Показано с 1 по 9 из 9.

Неуловимый вирус запускаемый из-под explorer лезет в сеть (заявка № 90884)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    5
    Вес репутации
    49

    Неуловимый вирус запускаемый из-под explorer лезет в сеть

    Здравствуйте!
    Помогите, пожалуйста, решить проблему, меня уже достали за последнюю неделю сообщения от Антивируса Касперского идущие с интервалом в 5 минут и чаще. Вирус очень хитрый, его никак не убрать. Он запускается из-под оболочки, и его не видит даже такая классная крутая штука как AutoRuns от SysInternals (хотя авторы заявляют, что она видит всё). Кроме того, бессилен сканер CureIt от DrWeb и установленный Антивирус Касперского 2009 (8.0.0.523) с последними базами на максимальном уровне проверки (настроенном вручную, с углублённой эвристикой, проверкой запароленных архивов любого размера и прочими радостями).

    Эта зараза создаёт процесс svchost.exe (netsvc -k) от имени текущего пользователя (не SYSTEM); в автозагрузке, понятно, ничего нет. Запущенный процесс периодически стучится в инет на какой-то китайский сайт со словом "google" в URL (фишинговый сайт, как однозначно сообщает KAV). Если верить утилите ActivePorts, этот процесс вообще кучу портов резервирует локальных, а удалённый порт - 1110.

    Ну и значит мне это дело никак не извести, а переустанавливать систему очень не хочется, потому что образа нет, а программ до кучи установлено.

    Ещё маленькая претензия к работе компа - сильная задержка при загрузке трея в начале работы, где-то около минуты с лишним (работать в это время нельзя, почти ничего не реагирует). Из видимых вещей после задержки появляются значки сетевых подключений и Касперский, но кто знает, может, там ещё какие-то скрытые службы есть, из-за которых и тормозит всё.

    Кстати, хотя разработчики AutoRuns на сайте пишут, что их утилита может определить последовательность загрузки модулей и выводиить их с её учётом, я там такой опции не нашёл. Или та сортировка, в которой они выводятся по умолчанию, и считается порядком загрузки?

    Единственно в чём мне эта прога помогла - там было несколько ссылок в реестре на бывшие файлы вирусов (рандомный набор букв, все экзешники, причём написано FILE NOT FOUND), я их постирал, их там штук восемь было. Может, тормозить будет меньше при запуске?..

    Правила, описанные у Вас на форуме, я все выполнил, Касперским и DrWeb также сканил, логи все прикрепляю. Но чтобы Вам было ещё ьлегче понять, что происходит, позвольте прикрепить серию скриншотов - вдруг чего прояснит.






















    Я кстати пробовал отключать RemoteRegistry и WebClient, потому что мне показалось, что они небезопасны - но это ничего не даёт...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
    QuarantineFile('c:\windows\system32\xnghfia.exe','');
     QuarantineFile('c:\windows\system32\xfqxiuy.exe','');
     QuarantineFile('c:\windows\system32\vlhenkv.exe','');
     QuarantineFile('c:\windows\system32\e9f66a0.exe','');
     QuarantineFile('c:\windows\system32\dab931fc.exe','');
     QuarantineFile('c:\windows\system32\cqkouw.exe','');
     QuarantineFile('c:\windows\system32\930ee3b8.exe','');
     DeleteFile('c:\windows\system32\930ee3b8.exe');
     DeleteFile('c:\windows\system32\cqkouw.exe');
     DeleteFile('c:\windows\system32\dab931fc.exe');
     DeleteFile('c:\windows\system32\e9f66a0.exe');
     DeleteFile('c:\windows\system32\vlhenkv.exe');
     DeleteFile('c:\windows\system32\xfqxiuy.exe');
     DeleteFile('c:\windows\system32\xnghfia.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    - скачайте новую версию AVZ - 4.35
    - обновите базы AVZ
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    5
    Вес репутации
    49
    Спасибо огромное!
    Теперь всё стало заметно быстрее, едва ли не летает, тормоза при загрузке ушли. Процесс тот остался, но теперь на вкладке TCP/IP в Process Explorer чисто.
    Логи прикрепляю, остальные шаги выполню когда из универа вернусь)

  5. #4
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    5
    Вес репутации
    49
    Не, тормозит при загрузке как и раньше. Хотя в инет больше не ломится)
    Сейчас просканирую последней версией AVZ...
    Нет пока информации по карантину?

    P.S. Хотя кто его знает, может он "заедает" как раз не из-за вирусов... Вы не знаете, как можно оптимизацию автозагрузки провести?) Он главное и при вирусе быстро загружался, но мне пришлось вчера сделать откат (я что-то три дня назад напортачил (есть подозрение, что виной какая-то из микропрограмм восстановления в AVZ) и графическое оформление ОС испортилось, стало из голубого розовато-голубоватым и квадратящимся). И после отката тормоза вернулись. Я же не помню, что я тогда такого сделал, что от них избавился Там даже пара инсталяций-деинсталяций каких-то софтин вроде было.
    Последний раз редактировалось popov654; 01.11.2010 в 17:36.

  6. #5
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    5
    Вес репутации
    49
    Вот логи после повторной проверки с последними версиями.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В логах чисто

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Acrobat Reader 9.4 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    31.10.2010
    Сообщений
    5
    Вес репутации
    49
    Чёрт! Он опять во всю лазит куда хочет. Вот скрины...

    А всего-то комп постоял к инету подключенным пару часов...







    Да я и сам хочу его поставить (SP3), только спасёт ли?..

    Добавлено через 3 минуты

    В общем, пока вопрос открыт: как сносить, чем сносить.
    А, стойте, стойте.
    Это наверно я виноват.
    Вы не предупредили, что надо все точки восстановления ручками почистить перед тем как обратно его включить?
    Мне кажется он оттуда каким-то неведомым образом перебрался...

    Тогда мне теперь надо повторять все действия, начиная с запуска первого скрипта? Который длинный?

    Добавлено через 3 минуты

    Хотя это только предположение, может там было и чисто. Тогда непонятно, откуда он вернулся.
    Последний раз редактировалось popov654; 01.11.2010 в 22:04. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от thyrex Посмотреть сообщение
    В логах чисто

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Acrobat Reader 9.4 или удалите старый
    это сделайте, после новые логи

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) popov654, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:17
    2. при загрузке explorer сразу лезет в сеть.
      От Николай в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:40
    3. Неуловимый рут-кит или бот-сеть?
      От stormdog в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.11.2008, 11:11
    4. Winlogon лезет в сеть
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2008, 04:55
    5. Winlogon лезет в сеть
      От gxoct в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2008, 17:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01081 seconds with 20 queries