-
Junior Member
- Вес репутации
- 51
Возможно масс-заражение системы
Добрый день. Прошу помочь выявить "заразу" в системе.
Уже и Windows с форматирование переустанавливал, но
откуда-то опять эти странные файлы. Сначала думал от
Microsoft .Net Framework 4.0 [может какой левый попался],
да нет. Проверил установщик - вроде бы все чисто.
Установлена система: Windows XP Pro SP3
Сканировал систему: Антивирус Касперский, AVZ, Spybot S&D,
CureIT, HijackThis. Все кроме последнего, ничего не нашли!
Если напрячь память, то вроде после вылазки в интернет,
начались "симптомы". Но непонятно, откуда! Зашел буквально
на пару проверенных сайтов, где точно нет заразы [рекламу режет модуль].
Что меня натолкнуло на мысль:
Подозрительные, пустые папки [в инете полистал, пишут вроде зараза]:
C:\WINDOWS\apppatch
используется C:\WINDOWS\system32\
winlogon.exe
C:\WINDOWS\system32\inetsrv
используется C:\WINDOWS\system32\
winlogon.exe
C:\WINDOWS\system32\
h323log.txt используется C:\WINDOWS\system32\
svchost.exe
C:\Documents and Settings\Admin\Local Settings\Apps\2.0\OGDMX234.9DA\WDZ9M390.ZP9\manife sts
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Portable Devices
C:\WINDOWS\Temp\msohtmlclip
C:\WINDOWS\Temp\WPDNSE
Подозрительная папка, содержит подкаталоги:
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache\IEG1T3GG\
ieonline.microsoft[1]
Внутри этой папки другие с именами типа
HXE97MUZ [внутри каждой
desktop.ini и все
папки скрытые]
Вроде как подмена расширения:
srrstr.dll на самом деле
srrstr.exe и так с кучей библиотек в system32
В ветке реестра HKEY_CLASSES_ROOT подозрительные записи:
Пример: AutoplayHandler и рядом
AutoplayHandler.1 и так со многими!
такая же история и с некоторыми библиотеками в system32:
Пример: wuauclt.exe и рядом wuauclt1.exe
Основные системные файлы заменял [через сторонний лайв-сд],
результат один, после перезагрузки все по новой появляется.
Файлов как таковых не нашел, возможно в "памяти" прячется тело.
Кстати в безопасном режиме чисто. Папки не появляются. Очень,
возможно, что с драйверами грузится.
Подскажите, пожалуйста, можно ли что сделать,
или опять форматировать и все ставить по новой?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
Больше ничего плохого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо за оперативность.
Это то пофиксю [да и фиксил уже]. А написанное
мною выше ни чем не грозит? Например настройки
некоторые слетают [вроде различных откл/вкл в пуске,
даже звуки не дает сменить!]. Что-то в системе есть таки.
Как бы выявить?
Добавлено через 1 час 47 минут
Так что, больше рекомендаций не ждать? То, что
я описал - это как бы не нормально, для винды.
Обратился к вам, так как уже 3 дня маюсь с этой проблемой.
Windows перевешивать не лучший выход [хоть и быстрый]. Много
софта я ставлю и большая часть по работе. Установка то еще ладно,
но вот настройка... Каждую программу настраивать - это ужас. А у меня
еще и спутник стоит, там своих "заморочек" туча.
Последний раз редактировалось KloneB@DGuY; 05.06.2010 в 19:14.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
Дополняю информацию
Comodo отлавливает доступ System к некому 10.228.80.68 порт 445 и 43227
-
Junior Member
- Вес репутации
- 51
>.<
Это какой-то кошмар просто! Возился, возился, плюнул - переустановил систему.
Все вроде бы было хорошо. Но, после того, как я использовал свою утилиту
[она очищает все области автозагрузки и снимает запреты, запуск диспетчера задач и прочее..].
появилось окно, мол системные файлы заменены и т.д.. При загрузке, появилось окно, с прогресс-баром,
мол идет восстановление файлов [а диска та нет в приводе!]. И началалось... Видимо троян уже был в
системе и следил за этими областями. Раньше я сомневался, троян ли это был, но теперь есть доказательства!
Постояно system и svchost.exe ломятся на 10.228.139.201/10.228.176.108 порты 135/445
в msconfig в автозагрузку постоянно прописывается:
\NTUSER.DAT
\ntuser.dat.log
\ntuser/ini
Наличие папки apppatch в C:\WINDOWS [как уже убедился, первый признак, что трой в активировался]
Обнаружил файл C:\WINDOWS\wininit.ini такого содержания:
[rename]
NUL=C:\WINDOWS\Temp\gert0.dll
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
Я правильно понял, заражение произошло с диска G ?
Важно очень узнать. Если да, то придется идти,
ругатся в магазин - ибо это USB-модем от мегафона о_о
все это, очень похоже на вот этот случай. Мне кажется,
что очень возможно, что проблема кроется в winlogon.exe.
Кстати, как выполнил скрипт "Поиск и нейтрализация RootKit..."
в AVZ, system и svchost.exe перестали ломится в интернет! Но
только до перезагрузки. Уже начинает паника брать! Систему
перевесил и все равно заразился! В сети не лазил! Файервол
и антивирус не отключаю вообще! Стоят на самом высоком уровне!