А всё началось вот как. Давно, уже где-то год или больше пропала возможность делать chkdsk на диске C. Там, вместо синего экрана chkdsk теперь чёрный с белыми буквами экран, на котором chkdsk пишет, что её нельзя сделать. Но, до начала декабря этого года странностей больше чем это не было.
А в начале декабря (конце ноября) этого года случилось вот что. Я лазил через браузер Opera Next в интернете и, в какой-то момент, открылась новая вкладка, там что-то загрузилось что-ли, мелькнуло какое-то окошко прямо рядом со вкладкой. Или не мелькнуло))) Я так запомнил. Я не стал особо заморачиваться, тянуться закрыть её, а надо было. Затем, примерно через пару дней Антивирус Касперского начал что-то фиксировать, а именно что программа AdMuncher попыталась сделать что-то нехорошее:
not-a-virus:HEUR:AdWare.Script.Generic - так Каспер это назвал.
Выскакивало это окно касперского часто. Потом перестало. Я нашёл погуглил и нашёл тему со словами otherwaydo.top. Там советовали проверить расширения браузера и, в итоге, если этот человек выключал расширение Перевести 1.6, то эти сообщения пропадали. А само расширение пропало из магазина расширений. Что ж, я удалил это расширение, хорошо. Но, на этом история не закончилась. Касперский стал показывать, что Skype заражён:
04.12.2016 22.13.41;Файл удален при откате действий вредоносной программы;c:\users\hedin\appdata\local\microsoft\w indows\temporary internet files\content.ie5\2f489j0w\jquery-1.11.0.min[1].js;c:\users\hedin\appdata\local\microsoft\windows \temporary internet files\content.ie5\2f489j0w\jquery-1.11.0.min[1].js;Skype;globalroot\device\fancyrdrawport0target0 \totalcmd\utils\skype\phone\skype.exe;12/04/2016 22:13:41
04.12.2016 22.13.41;Значение реестра восстановлено при откате действий вредоносной программы;HKEY_USERS\s-1-5-21-1143375845-2538639565-2557577858-1000\software\microsoft\windows\currentversion\int ernet settings\proxyenable;HKEY_USERS\s-1-5-21-1143375845-2538639565-2557577858-1000\software\microsoft\windows\currentversion\int ernet settings\proxyenable;Skype;globalroot\device\fancy rdrawport0target0\totalcmd\utils\skype\phone\skype .exe;12/04/2016 22:13:41
04.12.2016 22.13.41;Файл восстановлен при откате действий вредоносной программы;\\?\globalroot\device\fancyrdrawport0tar get0\totalcmd\utils\skype\phone\data\rakot.007\qik db\qik_main.db-journal;\\?\globalroot\device\fancyrdrawport0targe t0\totalcmd\utils\skype\phone\data\rakot.007\qikdb \qik_main.db-journal;Skype;globalroot\device\fancyrdrawport0tar get0\totalcmd\utils\skype\phone\skype.exe;12/04/2016 22:13:41
04.12.2016 22.13.41;Выполнен откат действий вредоносной программы;PDM:Trojan.Win32.Generic;Skype;globalroo t\device\fancyrdrawport0target0\totalcmd\utils\sky pe\phone\skype.exe;12/04/2016 22:13:41
И далее, так же, удалена, обезврежена, выполнен откат.
Далее Каспер заподозрил, что TOTALCMD.EXE делает что-то такое, что явно указывает, что это какая-то вредоносная программа. И предложил лечить либо без перезагрузки, либо с перезагрузкой. Не помню что я там нажал и нажал ли вообще...
Не помню, потому что далее я использовал программу GMER и словил синие экраны (BSODы). А программа GMER написала мне на экране кучу всяких строк, что толи радоваться теперь, толи горевать, я не знаю...
Самое интересное как я думаю в этом логе вот это:
И ещё куча моих программ, память которых, как я понял заражена пока они запущены. Сами эти файлы, если их проверить на Virustotal ничем не примечательны, т.е. ничего не детектится.
После того, как я проделал восстановление правой кнопкой мыши в GMER на этих строках (понажимал Restore Code и Restore SSDT), то система стала работать по другому, а именно тормозила и не реагировала. И начались некоторые процессы, которых раньше не было, а именно:
В папке TEMP начали создаваться файлы. Сначала один и тот же файл с разными именами, текстовый, размером 1,3мб. Назывались эти файлы ioc66E9.tmp и т.п., однотипно. Файл с кодом, похожим на Java и кучей указанных сайтов, среди которых упомянутый otherwaydo.top. Потом, когда я начал более активно бороться с вирусом, папка Temp стала заполняться непрерывно файлами .tmp разного размера. Я посмотрел, а это она копирует разные системные файлы в папку Temp и называет их по типу tmpD41D.tmp. Я не проверил, заражены ли эти файлы или они такие же, как и в папках, откуда они были скопированы… В общем место на диске С закончилось, его там мало у меня вообще, около 1Гб. Я эти файлы поудалял, вроде остановилось. А также, кроме файлов из папки Windows туда попадали файлы Касперского и SpyBot'а, файлы программы Mem Reduct. Их там много она накопировала в папку Temp, около 2-3 тыс .tmp-файлов, пока место на C не закончилось.
Потом ещё одна странность, программа Malwarebytes Anti-Malware стала показывать, что программа AdMuncher пытается как я понял выйти в интернет на адреc pic.su или как-то так, точно не помню. Через гугл это был хостинг картинок, на который зайти я не решился. Такое ощущение, что кто-то шпионит, делает скриншоты и смотрит, что у меня на экране сейчас. Причём, когда это происходило, служба программы Malwarebytes Anti-Malware постоянно вываливалась и запускалась по новой.
Что ещё было. Давно, год или два назад стал вываливаться драйвер видеокарты. А вчера вывалился драйвер 3G-модема. И стала перезапускаться Opera примерно сегодня. Как раз в тот момент, когда решился зарегистрироваться на Вашем сайте и написать просьбу о помощи!
В общем на этом симптомы пока заканчиваются.
Что ещё предпринимал:
Через программу Autoruns нашёл, что в автозапуске прописан файл c:\Temp\gkernel.sys. В проводнике и в TotalCommander’е этот файл не отображается. Everything его тоже не видит. Причём AVZ его детектировал по указанному выше пути. Не помню точно как, по-моему с помощью утилиты GMER, я добрался до этого файла. GMER детектил много чего, среди процессов был кажется explorer.exe. Я нажал правой кнопкой толи Restore Code, толи Restore SSDT и после этого проводник стал видеть этот файл в папке Temp. Я этот файл тут же перенёс в другое место, в папку с вирусами, для отправки. Virustotal про него ничего не сказал плохого (https://www.virustotal.com/ru/file/1...is/1481386724/). Это плохо)). Но драйвер gkernel всё равно, как утверждает программа ProcessHacker, работает и тип запуска у него стоит «вручную». Остановить его ProcessHacker не может, удалить – тоже. Место расположения этого файла в ProcessHacker’е выглядит следующим образом:
\??\C:\Temp\gkernel.sys
Что это за два вопросительных знака? Где это место? Может ли это быть ещё один раздел на моём жёстком диске, который я не вижу? Если да, то как это увидеть? Кстати GMER выдаёт строки:
AttachedDevice\Driver\volmgr \Device\HarddiskVolume1klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume2klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume3klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume4klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume5klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume6klbackupdisk.sys
Но если по ним кликать правой кнопкой мыши, то, хм, ничего там я не увидел для того, чтобы воздействовать на это…
Утилита TDSSKiller, запущенная из-под системы ничего не находит. Даже если поставить ей галку «объекты для проверки – загруженные модули» и перезагрузить компьютер как она просит, чтобы установился драйвер расширенного мониторинга.
AVZ находит:
--Перехваты функций:
Функция NtAllocateVirtualMemory (13) перехвачена (83639CCC->D71EB2D2), перехватчик C:\Windows\system32\drivers\dwprot.sys
Функция NtClose (32) перехвачена (836545D8->91B18060), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateSection (54) перехвачена (8363314D->A4D4A874), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtCreateSymbolicLinkObject (56) перехвачена (836119D8->91B18130), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (836EBFE2->A4D4A9FA), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtCreateThreadEx (5 перехвачена (836804BB->A4D4AA8, перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtDeviceIoControlFile (6B) перехвачена (8368375F->91B18170), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (6F) перехвачена (83641771->91B18100), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (834C882C->D71EB55E), перехватчик C:\Windows\system32\drivers\dwprot.sys
Функция NtLoadDriver (9B) перехвачена (835D5C44->91B180E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (A4) перехвачена (8361BA34->A4D4A7EA), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtMapViewOfSection (A перехвачена (83656601->91B18110), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenProcess (BE) перехвачена (83621BA5->D7089104), перехватчик C:\Windows\System32\drivers\zamguard32.sys, драйвер опознан как безопасный
Функция NtOpenSection (C2) перехвачена (83679A0B->91B18020), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtOpenThread (C6) перехвачена (8366E112->91B18040), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtPlugPlayControl (CC) перехвачена (835F3642->91B18140), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (D7) перехвачена (83652661->91B18070), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtQueryIntervalProfile (F2) перехвачена (8371B4EB->91B18400), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (8360BE54->A4D4AB1A), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtQueueApcThreadEx (10E) перехвачена (83608011->A4D4ABAA), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtResumeProcess (12F) перехвачена (836EDD49->91B18420), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (836806E2->91B18150), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (836ED857->A4D4AC3A), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtSetInformationObject (14C) перехвачена (836184F7->91B18050), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (8365E38A->A4D46AF4), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtSetSystemTime (160) перехвачена (836A021E->A4D46CAA), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtSuspendProcess (16E) перехвачена (836EDCEB->91B18160), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (172) перехвачена (8366ADAA->A4D46D3, перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtTerminateThread (173) перехвачена (836886DB->91B18090), перехватчик C:\Windows\system32\DRIVERS\klhk.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (181) перехвачена (836749CA->A4D4A75C), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
Функция NtWriteVirtualMemory (18F) перехвачена (8366FAA7->A4D488F6), перехватчик C:\Temp\6932278-4D787B98-CB10E964-43B5C0\123f780483a.sys
--Маскировку процессов, подмену PID. Много строк таких:
Маскировка процесса с PID=6316, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 6316)
Маскировка процесса с PID=9624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 9624)
Маскировка процесса с PID=6644, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 6644)
Маскировка процесса с PID=544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 544)
Маскировка процесса с PID=9036, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 9036)
Маскировка процесса с PID=1580, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1580)
Маскировка процесса с PID=1984, имя = ""
Таких строк с маскировкой около 500...
--В диспетчере процессов AVZ много красных строк, пустых почти, в которых не отображается ничего, кроме PID и кроме колонки, где написано FU или UserMode Rootkit или KernelMode Rootkit.
Изображение
--Такую строку:
CmpCallCallBack = 00000000 (для процессора 2).
Перед применением GMER такого вроде не было.
Поставил галку "лечить" в AVZ, и прогнал ещё раз, она написала в конце, что перехваченные функции восстановлены и надо перезагрузить комп, т.к. многие программы могут работать после этого лечения некорректно. После перезагрузки AVZ снова нашёл и снова восстановил все эти перехваченные функции и так без конца.
Пробовал программы типа KVRT, Zelmana, HitmanPro, ESET Online Scanner, Reason Core Security, средство удаления вредоносных программ от Майкрософт (KB890830), MB Anti-Malware. Они толком ничего не дали.
Пробовал загрузочные диски:
Kaspersky Rescue Disk – тоже не преуспел. Он кажется (уже не помню) толи досканировав до конца, говорит, что всё чисто, толи закрывается, не окончив сканирование. Проводник в этом загрузочном диске тоже не видит некоторые файлы, толи есть там gkernel.sys в папке Temp, толи его там нет.
Пробовал загрузить компьютер в Безопасном режиме - не получилось, долго висело на какой-то строчке и потом пошла перезагрузка.
Есть ещё файлы, которые я надыбал в окошке «модули пространства ядра» в AVZ. А именно:
C:\Windows\System32\Drivers\dump_diskdump.sys
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_iaStorA.sys
Эти строки в AVZ не красные и не зелёные. Описания и производителя у них нет. Проводник эти три файла не видит.
Больше пока не знаю, что предпринять, надеюсь на Вашу помощь. Логи работы программы AutoLogger прикрепляю.
Опа! После запуска программы AutoLogger и прогона всех скриптов и всего, что в ней, у меня на диске C:\ освободилось место! Сейчас 3,4Гб, а было около 1Гб. Раньше, около года или больше назад припоминаю, место куда-то пропадало самым мистическим образом. Никакие Ccleaner'ы не могли помочь. Хотелось бы знать, как именно вернулось место и чем оно было занято, вирусами, которые удалились или моими файлами. Которые удалил вирус? Ещё после прогона AutoLogger вроде стала шустрее работать система. Но драйвер gkernel всё равно как написано в программе ProcessHacker стоит и работает.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Hedin.007, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Если я правильно понял нужно прислать файл AutoLogger\AutoLogger\AVZ\LOG\virusinfo_autoquaran tine.zip
Форма http://virusinfo.info/upload_virus.php?tid=206755 мне сказала, что данный файл уже был загружен! Да и весит он 22 байта почему-то. Там файлов как-будто нет в этом архиве, хотя архив есть))
Место на на диске C:\ снова пропало! Причём какая-то странность, диск C у меня объёмом 36Гб, а объём файлов показывает 37,6Гб. Смотрите на скриншотах! Treesize Pro вообще показывает, что диск объёмом 38Гб, а занято 38,4Гб.
Ну руткита может и нет, но вирус-то есть. Комп медленно загружается, в папку темп копируются мои файлы, каспер периодически выдаёт сообщение. Может поможете?
Оставьте одного Касперского, остальные антивирусы удалите, нельзя такой зоопарк держать, они друг с другом дерутся и тормозят. Нет у вас ничего зловредного.
Дык это я их поставил только тогда, когда Касперский начал выдавать такое и не справляться со своей задачей. Ну, хорошо, тормоза - это ладно, дело понятное, поправим! Удалю всё антивирусное, кроме Каспера, но останется то, что в папку Темп будут копироваться файлы, тысячи, все системные файлы, тысячи, пока место на диске С не закончится полностью! Какая легальная программа их туда копирует?! Я такого раньше не видел никогда. Уже больше 15 лет пользуюсь компьютером, но такого не встречал. И началось это после того как стали появляться тревожные окна Касперского и 2) я попробовал понажимать кнопки в GMER. Как только понажимал, так всё пришло в движение.
Да, кстати, я нашёл вот что в кэше браузера Opera. Это текстовый файл и там эти строки http://otherwaydo.top и т.п., про них я в самом начале писал:
ашттпДвоеточиеДваСлэшаRgho.stСлэш76pzQTFWL - это ссылка, а то предыдущие разы не проходила почему-то, ещё утром писал, кстати, а как правильно?
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Доброго времени суток!
Удалил всё, что Вы написали, оставил одного Касперского и поставил его новую версию.
Копирование в папку Temp не прекратилось, но замедлилось значительно. Теперь вместо сотен файлов размером 1,3 мб (одинаковых) там появляются лишь несколько десятков и они как-будто недокачанные, некоторые по 0 байт, некоторые побольше, едва достигают 1 мб. Несколько раз вываливался Касперский и перезапускался. Вот только что заметил, что 3G-модем останавливается, как-будто его тоже кто-то выключил, устройства нет, потом оно появляется и соединение восстанавливается. Раньше такого не было. Место на диске С тоже то пропадает, то появляется, хотя, возможно это операционная система так работает, не знаю, наверное. Хм, стали какие-то фризы курсора мыши на несколько секунд появляться, раньше такого никогда по-моему не было. Хм, что ещё сказать Каспер пока молчит, пару дней за компом посидел пока.
Сделал логи FRST снова.
PS. Уже после написания этого сообщения увидел, что Касперский не может выполнять проверку на вирусы по требованию и быструю проверку. Пишет, что при последнем запуске проверки произошёл сбой. После перезагрузки компьютера, проверку делать снова можно. Что-то явно не в порядке. Что ещё можно сделать?
PPS. А и ещё одна зацепка, Opera Next только что распознала одно из расширений как вредоносное и отключила его. А именно вот это, XTranslate 2.1.2 - https://addons.opera.com/ru/extensio...ls/xtranslate/. Может из-за него всё было, посмотрю ещё.
Последний раз редактировалось Hedin.007; 12.01.2017 в 12:18.
Удалите Java(TM) 6 Update 45, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 111.