Неизвестный зловред блокирует доступ к антивирусным сайтам

**WhiteWhale** · 31.05.2010, 13:21

Доброго времени суток, уважаемые!
Собственно, сабж. Блокируются сайты drweb.com, drweb.ru, kaspersky.ru, virusinfo.info, возможно, какие-либо другие. При пинговании нет ответа от хоста, хотя dns разрешается, при попытке зайти на сайт по ip - то же самое (видимо блокирует по ip). Другой вредоносной активности (пока) не обнаружено. Повышенной сетевой активности тоже не замечено. Подозреваю backdoor или password stealer. В одной из веток реестра нашел ключ Hidden User, не знаю, может так и быть должно?
Заранее благодарю за помощь, надеюсь с помощью гуру вывести гада!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**WhiteWhale** · 31.05.2010, 13:29

Да, возможно, это покажется кому-то важным, тестировал и Каспером (Virus Removal Tool), и Доктором (CureIt), и даже ClamAV из-под Мандривы. Качал все на чистой системе, грузился в безопасном, тестил, затем в обычном, снова тестил. Ничего не находилось. За пару-тройку недель до этого выловил какого-то бекдора и трояна (уже не помню). По-видимому, схватил с флешки (некогда было проверить).
Кстати, извиняюсь, за оффтоп, но может диагностика от Каспера заменить диагностику AVZ? Есть где-нибудь что-нибудь почитать по этой теме?

**polword** · 31.05.2010, 13:39

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.

**thyrex** · 31.05.2010, 13:41

После выполнения совета polword

Пофиксите в Hijack

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\esp7E62.tmp','');
 DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\esp7E62.tmp');
RegSearch('HKLM', '', 'esp7E62.tmp');
 SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Прикрепите лог avz.log из папки AVZ.

Сделайте новые логи

**WhiteWhale** · 31.05.2010, 16:53

Базу обновил, спасибо (на z-oleg.com не было доступа). После выполнения предложенного скрипта и работы HiJackThis система долго уходила в перегруз - минуты 4, все это время с разной интенсивностью мигал индикатор работы винчестера. Прилагаю результаты повторной диагностки.

**polword** · 31.05.2010, 18:40

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\ADABCF7F');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\ADABCF7F');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\ADABCF7F');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\61188879.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\vaxscsi.sys','');
 DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\esp7E62.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\esp7E62.tmp');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log; )

**WhiteWhale** · 01.06.2010, 09:56

Докладываю о результатах: после выполнения первого скрипта система ушла в долгий перегруз (как и в прошлый раз). Затем выполнил второй скрипт (в архив добавил вчерашний карантин), провел диагностику. Все это время сеть была подключена (интернет через шлюз в локалке), навигаторы (Лис с ИЕ) запущены.
Доступ к сайтам восстановился, большое спасибо.
Интересуют следующие моменты: кто это был? где взять по нему инфу? полностью ли я от него избавился? каковы методы проникновения и последствия?
Благодарю за помощь!

PS: кстати, esp7E62.tmp (шибко подозрительная локация и название для принтера) пытался удалить через скрипт Каспера (Virus Removal Tool), видимо, не получилось. Сам файл не был виден ниоткуда. Также тестил все диски LiveCD от Доктора - ничего не нашел

**polword** · 01.06.2010, 10:00

- Проведите процедуру, которая описана в первом сообщении тут. Результаты загрузки прикрепите к сообщению

**WhiteWhale** · 01.06.2010, 21:29

Архив загрузил через страницу http://virusinfo.info/upload_clean.php
-------
Файл сохранён как 100601_212656_virusinfo_files_KUCHER_4c0542e0793d2 .zip
Размер файла 29673577
MD5 93d4fc4406a4166601fc35e9857cee8e
-------
Логи проверок прилагаю. Что делать дальше? Можно ли уже расслабиться? Загрузка под другими пользователями безопасна? Следует ли отписаться в теме http://virusinfo.info/showthread.php?t=3519?

**polword** · 02.06.2010, 00:42

В логах чисто.

Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут