Provider зарегистрирован в пространстве имен WMI root\RSOP, но не указал свойство HostingModel. Для запуска поставщика будет использоваться учетная запись LocalSystem. Это привилегированная учетная запись, и если поставщику не удастся олицетворить запрос пользователя, это может привести к нарушению безопасности. Проверьте, что поставщик не угрожает безопасности, и обновите свойство регистрации поставщика HostingModel до учетной записи с наименьшими привилегиями, необходимые для данной функциональности.
Последний раз редактировалось kotyh; 26.08.2012 в 07:45.
-
- Выполните в АВЗ:
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
end.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Сообщите какие проблемы остались, сообщения антивирусами давайте картинками, а не текстом.
-
-
Junior Member
- Вес репутации
- 43
Торрент- клиент теперь работает правильно. В истории браузера больше не вижу подозрительных сайтов.
Norton Internet Security продолжает блокировать какие-то входящие соединения и несанкционированные доступы:
Вложение 375558Вложение 375559Вложение 375560
Все подозрительные папки и файлы остались: System Volume Information( к ней нет доступа), RECYCLER,LocalService.NT AUTHORITY,NetworkService.NT AUTHORITY;
файлы ntuser.dat, ntuser.dat.LOG, ntuser.ini почти во всех папках Documents and Settings;
desktop.ini,Thumbs.db и много других файлов.
Последний раз редактировалось kotyh; 27.08.2012 в 01:25.
-
Сообщение от
kotyh
Все подозрительные папки и файлы остались
Нет в них ничего подозрительного. Обычные файлы и папки самой системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
При сканировании нортон нашел:нашел 26.08.2012 20:44:53,Высокая,a0002835.exe (Hacktool) обнаружен Вирусный сканер,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp5\a0002835.exe
фото не загружается
Последний раз редактировалось kotyh; 27.08.2012 в 01:27.
-
Сообщение от
kotyh
При сканировании нортон нашел:нашел 26.08.2012 20:44:53,Высокая,a0002835.exe (Hacktool) обнаружен Вирусный сканер,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp5\a0002835.exe
фото не загружается
Почистите старые точки восстановления и создайте новую.
-
-
Junior Member
- Вес репутации
- 43
Удалились старые точки кроме последней, создал новую и удалил предыдущую. Правильно?
- - - Добавлено - - -
После подключения к локальной сети появляется сообщение Malwarebytes Anti-Malware:Вложение 375617
Последний раз редактировалось kotyh; 27.08.2012 в 01:50.
-
Сообщение от
kotyh
Удалились старые точки кроме последней, создал новую и удалил предыдущую. Правильно?
Правильно.
Сообщение от
kotyh
После подключения к локальной сети появляется сообщение Malwarebytes Anti-Malware:
Это нормально, удалите MBAM.
-
-
Junior Member
- Вес репутации
- 43
Спасибо Вам большое за помощь
Но все ровно кажется, что в компе что-то ползает:CCleaner видит полно непонятных куки сайтов, как shop.conduitapps.com на которые я точно не заходил:Вложение 375912.
При загрузке windows в диспетчере появляются сразу два процесса wmiprvse.exe, стало раза в два больше svchost.exe, которые неплохо грузят процессор. Norton Internet Security блокирует соединения, что он блокирует ? это нормально?
Последний раз редактировалось kotyh; 28.08.2012 в 22:17.
-
Junior Member
- Вес репутации
- 43
Последний раз редактировалось kotyh; 29.08.2012 в 15:41.
-
Почистите кеш и куки браузеров, больше ничего не надо.
-
-
Junior Member
- Вес репутации
- 43
да чистил я куки и кеш, в истории они появляются снова, их видит CCleaner и пару раз нортон находил несколько следящих куки. Ну если Вы говорите, что все норм, то ладно)
Большое спасибо)
Последний раз редактировалось kotyh; 29.08.2012 в 15:46.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-