-
Junior Member
- Вес репутации
- 51
Чистая винда мгновенно заражается.
Уже третий раз переустанавливаю винду на работе, одну и ту же, что и везде, и только здесь вирусы достали.
Все начинается (с того что я заметил) с зараженного эксплорера. Если его удалить, буквально через 5 секунд он создается на месте. Так же с taskman, и netsh.exe. По ходу работы винды появляются другие процессы заразы которые вечно сидят в системе и доходит до того что невозможно даже выключить пк. Еще что странно, что в system32 создаются всякие файлы с именем **.exe **.scr ** - это цифры, всегда разные, и сидят в процессах, иногда от имени пользователя, иногда от системы. Реестр и таск манаджер отключены. А когда подключается инет - это вообще что то с чем то, просто тихий ужас, скорее громкий ужас.
Систему устанавливал с быстрым форматированием диска С, диск Д не трогал, т.к. там всякая рабочая инфа. В корне диска д вроде чисто, всяких авторанов нету, да и вообще всяких экзешников - зараз тоже не видно (смотрел через фар).
Логи прилогаются. Система "чистая" если можно так сказать, нет не был подключен.
Пишу из дома, т.к. там некоторые ветки\разделы вирусинфо не работают. Virustotal, kaspersy forum - тоже не работают.
Обращаюсь к вам, т.к. переустановка ОС не помогает, а полный формат ХДД не вариант, надо как то лечить.
Заранее всем спасибо за помощь и терпения, т.к. процесс очистки займет много времени. Сегодня возьму скрипты, скорее завтра их выполню, затем еще логи и т.д.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах ничего плохого не видно. Наверно сделаны до проявления заразы?
Сообщение от
delfin_
да и вообще всяких экзешников - зараз тоже не видно (смотрел через фар).
Что же вы хотели увидеть через тот Фар? Смотреть надо было как минимум антивирусом со свежими базами. По описанию можно заподозрить файловый вирус, который живет где-то в ваших дистрибутивах, проверяйте все, чем пользовались при переустановке.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Bratez
Что же вы хотели увидеть через тот Фар?
Бывает откроешь фаром корневую папку какого-нить диска, там полно всяких ехешников, авторанов, и скрытых папок где хранятся другие ехешники. Тут же, ничего кроме корзины, system volume information и парой "местных" папок ничего нету, значит, по крайней мере ничего "поверхностного" нету.
Сообщение от
Bratez
Смотреть надо было как минимум антивирусом со свежими базами.
Каюсь, базы обновить avz не удалось. Собсно сейчас дома обновлю, завтра будут свежие логи.
Антивирь устанавливал еще, "до проявления заразы", как вы выразились - каспер, с опцией "защита установки". Только его я так и не увидел. В процессах есть, а вот ядро по моему не запускается, т.е. сам фаил системы, т.к. apv by User в диспетчере есть, но в трее его нету, не запускается, и все его кнопки в контекстном меню не активны. Тоже самое было с фаерволом (sygate firewall), причем при разных установках винды.
Сообщение от
Bratez
По описанию можно заподозрить файловый вирус, который живет где-то в ваших дистрибутивах, проверяйте все, чем пользовались при переустановке.
Дистрибутив винды проверен годами, т.к. один и тот же я устанавливал на многие пк, в том числе и на этом.
Все очень похоже на эту тему. По логам смотрел, все те же syscr.exe, ltzqai.exe, msvmiode.exe, 78.exe, cfdrive32.exe. Еще у меня в шеле винлогона записывались все эти ltzqai, cfdrive, msvmiode и еще пара зараз. Чистил, правил, удалял - ничего не помогло.
Это все лирика, сейчас обновлю базы, завтра зделаю логи после проявления заразы.
-
-
-
Junior Member
- Вес репутации
- 51
Наконец то дошли руки до логов. В общем так. После последнего сообщения я винду переустановил, на первый запуск винды - эксплорер.ехе чистый, ничего подозрительного в системе нету. Через пару перезагрузок в процессах появлялся netsh.exe. А еще через пару рестартов все встало на свои места, система захвачена полностью. Реестр заблокирован, диспетчер задач отключен, avz не открывается, вирусинфо, касперски не открывается, по началу мог заходить на вирусинфо вводя в поле адреса ИП, но потом и это перестало работать, все те файлы\процессы о которых я говорил выше - есть.
Логи сделал скачанной версией авз с этого же форума, т.к. даже после переименования, avz.exe в любое другое имя - не запускалось ничего.Фаил называется pingpong.pif. Сделал логи мбам.
-
Удалите в МВАМ -
Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-6858307019-5761365710-346371271-3503\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\User\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.
- Повторите лог МВАМ
-
-
Добавлю
Пока не закрыть эти дыры, лечиться будете до зимы
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer
v6.00 SP2 (6.00.2900.2180)
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
В общем проблема была в зараженной сетевой карте. Как только вставлял ее в любом пк - система заражалась. Сейчас сетевая карта пылится на полочке, и больше ей ничего не суждено.
Всем спасибо за внимание и помощь.