Показано с 1 по 14 из 14.

Не запускается Firefox, подозрения на руткит (заявка № 87975)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28

    Done Не запускается Firefox, подозрения на руткит

    Предыстория: система WinXP SP2, антивирусник AVG8.5. После лазанья по порносайтам (использовался только Firefox) вместо запуска браузера начал получать окно сообщения Mozilla о неожиданной ошибке и завершении работы.
    Что сделано: снесен AVG с чисткой реестра вручную. Свежим CureIt в безопасном режиме полное сканирование системы - завис на проверке одного из файлов в папке закачек (на диске D:\ ), других проблем не найдено. Загрузился с ERD Commander2007, снова полная проверка системы, файл в закачках убит (какой-то троян, "SMS..." в имени).
    сразу после этого, из-под ERD вручную очистил все папки Temp и временных файлов IE (IE8 стоит, правда, без обновлений). Поставлен свежий DrWeb, обновлен, настроен файрволл. Несколько раз сносил и ставил Firefox (3.6.9 и 3.5.12) - без выигрыша, симптомы те же. В интернете по этому поводу ничего вразумительного, поэтому продолжил искать заразу.
    AVZ и RSIT стартуют и сразу закрываются, что подтверждает подозрения, при том, что у антивирусника отключил всё, что мог.
    Сканирование RootkitRevealer и особенно Gmer дало результаты - логи прилагаю.
    Почистить реестр вручную из безопасного режима не удалось. Опять воспользоваться ERD? Пожалуйста, помогите.

    P.S. - предыдущее обращение за помощью осталось незавершенным - у клиента рухнул системный раздел на винте - физически, "размер 0 байт", поэтому перестановка системы на новом винте. Но всё равно спасибо всем, кто помогал советом!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Попробуйте avptool.ru, если результат нет - попробуйте ComboFix

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    С инструментом от Каспера ничего не вышло - поставиться он поставился, но запускаться отказался, даже с командной строки. ComboFix отработал, лог прилагаю. Ещё анализировал комп утилитой SvchostAnalyzer перед запуском Combofix - показал примерно то же, что и Gmer - есть подозрительный процесс. Прилагаю скриншот

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    По Гмеру -

    - Сохраните текст ниже как 1.bat в ту же папку, где находится GMER.exe(GMER) и запустите этот батник(1.bat):

    Код:
    GMER.exe -del service jyzbgkfwr
    GMER.exe -del file "C:\WINDOWS\system32\ussppvet.dll"
    GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jyzbgkfwr"
    GMER.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jyzbgkfwr"
    GMER.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте новый лог Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    Батник выполнил, при этом на каждую выполняемую строку выпадало окно сообщения "запрашиваемый модуль не найден", что для ключей реестра, что для файлов.
    Правда, перед этим я немного некорректно запустил батник - открыл Gmer, перешел на вкладку cmd и в верхнем окне прописал имя батника, потом кнопка Run. Gmer ругнулся, перезапустил комп, после этого я уже корректно запустил батник просто из папки программы и получил упомянутые сообщения.
    Судя по логам - почистилось.Хотя что такое hidserv?
    Теперь осталось деинсталлировать каспера и Combofix. Кстати, Rsit и AVZ всё так же себя ведут - стартуют и схлопываются.

  7. #6
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    Сейчас еще делаю сканирование Mbam - нашел 15 объектов, но лог сохранить пока не может - загрузка скакнула до 100 %. Как смогу - вложу

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\33f5f3b8.exe
    c:\windows\system32\kpewku.exe
    c:\program files\Common Files\jqyrg4inedzz13m
    
    Driver::
    stremu
    
    NetSvc::
    
    Folder::
    c:\program files\Common Files\cee1f29
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    Пришлось всё-таки "врукопашную" через ERD чистить реестр:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметрах userinit и usrinit были прописаны файлы 33f5f3b8.exe и kpewku.exe. Параметр usrinit убил совсем, userinit - почистил от заразы, соответственно убил эти файлы в system32, кроме этого тут же посмотрел, что модифицировалось примерно в дату и время заражения (по аналогии с явной заразой) - убил еще пару файлов с "кракозябрами" в именах.
    При первом запуске Mbam - когда не смог сохранить лог - был вычислен троян ".BHO" и указан кусок пути в реестре: HKCR\AppID\{b0ed4726-....
    Так вот, в реестре там прописана fhilib.dll - убил этот путь и ещё один ключ реестра, который ссылался на этот раздел. Но остались ещё упоминания про эту .dll Вычистить или оставить?
    После перезагрузки Mbam отработал, лог сохранил, прилагаю. То, что в нем указано - уже удалил
    Начали нормально стартовать AVZ и RSIT, но на выполнение не запускал.

  10. #9
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    Polword, извиняюсь, не увидел ваш пост, сейчас выполню

  11. #10
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    Выполнено, лог прилагаю

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    папку c:\program files\Common Files\cee1fc0 удалите вручную
    - Удалите ComboFix

    что с проблемой?

  13. #12
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    И Firefox начал нормально стартовать!! Сейчас деинсталлирую все, что понаставил, посмотрим. Ну и SP3 постараюсь воткнуть.

    Добавлено через 2 минуты

    Удалил. Большое спасибо за помощь!

    Добавлено через 21 минуту

    Единственный оставшийся нюанс - система после появления обоев рабочего стола "думает" около 1 минуты, потом появляются все иконки и вроде норм. работает. Видимо, следствие работы Combofix. Посмотрю, что "почикано" - восстановлю, отпишусь
    Последний раз редактировалось ujin07; 16.09.2010 в 15:13. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    08.07.2010
    Сообщений
    29
    Вес репутации
    28
    В общем итого: проблема решилась, всё работает.
    Замечания - после работы ComboFix - система как решето - оч. многие службы не работают. Причем у меня не создался каталог Qoobox с перемещенными объектами (или удалился при деинсталляции и зачистке?)
    Пришлось с CD-диска делать восстановление Винды и немного покопаться с восстановлением разных настроек.
    Всем, помогавшим в лечении большое спасибо!

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Цитата Сообщение от ujin07 Посмотреть сообщение
    у меня не создался каталог Qoobox с перемещенными объектами (или удалился при деинсталляции и зачистке?)
    Именно так
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) ujin07, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрения на руткит
      От ThePlace в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.10.2011, 16:34
    2. Подозрения на руткит
      От Dragonlord в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2011, 23:47
    3. Подозрения на руткит
      От w0mbat в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.09.2010, 00:47
    4. Подозрения на руткит
      От marker в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.03.2010, 16:20
    5. Подозрения на руткит
      От mmv-ru в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.09.2009, 22:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00089 seconds with 16 queries