Показано с 1 по 15 из 15.

Сам проверяй, но хелперам доверяй! (заявка № 35659)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0

    Question Сам проверяй, но хелперам доверяй!

    В общем, дожил до просьбы о помощи.

    С одной стороны, вроде бы заборол за последние сутки всю навалившуюся заразу, да и проактивный подход (спасибо Вашему сайту, ну и своей голове немного) помог обойтись (пока) без особых потерь.

    Итак, сначала (2 дня назад) случайно обнаружил на всех логических дисках вирусные autorun.inf и файлы типа *:\resycled\boot.com

    Авторан, к счастью, не так давно весь отключил по здешнему совету, да и IE не пользую, так что всякая тварь, которую мне сие должно было накачать, не приползла (что и как должно было произойти, вычитал в одной из вирусных энциклопедий), да и сам вирь не запускался и не множился.

    Удалил, отправил ДрВебу файл (его быстро включили в базу).

    На следующий день (т.е. вчера) вечером обнаружил удивительную вещь: грохнулись все постоянные ярлыки из меню Пуск (те, которые туда добавляешь сам). Я насторожился, благо только что поборол зловреда. И тут вспомнил, что почему-то стали неактивными в меню Spider'a Вебовского (я абонент Корбины, и у нее с ДрВебом соглашение, так что антивир законный и постоянно обновляющийся автоматом) пункты "настройки файлового монитора" и "файловый монитор". Выяснилось, что служба Спайдера не стартует, несмотря на наличие в автозагрузке. Попытался запустить АВЗ, но и это не вышло. Короче, я все понял: поймал гада.

    И началось.
    Но сначала маленькое лирическое отступление: вообще-то, как всегда, виноват сам - отключил фоновое сканирование Спайдером сам (довольно давно), плюс сдуру отключил вход в систему с паролем (буквально накануне). К тому же, в начале декабря подключил резервную выделенную линию (Авангард ADSL), а в настройках забыл отключить NetBIOS через TCP/IP. Ну и накачал всякого в последние дни, конечно, впрочем, это-то дело привычное

    Короче, запустил OSAM (хвала Virusinfo!) и обнаружил два скрытых ключа в реестре для запуска сервиса msqpdxmhctofxb.sys и файла mssmbios.exe.

    Обоих отключил OSAM'ой моим Бен Ладеном, после чего первого вычистил AVG AntiRootkit'ом (msqpdxmhctofxb.sys и msqpdxmhctofxb.dll), а mssmbios.exe мочил долго и упорно, вычищая оставленные им в реестре следы вручную (узнал здесь), после чего - уже позже, в safemode - обнаружил его в Диспетчере оборудования и там тоже убил (по-моему, как-то вычистил и сам файл, но уже не помню точно). После OSAMa и AVG стали запускаться Spider Guard и AVZ.

    AVZ обнаружил кучу всего "интересного", часть которого я знал и не дергался, но и нового было немало.

    Почему-то оказался открытым сам собой авторан с CD (я, конечно, мог забыть его отключить, но вряд ли), обнаружились множественные перехваты advapi32.dll.

    Ну дальше я провел всю "Помогите"-процедуру, для чего сначала ушел в safemode, где прогнал свежескачанный AVP VRTool (этот обнаружил энное количество троянов в давно лежащих на диске упакованных файлах, что вполне понятно и ожидаемо, плюс убил файл msqpdxmhctofxb.dl_, которого до него никто не видел), затем - сканер ДрВеба (еще кой-чего старенького по мелочи :-), потом вернулся в нормальный режим и собрал логи.

    Собственно, их и высылаю с одним главным вопросом - вирусны ли перехваты advapi32.dll.

    Ну и остальное посмотрите плиз.

    Простите, что длинно, но надеюсь моя история и полученные мной уроки кому-то когда-нибудь помогут.
    ЗЫ. До сих пор со всеми вирями справлялся сам
    _____________***_______________
    ЗЗЫ. Да, забыл сказать, что в настройке подключения к Авангарду в процессе лечения обнаружился прописанным некий левый DNS-server, про который AVZ (вроде бы) сказала, что "похож на троянский". Был вручную удален переведением в режим "Получать автоматически".
    При этом никаких проблем с интернетом и прочей зловредной активности, кроме указанной, не обнаружилось. Жить ничто не мешало, даже отсутствие запуска монитора Спайдеровского.
    Разве что, судя по AnVir'у, почти все запущенные процессы начинали забирать на себя по 20 метров памяти (у меня стоит настройка автоматом освобождать память, если процесс ест больше 20Мб), чего не наблюдалось ранее и не наблюдается сейчас - после проведенных мероприятий. Впрочем, и тогда сие явление "на ощупь" никак не ощущалось - никакого дополнительного торможения...

    И еще - в качестве файрволла стоит Ghostwall, не позволяющий управлять доступом в Сеть на уровне приложений, так что кто куда ломился я не знаю, да особо и не нужно оно было раньше... Придется задуматься о переходе на что-нибудь более навороченное и тяжелое типа Comodo, наверное... А так не хочется...
    Вложения Вложения
    Последний раз редактировалось rodocop; 14.12.2008 в 21:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('F:\WINDOWS\system32\KCFG32.CPL','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Карантин залил.

    Заодно возник вот какой вопрос: может, это связано с данной инфекцией, а может нет, но вдруг кто-то подскажет - система (WinXP SP2) вдруг стала определяться как windows 2000.

    Сначала это проскочило на каком-то сайте, который может показывать инфу о системе, useragent'e и так далее. Я особого внимания этому не придал, но сегодня отказалась устанавливаться ХИПСа - Real-Time Defender Pro, мотивируя это тем, что
    The setup program only can run under Windows 2000 SP4/XP SP1, SP2/2003/2003 SP1
    При этом в Сведениях о Системе красуется Win XP SP2, як и було :-)

    Может, кто знает, как сие исправить?
    Последний раз редактировалось rodocop; 16.12.2008 в 01:00.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Интересно, а что по этому поводу скажет HijackThis? Только скачайте актуальную версию.

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Вот что он думает (в аттаче).

    hijackthis.log - это со всеми отключенными вручную резидентами
    hijackthis1.log - это сразу после загрузки системы.

    P.S. MyProxy, который был в прошлых отчетах, я сам ставил и сам же отключил (надоел он мне)
    _______________***_________________

    Лично меня в этих отчетах напрягло только появление левого DNS (85.255.116.34;85.255.112.231), однако в реальных настройках сетевых соединений (у меня 2 провайдера) он не появляется...
    Вложения Вложения
    Последний раз редактировалось rodocop; 16.12.2008 в 12:56.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    С включенным AVZPM сделай логи.

    MyProxy отключил или удалил?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    MyProxy не удален - просто отключен из автозагрузки.

    AVZPM загружен все это время...

    _____***_____

    Хм, в Менеджере служб и драйверов AVZ ВСЕ драйвера трактуются как незапущенные. Это глюк AVZ или нехороший признак?
    Последний раз редактировалось rodocop; 16.12.2008 в 14:45.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот это профиксить:
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.34;85.255.112.231

    А что на машине от БитДеффендера установлено?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    a ServiWin вот что одновременно выдает:

    AVZRK AVZ-RK Kernel Driver Запущен системный Boot Bus Extender AVZ Monitoring Driver 1, 3, 0, 0 AVZ Monitoring Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys

    uzqwodew AVZ-RK Kernel Driver Остановлен системный Boot Bus Extender AVZ Monitoring Driver 1, 3, 0, 0 AVZ Monitoring Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
    Непонятненько...

    Добавлено через 2 минуты

    Цитата Сообщение от PavelA Посмотреть сообщение
    Вот это профиксить:
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.34;85.255.112.231
    Пофиксил, правда руками - в IceSword'e

    А что на машине от БитДеффендера установлено?
    Уже ничего. Было дело - ставил/удалял, после чего от него какие-то службы оставались, я их как-то вычищал, и мне казалось, что вычистил...
    Последний раз редактировалось rodocop; 16.12.2008 в 15:32. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Извиняюсь, но вынужден еще раз задать один очень важный вопрос:

    не знает ли кто-нибудь, как исправить ситуацию с идентификацией системы как Win2000?

    Удалось выяснить вот что (программой SIW):

    Property Value
    Emulated OS
    Name Windows 2000 Professional
    Terminal Services in Remote Admin Mode
    Uniprocessor Free
    Running on the console.

    Underlying Operating System
    Name Windows XP (Professional)
    Terminal Services in Remote Admin Mode
    Uniprocessor Free
    Running on the console.
    С чего вдруг ХРюша стала эмулировать винтукей? И можно ли это отключить?

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    AVZ-RK Kernel Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
    - это нормальный драйвер от AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Цитата Сообщение от PavelA Посмотреть сообщение
    AVZ-RK Kernel Driver F:\WINDOWS\system32\Drivers\uzqwodew.sys
    - это нормальный драйвер от AVZ.
    Это-то понятно. Непонятно, почему он одновременно "запущен" и "остановлен"

    Добавлено через 3 часа 49 минут

    Спешу сообщить, что проблема с "подменой" версии ОС каким-то образом решилась сама. Ну не совсем сама - я много рыпался, но идентифицировать причину подмены равно как и "лекарство" я так и не смог.

    P.S. А что там про мой карантин слышно? Зловредина али нет?
    Последний раз редактировалось rodocop; 17.12.2008 в 16:44. Причина: Добавлено

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    KCFG32.CPL_

    Вредоносный код в файле не обнаружен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Ну что ж, будем считать, что пролечился успешно. Тем более, что природа "подмены Виндов", похоже, не вирусного свойства.

    Спасибо большое хелперам за помощь!

    ЗЫ. Я смотрю, уже весь интернет по здешним методикам лечит :-) На всех форумах логи АВЗ :-))) Большой респект автору тулзы! Реальная вещь!

    P.S. Дойду до "деньгоеда" какого-нить - скормлю немного денюжки в кошелечек заветный...
    Последний раз редактировалось rodocop; 18.12.2008 в 03:00.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) rodocop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Давно не проверял компьютер.
      От Ivan72rus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 14:35
    2. Давно не проверял свой ПК
      От amistad-dm в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.09.2009, 13:00
    3. проверял Nod'ом но он бессилен...
      От fantomfreak в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 12.03.2009, 23:51
    4. проверял п/к нод 32 пропал рабочий стол.
      От Vudik в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 08:45
    5. Kaspersky Internet Security 2009: Доверяй и проверяй
      От SDA в разделе Антивирусы
      Ответов: 6
      Последнее сообщение: 24.08.2008, 18:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01311 seconds with 17 queries