Показано с 1 по 10 из 10.

Последствия заражения. Не обновляется KIS. (заявка № 44653)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32

    Question Последствия заражения. Не обновляется KIS.

    Добрый день.
    К сожалению, на ваш сайт набрел не сразу, поэтому порядок сбора информации и лечения очень сильно отличается от принятого у вас (читай, имена не были зафиксированы, и удалялось все в тот момент, как только находилось, всеми доступными способами).

    ОС: Vista HP SP1 (легальная) со всеми актуальными на прошлую среду обновлениями.

    Как было дело (чую, что вся эта писанина вам не понадобится, так как в логах все происходящее сейчас будет описано, но вдруг…):
    Во время последнего вэбсерфинга KIS7 трижды предупреждал о попытках загрузки троянов. Все три раза руками загрузка была запрещена. По окончании пользования эксплорером машина не ушла в гибернайт и не стала "завершать работу" через кнопку "пуск". От греха подальше комп был выключен долгим нажатием на "power".
    Утром при включении винда объявила о том, что "касперский" совершил ошибку и будет закрыт. Ребуты и попытки запуска руками ни к чему не привели. Так же перестали грузиться сайты Касперского в зоне ком (касперский.ру грузился, только это не спасало - у них даже картинки оформления сайтов на kaspersky.com лежат, не то что дистибутивы продуктов), eset.com, windows_update и как позже выяснилось z-oleg.com. Остальные сайты в зоне "com" работали.
    Так как из всех вендоров первым я смог войти на сайт Dr.Web, с его антивируса я и начал. Были найдены BlackDoor в c:\autorun.inf и \\windows\system32\ ”много_латинских_букв».dll , и еще что-то в c:\RECYCLED\ с разнообразным содержимым. Так как антивирус безбожно завис в последней четверти исследования процесс сканирования был остановлен, а все найденное было удалено через shift+del руками, заодно с еще не обнаруженным d:\RECYCLED\. После ребута согласился поставиться и зарегиться тестовый KAV8. Обновляться нормальным путем он не захотел. Проверка машины КАВом прошла до конца, ничего более найдено не было.
    Так как надо было восстанавливать работоспособность системы, поиском в инете была найдена AVZ4. Восстанавливать ВиндоусАпдэйт она не стала, а нашла два файла трояна Kuyak (или что-то вроде того) и с десяток подозрений на онлайн геймер троян и еще что-то. К чести программы надо сказать, что она успешно зачистила все «подозрения», хотя и не стала трогать два инфицированных файла (при попытке их вылечить\удалить программа ссылалась на то, что для удаления нужна перезагрузка, только сама программа ее делать не собиралась, а ребут системы на этой стадии не к чему не приводил). Файлы были удалены руками (один был в КЭШе ВиндовсЛайф, а другой в Виндовс\Инсталлер).
    С этого момента сканирование различными АВП больше ничего не показывает.
    Из того, что сейчас не нормально в системе:
    Не грузятся\находятся_в_сети сайты kaspersky.com, eset.com, update.microsoft.com, z-oleg.com.
    Какие-то проблемы с рабочим столом - архивы не удаляются полностью, остаются висеть пустыми папками.
    Происходят действия похожие на выполнение стороннего скрипта «нажатие на кнопку в программе», то есть текстовый редактор, иногда переставляет курсор вслед за указателем мыши.
    Что ремонтировать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    AVZ запускать с правами администратора, как написано в правилах. Правой кнопкой на AVZ.exe - Запуск от администратора.
    Логи переделайте

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32
    Сделал.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32
    Что, совсем все плохо? Рекавери диск онли?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    "Пофиксите" в HijackThis
    Код:
    O13 - Gopher Prefix: 
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CB8ED65-8520-4272-8420-2BAA51FDAA08}: NameServer = 85.255.112.197,85.255.112.183
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A7DCD1C-CAE1-40A6-8A93-779C5C59BEAC}: NameServer = 85.255.112.197,85.255.112.183
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.197,85.255.112.183
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.197,85.255.112.183
    Если после этого пропадёт интернет, то в настройках сетевого подключения пропишите DNS адреса вашего провайдера.

    Выполните скрипт в AVZ
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Логи повторите.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32
    Сделал.
    Виндовс Апдейт и обновление Касперского появились - между фиксом в HijackThis с выполнением скрипта в AVZ и нижеприведенными логами в автоматическом режиме произошла установка SP2 на MSO2007. Это я к тому, что симптомы могут быть смазаны

    ---------------------------------------------
    Забыл добавить.
    Между предыдущими и последними логами на машине появился Денвер (виртуальный сервер с виртуальным диском, пэхапэ и mysql). Стоит на D:\. В момент сканирования был выключен и все автозагруженные его процессы были убиты. Ну или почти все...
    Вложения Вложения
    Последний раз редактировалось mmorok; 29.04.2009 в 14:46.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - (no file)
    O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
    O2 - BHO: (no name) - {7418E5F5-0E48-4144-8F92-5CA791C82396} - (no file)
    O2 - BHO: (no name) - {DE713078-8012-4B75-92BA-398D4642A64B} - (no file)
    O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
    O9 - Extra button: (no name) - {A573D71B-951B-4BAD-B8CC-708AE84769C9} - (no file)
    И будьте добры, сделайте то, что написано тут http://virusinfo.info/showthread.php?t=3519.
    Это не займёт много времени

    Есть ещё проблемы?

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32
    Цитата Сообщение от light59 Посмотреть сообщение
    ...
    И будьте добры, сделайте то, что написано тут http://virusinfo.info/showthread.php?t=3519.
    Это не займёт много времени
    Файл сохранён как: 090429_162621_virusinfo_files_DM5253_49f8476d49bfd .zip
    Размер файла: 17822961
    MD5 ab4991020252e8aa0c00a6b0e81a724b

    Там правда, четыре браузера
    Цитата Сообщение от light59 Посмотреть сообщение
    ...
    Есть ещё проблемы?
    Вроде больше нет.
    Большое спасибо.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Только результат загрузки нужно было там публиковать.
    Но всё равно спасибо
    Код:
    В очереди на добавление в базу безопасных:
    высокий приоритет: 65
    обычный приоритет: 23

  11. #10
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    6
    Вес репутации
    32
    Я бы поостерегся добавлять.
    Вечером умер Вайфай, не загрузился ПантоСвитчер, итд...

  • Уважаемый(ая) mmorok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия заражения
      От Flash05 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.12.2010, 17:42
    2. Последствия заражения
      От Igger в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.12.2010, 10:15
    3. Последствия заражения!
      От Timpru в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.09.2010, 11:10
    4. Последствия заражения.
      От Gorski в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.05.2010, 06:47
    5. Последствия заражения
      От Vik в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 03:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00648 seconds with 17 queries