Уважаемые форумчане! Я понимаю, что моя проблема покажется вам немного "странной" ввиду МАЛОСТИ информации о ней. Всвязи с этим даже и не буду пытаться кого-то уговорить помочь мне. Если можете помочь и не лень это сделать - я буду только рад.
Симптоматика такая:
Система - WinXP;
Антивирус - NOD 32 v3.0;
Outpost Firewall 4.0;
И куча другого софта
Как всегда в таких случаях "скачал архив с, предположительно, полезной мне информацией, открыл, а потом...". Потом (вчера), впервые, на материнке (во время работы винды) начал пищать динамик с частотой 1 писк в полчаса. Я как-то этому значение не придал - подумал, что проц нагрелся/ещё что-то не очень страшное (я думаю это к делу не относится, хотя...). Сегодня компьютер поработал часа 2 и перегрузился без моего ведома.
После перезагрузки ни антивирус, ни фаервол не запускаются. Невооруженным глазом ничего не увидел (в реестре и папках system\system32). Но опять же - это мой ламерский невооруженный глаз.
И вот тут самое интересное: при попытке зайти в безопасный режим винда валится в BSOD. HijackThis и CureIt не запускаются, а AVZ и AVPTool даже не устанавливаются.
Зашел на сайт панды для онлайн-проверки на вирусы (использую в качестве браузера оперу). Естественно, мне посоветовали использовать либо експлорер, либо адсколисый браузер. При попытке зайти на сайт панды из этих браузеров мне ненавязчиво намекают "доступ запрещен".
Всвязи с перечисленным не имею никакой возможности прикрепить какой-либо лог (а если какой-нибудь могу, то подскажите какой - сразу прикреплю). Так же понимаю, что моего описания в стиле "оно неработает" не очень-то и хватает, но ничего поделать не могу. Надеюсь на ваш профессионализм, либо на то, что не будете сильно ругаться
Винду переустанавливать не хотелось бы - на системном диске есть важная для меня информация.
Помогите, пожалуйста...
Апдейт: пробовал касперский онлайн, но:
"Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.
You must be online to update the Kaspersky Online Scanner 7.0 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7.0. [ERROR: Scan has failed to start. [0x80004005]]"
Щас скачаю AVZ и оформлю как надо
Последний раз редактировалось beastman; 02.05.2009 в 20:58.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте файл http://rapidshare.com/files/199106177/toto.pif (это более свежая версия AVZ, но в ней не обновляются базы).
Сохраните в отдельную папку и сделайте логи по Правилам в нём.
Понимаю, что это мои проблемы и что испытываю Ваше терпение, но:
"Your IP address ХХХ.ХХХ.ХХХ.ХХ is already downloading a file. Please wait until the download is completed"
Внешнего айпи у меня пока нет, да и премиум аккаунта тоже, так что не моглы бы Вы залить на другой файлообменник?
К сожалению, запустить AVZ не удалось.
Как *.bat - "не является приложением win32", как и все другие антивирусы
Как *.pif - на мгновение открывается какое-то окно (непонятно какое - быстро закрывается) и никаких результатов
Пытался заниматься онлайн лечением от всех возможных производителей (Eset, Avast, Kaspersky, Symantec и др.). Все как один - "нет доступа", "ошибка" и тому подобное.
[off]Привык решать все вопросы с компом сам, но тут "хорошая" зараза засела - первый раз обращаюсь за помощью Уже отчаялся.[/off]
Апдейт - пытался пользовать RSIT. Тщетно.
Ещё апдейт.
Проверил Gmer'ом - нашел руткиты. Вот только убить их не получается.
Последний раз редактировалось beastman; 03.05.2009 в 02:16.
Зайдите в раздел "File" нажмите "Scan" и сделайте этим файлам "Wipe File"
Код:
C:\Documents and Settings\Администратор\Application Data\drivers\wfsintwq.sys
C:\Documents and Settings\Администратор\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Администратор\Application Data\m\flec006.exe
C:\WINDOWS\system32\DRIVERS\sr.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
Файлскан показал, что ни одного из этих файлов нет.
Зато я, из чисто природного любопытства открыл .../Application Data/drivers и помимо srosa2.sys увидел там ещё много чего, включая названные Вами файлы. Так же в диспетчере задач были процессы "flec006.exe" и "winupgro.exe" ранее невидимые.
Поступил так: процессы и файлы убил, наивно полагая, что поможет. Не помогло. После перезагрузки все тоже самое.
После повторной перезагрузки RootRepeal все-таки обнаружил эти файлы, которые я благополучно wipe'нул. Перезагрузил машину. И тут у меня возникло чувство, что кто-то надо мной издевается, потому как при загрузке открылись каскадом 3 досовских окна "winupgro.exe", "flec006.exe" и ещё какое-то (не успел прочитать, т.к. они быстро исчезли).
Повторил лог.
Повторите действие в RootRepeal предварительно отключив exe файлы с автозагрузки...
Извините за, видимо, недостаточный уровень знаний, но какие exe файлы убрать из автозагрузки? И как? Тех файлов, что являются вредоносными (srosa, german.exe и т.д.) в автозагрузке нет (смотрел через RegCleaner). В диспетчере задач их тоже не наблюдается. На диске С, где они находятся их тоже не видно.
Пробовал Dr.Web liveCD - обнаруживает троян WIN32.HLLM.Bagle. Удаляю все файлы, что он обнаруживает (архив-источник заразы удалил сразу). Кстати - дрвеб почему-то зависает. Раза 4 запускал - постоянно зависал на разных стадиях поверки диска. Но таки проверил по отдельности все логические диски. После "очищения" винда запустилась, но фаервол и нод мертвы все равно. AVZ запустился секунд на 30, но потом закрылся и не подает признаков жизни.
По совету использовал для проверки OSAM. Тоже нашел Beagle. Лог прилагаю.
Апдейт: RemoveAny отказывается убивать.
"Removal details
Terminated process(es):
c:\windows\system32\wintems.exe - (This is protected from the removing.)
c:\documents and settings\администратор\application data\m\flec006.exe - (This is protected from the removing.)
c:\documents and settings\администратор\application data\drivers\winupgro.exe - (This is protected from the removing.)"
Последний раз редактировалось beastman; 04.05.2009 в 02:01.
Поискал в нете информацию по моим симптомам и нашел 2, довольно хорошо (хотя есть там и то, что у меня нет) вписывающихся под описание файлов, которые нашел дрвеб, зверя Trojan-Proxy.Win32.Mitglieder (http://www.exterminate-it.com/malped...e-mitglieder-q) и Bagle.KP (http://www.exterminate-it.com/malpedia/remove-bagle-kp).
Сейчас в процессе лечения.
[off]Если ссылки на сторонние ресурсы здесь запрещены, то по первому же требованию удалю, ибо может быть воспринято, как реклама (и в мыслях нет)[/off]
Апдейт: последняя, на данный момент, попытка. Замечена закономерность: при сканировании Malwarebytes' Anti-Malware находит "хвосты" Bagle, которые становится возможным удалить (что я и делаю), после перезагрузки системы становятся видимыми/доступными все(но, видимо, не все) файлы из описания второго трояна(см. ссылку выше). Пользуясь exterminateIt можно проинспектировать где ещё на диске\в реестре прячутся трояны\черви. Т.к. программа платная, а сейчас довольно поздно для покупок (да и что-то не хочется), то все найденные файлы\ключи реестра удаляются вручную (после чего повторно проверяются все диски и реестр).
Результат: все тоже самое, только AVZ проработал не ~30 секунд, а около минуты. Проблема остается.
Последний раз редактировалось beastman; 04.05.2009 в 03:40.
После комбинированного использования Malwarebytes' Anti-Malware, RootRepeal, removeany и osam были изгнаны все (или не все) подозрительные процессы, ключи реестра и файлы. Затем заработал avz. Онлайн сканер Касперского тоже заработал. Обнаружил "хвосты" трояна, вот только проблема небольшая - ничем не могу найти папку C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UN3MJFMA\ в которой якобы что-то есть. Честно говоря не могу найти уже на стадии Temporary Internet Files - такая папка у меня всего одна и она не в Documents and Settings.
Вроде все работает нормально (кроме "испорченного" нода и фаервола), но перезагружать машину как-то боязно.
И ещё один вопрос - как восстановить удаленную зловредом ветку реестра, которая отвечает за загрузку в безопасном режиме?
Последний раз редактировалось beastman; 04.05.2009 в 12:29.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: