Показано с 1 по 14 из 14.

Неуловимый джо, убивающий cureit (заявка № 99243)

  1. #1
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53

    Exclamation Неуловимый джо, убивающий cureit

    Сидит какая-то зараза на одном из офисных компов. Симптомы: AVZ показывает перехваченные функции, cureit запускается только в безопасном режиме винды. В обычном запускается, и через пару секунд исчезает без всяких сообщений об ошибках.
    Зверь сидит уже, наверное, третий месяц, но никто его поймать не может: ни касперский 2010 с последними базами, ни cureit в безопасном режиме (а касперский и в обычном) ничего не находят.
    AVZ тоже не помогает: даже после скрипта лечения системы, который восстанавливает перехваченные API cureit по-прежнему не запускается.
    На машине установлена куча банк-клиентов, гарант, консультант и еще много всего. Переставлять ее с нуля - огромный объем работы. Надо лечить, но без вашей помощи не справлюсь!

    P.S. то ли после лечения, то ли еще от чего при загрузке винды на экране приветствия (еще даже список юзеров не показала) выскакивает какое-то окошко с текстбоксом и кнопкой ок. Заголовок окна и текстбокс в нечитаемой кодировке. Нажимаю ок и загрузка продолжается. То ли вирус, то ли последствия лечения...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('\\Server\общая\Christmas.exe','');
     QuarantineFile('c:\windows\temp\guardguard.exe','');
     QuarantineFile('c:\windows\system32\chgservice.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    Похоже, созндание карантина не прошло гладко: краем глаза видел ошибки при прямом чтении файлов....

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Зловредного в карантин не попало.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O4 - HKCU\..\Run: [ChristmasTree] \\Server\общая\Christmas.exe
    Сделайте лог MBAM:
    http://virusinfo.info/showthread.php?t=53070
    и приложите.

    Кроме проблемы с CureIt другое аномальное поведение наблюдается?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    Кроме проблемы cureit наблюдаются торможения и проблемы работы с сетью. Собственно, на них девушки-операторы и жаловались изначально.

    У меня не одна машина с такими симптомами, а две. Может стоит поискать общие запускаемые файлы, скажите, какие именно.

    Доберусь до них лишь завтра поздно вечером, тема на сутки замирает.....

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Для другой машины нужно сделать на ней логи и создать здесь новую тему.
    Потом в обеих темах можно ссылки друг на друга дать.

    На этой машине еще поищите на всякий случай файл autorun.bat согласно Приложению 2 и 3 Правил и загрузите по красной ссылке вверху темы, если найдется.
    Последний раз редактировалось Nikkollo; 15.03.2011 в 21:08.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    autorun.bat не берется не в простом, не в безопасном режиме винды, с флешки вчера не догадался загрузиться, но подозреваю, что и таким способом я его на диске не увижу, были у меня подобные случаи.
    ================================================== ======
    Ошибка карантина файла, попытка прямого чтения (autorun.bat)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\autorun.bat)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\autorun.bat)
    Карантин с использованием прямого чтения - ошибка
    ================================================== ======

    HijackThis'ом пофиксил, логи MBAM прилагаю.

    Еще на компе стала пропадать английская раскладка клавиатуры. На индикаторе есть, а в реале не переключается. Смотришь через панель управления "языки и службы текстового ввода" - английская раскладка отсутствует, есть только русская (она на этом компе по умолчанию) Добавляешь английскую - работает до перезагрузки.

    Я что подумал, может сделать акронисом образ системного диска этой машины и залить на файлообменник, если вам интересно внатуре ее поковырять? Я думаю, после удаления личных данных гигабайт в 5-10 образ поместится.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Такие файлы:
    Код:
    c:\WINDOWS\system32\autorun.exe
    c:\WINDOWS\system32\0_exception.nls
    c:\WINDOWS\system32\wsnpoem\video.dll
    c:\WINDOWS\system32\wsnpoem\audio.dll
    c:\WINDOWS\system32\wsnpoem\video.dll.cla
    поищите согласно Приложению 2 и 3 Правил и загрузите по красной ссылке вверху темы.

    Затем удалите в MBAM:
    Код:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\autorun.exe (Worm.AutoRun) -> No action taken.
    c:\WINDOWS\system32\0_exception.nls (Trojan.Tibs) -> No action taken.
    c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\wsnpoem\video.dll.cla (Trojan.Agent) -> No action taken.
    Проверьте запуск CureIt.

    Обновите Internet Explorer до актуальной версии (даже если не используете).

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
    Последний раз редактировалось Nikkollo; 17.03.2011 в 18:01.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    Карантин выслал, все, что нужно МВАМ удалил, пререзапустился, проверил, внось не возникает. Установил все апдейты с update.microsoft.com и предписанные скриптом обновления программ. Скрипт говорит, что все ОК.
    Однако, не помоголо, проблемы те же: пропадает установленный не по умолчанию язык, Cureit исчезает через несколько секунд после запуска.

    Добавлено через 1 минуту

    Посмотрим еще, что в понедельник бухгалтер скажет про восьмой эксплорер: вполне вероятно, что какой-нибудь интернет-банк под ним работать откажется, придется делать откат.
    Последний раз редактировалось dlosk; 20.03.2011 в 12:05. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    Ну как, есть новости и дальнейшие инструкции?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Попробуйте это:
    http://support.kaspersky.ru/faq/?qid=208636926
    Файл C:\TDSSKiller.***_log.txt приложите в теме.

    Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    53
    TDSKiller ничего подозрительного не обнаружил.
    лог Gmer прилагаю.
    При попытке добавить в карантин zshp1020.exe через AVZ получаю ошибку:
    Ошибка карантина файла, попытка прямого чтения (zshp1020.exe)
    Карантин с использованием прямого чтения - ошибка

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    По логу ничего подозрительного.

    zshp1020.exe это от принтера LaserJet 1020, его или нет на диске, или он проходит по базе безопасных.

    Попробуйте так:
    Скачайте еще раз свежий CureIt.
    Попробуйте запустить.
    Если снова закроется, закройте все приложения, запустите AVZ, в нем меню AVZGuard - включить AVZGuard.
    Далее меню AVZGuard - Запустить приложение как доверенное - запустите CureIt.
    Если CureIt не закроется, то сделайте им полное сканирование.

    AVZGuard при этом будет блокировать многие операции. Чтобы его отключить - меню AVZGuard - Отключить AVZGuard.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\autorun.exe - Worm.Win32.Riskrun.a ( BitDefender: Trojan.Generic.1721021, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) dlosk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. LiveCD,CureIt и синий экран при запуске CureIt'а
      От ROBOTRON в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.12.2010, 20:38
    2. неуловимый smss.exe
      От Kacnep в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 14:44
    3. Неуловимый троян
      От fransua в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:03
    4. неуловимый спам-бот
      От Vinnibig в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:08
    5. Вирус, убивающий информацию
      От Dunkelheit в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.10.2008, 12:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00051 seconds with 19 queries