Здравствуйте,прошу содействия с этой бякой.
Ситуация следующая :При смене антивируса с nod 2.7 версии +agnitum фаервола последней версии на нод 4 версии и фаервол comodo.
Обнаружился в оперативной памяти вирус win32/agent.odg (по сообщению сканера нода).и что очистка невозможна.
Имеющаяся до этого защита не выявляла данного субъекта при регулярных полных проверках+ dr.web cure it! 1-2 раза в месяц.
Замеченные вередоносные действия-
-обрыв открытых интернет соединений,
-в браузере оперы вместо адресной строки ,
появляются произвольно надписи testtestesttesst ,
-проблемы со скачиванием файлов через майл агент или icq -невозможно принять,
-ссылки на сайтах не открываются или выбрасывается на рефер -сайт gogle или westbyte(download master),качать удается через total commander по прямой ссылке.
-Обновление программ не работает,сайты обновления windows,
-не открывается ряд сайтов по безопасности .
Следую согласно вашей инструкции.
Проверка AVPTool -не принесла результата.(лог есть если понадобиться)
Надеюсь на вашу помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=43110).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделал,как сказали,вроде помогло.Нод 32 больше не ругался на вирус,программы стали обновляться,сайт виндовса открывается.
Но при обновление ядра нод обнаружил еще схожий вирус ,правда уже очистил и удалил win32/trojanclicker.agent.nff (содержащийся в system 32 и system32/driver -msqpdxjskyenxo.dll и .sys).
Может нужны еще проверки от скрытой угрозы?Или все чисто?
файл который очистил скрипт AVZ выслал по форме.
Карантин выслал,новый лог приложил.
Нод опять нашел аналогичный вирус-троян в системной папке 32 и драйверах,видимо что-то их загружает.
Еще после удаления askbara ,загрузка пользователя в обычном режиме идет, ну очень ,долго -минут 15-20 и потом не видно строки запуска и рабочего стола,только диспетчер задач можно запустить ктрл+альт+дел и все.
В безопасном режиме проблем нет,программы работают и скорость не теряется.Как это исправить?
В логах больше нет аномалий?
Последний раз редактировалось Lumini; 04.04.2009 в 02:09.
Новые логи приложил.Проверился еще утилитой от gmer ,он обнаружил опять гражданина msqpdxynmylyax.sys в сервисах и драйверах +ключи в реестре.в режиме спрятанного процесса.
Заглянул в AVZ посмотрел карантин и папку инфицированных файлов-он оттуда пропал!?(может когда я его архивировал для передачи вам,отправляется сам оригинал ,а копия не остается?).
Откуда он опять появился-то ,гад.=(
правая кнопка мыши Force Delete на запрос ответьте положительно.
После удаления файлов перезагрузитесь!
Затем зайдите в раздел "Registry", по "My computer" нажмите правой кнопкой "Find Text" и введите:
Код:
msqpdxserv
Все что найдет удалить правой кнопкой "Delete", после каждого найденного ключа для того, чтобы продолжить поиск нажимайте по "My computer" правой кнопкой и выбирайте "Find Next"...
Скрипт выполняется,но карантин не ловится в папке пусто.
Скрипт как я заметил выполняется с ошибками,AVZ Guard не запускатся и
msqpdxserv.sys -ошибка прямого чтения.
в AVZ установлен мастер расширенного наблюдения,раньше гвард включался,а теперь нет.Пробовал и вручную включать и удалять AVZ c ключами по скрипту и заново запускать.Ошибка активации режима и все.
Пробовал по справке :использовать лечение и включать kernel и user mode.Не помогает.
Соотвественно gmer выдает тотже результать ,что и раньше в посте.
Может через gmer удалить эти зловреды? или есть скрипт для отладки AVZ?
Скрипт запустил.Карантин снова пуст.Gmer при экспресс проверке не выдает скрытого процесса,но при поиске в файлах
C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
C:\WINDOWS\system32\msqpdxjskyenxo.dll
не обнаружено.
При полном сканировании есть msqpdxserv.sys в сервисах
и куча ключей с такими переменными в реестре.
во всех ветках 0-17 'HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv .sys
Попробовал удалить сервис,появились какие-то предупреждения об угрозе windows и в итоге ошибка отказа действия ,но из списка он пропал.
Посмотрю что будет после перезагрузки.
msqpdxynmylyax.sys -у меня есть в архиве после первой ловли,могу еще раз переслать если нужно.
Реестр почистил.Логи сделал ,gmer более ничего вроде не находит,а вот утилита от аваста нашла в реестре скрытые ключи еще 18 штук ,непонятных каких-то(лог приложить не могу он весит около 12 мб.)
Hidden registry items found: 18
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] DMPortGUID=(binary value) **HIDDEN**
скопировал из лога.
это опасные элеметы?
Еще при нажимании на ссылки ,происходит редирект на сайт http://www.westbyte.com/dm/
как это убрать?
зайти в обычом режиме пользователя все еще не могу,длительная загрузкаи потом пустой экран с указателем мышки,диспетчер задач по ктрл+дел+альт и все.
Последний раз редактировалось Lumini; 05.04.2009 в 18:54.
Проблема с загрузкой и режимами решена-деинсталировал фаервол CoMODO один из его элементов guard32.dll попала в карантин AVZ.
Вопрос со скрытыми ключами в аваст и отсылкой на download master остается.
Последний раз редактировалось Lumini; 06.04.2009 в 02:24.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: