Сетка из 5 компов, везде стоит avira. На одном из компов GPRS-модем, настроен общий доступ. Еще на 3-х компах он настроен шлюзом, т.е. инет есть на 4-х компах из 5-и.
Неделю назад на всех компах с инетом авира стала показывать, что статус защиты - неизвестно. Также появились дополнительные признаки наличия вирусов в системе: в течении нескольких секунд после запуска закрывается ряд программ типа cmd, avz4.
В avz4 активировал guard и смог запустить проверку. Нашел только один скрытый процесс, файл c:\windows\system32\stacsv.exe
так же в c:\windows\system32\ обнаружил что дата изменения svchost.exe также текущая. + еще несколько файлов с мутными именами вроде qxzv5.exe и той же датой создания.
В реестре stacsv.exe присутствовал в нескольких ветках, и заново их пересоздавал после удаления.
С загрузочного диска грохнул все эти файлы с измененной датой в c:\windows\system32\ почистил реестр и заменил svchost.exe на оригинальный.
После перезагрузки пришлось переставить авиру, т.к. сразу не заработала. Потом все ок, вручную обновил базу для нее.
Но только стоило выйти в инет, как авира опять сошла с ума: куча вирусов: avira.txt прилагаю. И после ребута она опять со статусом неизвестно. В c:\windows\system32 опять stacsv.exe, НО ДРУГОГО РАЗМЕРА!!!
С собой был только avz4, его логи прилагаю.
Если кому интересно, то есть 2 файла stacsv.exe с разными размерами, но сдается мне что источник заражения не в них.
Прошу помочь разобраться.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Спасибо за помощь.
Все сделал только на одном из компьютеров.
После выполнения скрипта и перезагрузки в системе обнаружилось новое устройство, драйвер автоматом не встал...
AVZ перестал закрываться, Авира не заработала.
В c:\windows\system32\ несколько файлов с новой датой, в том числе svchost.exe. Все эти файлы также добавил в карантин (в папке 1 внутри архива).
При выполнении п.2 раздела Диагностика, а именно при подключении к интернету, по привычке проверил связь (gprs лагает постоянно) командой пинг. Ip резольвится, но ответов нет совсем. При этом в IE сайты открывались... Также наблюдалась сетевая активность при при видимом бездействии.
В целом делаю вывод, что вирус накачал с инета себе товарищей, теперь им там совсем весело...
После всего проделанного пришлось снова подключить компьютер к сети (рабочая необходимость). Т.е. есть вероятность повторного заражения уже залеченными вирусами. Поэтому прошу уточнить: вместе с новыми скриптами старый тоже выполнять?
П.С.: ссылка на "правила" теперь ведет на какой-то "911test"
Последний раз редактировалось maxim555; 11.02.2010 в 08:57.
П.С.: ссылка на "правила" теперь ведет на какой-то "911test"
изменились правила оформления запроса
Добавлено через 15 минут
Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы - только то что было в папке Quarantine? без ваших файлов... отправьте еще раз...
Последний раз редактировалось polword; 11.02.2010 в 09:27.
Причина: Добавлено
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\f801d7.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Правила хорошо бы вернуть, а то все по правилам надо делать, а их сейчас нет... Что делать? Ладно я их сохранил заранее . А как же другие ищущие помощи?
И вопрос по теме: svchost на оригинальный заменять? Судя по дате он мог быть модифицирован вирусом.
В общем вирусы диктуют свои правила игры...
Компьютер на котором проводился эксперимент, а также еще один в придачу, перестали запускаться совсем. Синий экран и 0x00000050.
Пришлось загрузиться с livecd и с помощью erd commander сделать откат системы на последнюю точку сделанную перед заражением (возможно активацией) вируса. Надо добавить, что вирус отключил восстановление, но точки, созданные ранее, остались. Заодно посмотрел что происходит в систем32: там с десяток новых вирей уже поселился с разными именами и даже иконками, но все с новой датой.
На одном из компов авира не завелась после восстановления (возможно вирус уже присутствовал в этой точке восстановления).
Для экспериментов оставил один комп, только отключил его от сети.
Симптомы те же - вырубает AVZ.
Сделал только стандартные скрипты в AVZ для сбора инфы.
Хайджеком не фиксил, т.к. не нашел там ничего похожего. Логи хайджека на флешку не записал, протупил.
Запомнил только что файл host содержит много лишних записей на один ip.
После лечения-сбора информации и перезагрузки, было обнаружено новое устройство, драйвер автоматом не встал. При подключении инета пинга нет, в браузере инте есть.
Еще раз прошу обратить внимание что компьютер другой.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: