Показано с 1 по 17 из 17.

Selook - вирус?! (заявка № 48653)

  1. #1
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32

    Thumbs up Selook - вирус?!

    Вечер добрый всем!
    Прошу помочь, вот уже три дня как борюсь с этой проблемой.

    При входе в систему сразу-же начинает открываться куча окон ИЕксплорера, которые можно остановить только через диспетчер и то если успееш нажать. Причем это происходит в спонтанном порядке в разные интервалы времени. Это может быть сразу после входа в систему, а может быть и через 30 мин.
    Все окна имеют этот адрес "http://selook.net/d/i.php?t=1&ver=4&r=179825786". Адрес удалось записать только сделав удачный скриншот, т.к. после закрытия процесса нет ни единой записи в журнале.
    В момент запуска процесса, касперский начинает кричать "Попытка запуска браузера с параметрами командной строки -Embedding".
    Через ProcessExplorer видно что процесс iexplore.exe запускается через svchost.exe.
    Пробовал сканировать как сказано в правилах - ничего не обнаружилось, а после сканирования программой AVZ и перезагрузки - на некоторое время это все прекращается, но потом все заного начинается.
    Даже пробовал (незнаю зачем) восстановить систему через мастер восстановления с установочного диска системы. Проблема осталась... Зделал только больше хлопот - на диске была система с SP2, а до этого стояла SP3.
    Причем непонятно почему начал именно иэксплорер вылазить. Я им уже года 2 как не пользуюсь. Стоит Opera.

    Помогите пожалуста!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Выполните скрипт:

    Код:
    begin
     SetAVZPMStatus(true);    
     RebootWindows(true);
    end.
    Повторите логи...
    Последний раз редактировалось Aleksandra; 25.06.2009 в 05:03.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Вчера начались галюники с интернетом, а сегодня вообще не могу попасть в систему. Не запускается explorer.exe, а точнее его там вообще нет. Благо есть второй компьютер. Щас попробую скопировать файл на него - может чего-то и выйдет...
    -----------
    Запустился! Последние пару дней при загрузке было заметное ториожение во время экрана приветствия.
    Сделал новые логи.
    Вложения Вложения
    Последний раз редактировалось Shpinga; 25.06.2009 в 19:16.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
     DeleteService('Winachcf');
     QuarantineFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys','');
     QuarantineFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll','');
     DeleteFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys');
     DeleteFile('msansspc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + такой лог http://virusinfo.info/showthread.php?t=40118
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Карантин переслал. Получили?
    Сделал новые логи. Лог от Gmer не получился. В конце после 5 часового сканирования он завис и выдал BSOD. Попробую еще раз запустить.

    А пока вот стандартные логи.

    ------------------------
    Не получается завершить сканирование программой Gmer. В прошлый раз он завис на третьем диске, а щас пробовал по отдельности делать - тоже завис и BSOD в конце сканирования.
    Код ошибки: 0x000000c2 (0x00000007, 0x00000cD4, 0x020a005, 0x88Da6450)
    Прикрепил файл gmerPred.log это лог предварительного сканирования, которое делает программа при запуске.
    В конце там есть запись с файлом который был помещен в карантин.
    Вложения Вложения
    Последний раз редактировалось Shpinga; 26.06.2009 в 03:11.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.

    Код:
    gmer.exe -del service wzszxserv.sys
    gmer.exe -reboot
    Эти адреса Вам известны?

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
    Если нет, то пофиксите.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    wzszxymmwyqxt.dll - Trojan.Win32.Pakes.nnc
    Детектирование файлов будет добавлено в следующее обновление
    + к предыдущему совету

    Лог gmer попытайтесь сделать в безопасном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Сканирование в обычном режиме длилось всю ночь и еще продолжается, правда в данный момент это смахивает на то что он опять завис. В диспетчере видно что он еще занимает процессорный и оперативный ресурсы. Может так и должно быть? Пока BSOD'a небыло - попробую подождать еще немного.

    После выполения скрипта из П.6 в предварительном сканировании в Gmer уже небыло записи с "файлом".

    Я пофиксил адреса, т.к. они мне не знакомы.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Постарайтесь доделать все до конца и приложить лог gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Наконецто удалось сделать этот лог. Я его сжал, т.к. он занимал 16,5 мб
    Последний раз редактировалось Shpinga; 28.06.2009 в 02:45.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del file "C:\WINDOWS\system32\wzszxnqwenvrx.dat"
    gmer.exe -del file "C:\WINDOWS\system32\wzszxtlidwejp.dll"
    gmer.exe -del file "C:\WINDOWS\system32\wzszxyfwkqpkp.dll"
    gmer.exe -del file "C:\WINDOWS\system32\wzszxymmwyqxt.dll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\wzszxserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wzszxserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wzszxserv.sys"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer (из всех дисков отметьте только системный)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Все сделал, но в процессе выскочило пару ошибок. Думаю это в связи с отсутсвием данных файлов.
    Изображения Изображения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Нужен лог gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Вот. Правда пришлось удалить предыдущий лог в связи с ограниченным местом.
    Вложения Вложения
    • Тип файла: rar gmer2.rar (518.0 Кб, 2 просмотров)

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    В логе чисто? Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    24.06.2009
    Сообщений
    8
    Вес репутации
    32
    Проблема вроде исчезла. Больше ничего не выскакивает, но остался побочный эффект.
    Входе в систему все равно занимает больше времени чем это было "до" заражения,а также в процессе работы наблюдаются периодические кратковременные подвисания.

    Попробую поставить SP3.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\wzszxdkssiyur.sys - Rootkit.Win32.Agent.lwd ( DrWEB: Trojan.Packed.2479, BitDefender: Gen:Trojan.Heur.TDSS.207D82B2B2 )
      2. c:\windows\system32\wzszxymmwyqxt.dll - Trojan.Win32.Pakes.nnc ( DrWEB: Trojan.Packed.2463, BitDefender: Gen:Trojan.Heur.Hype.F0B8474747 )


  • Уважаемый(ая) Shpinga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00833 seconds with 16 queries