-
Junior Member
- Вес репутации
- 53
Неуловимый джо, убивающий cureit
Сидит какая-то зараза на одном из офисных компов. Симптомы: AVZ показывает перехваченные функции, cureit запускается только в безопасном режиме винды. В обычном запускается, и через пару секунд исчезает без всяких сообщений об ошибках.
Зверь сидит уже, наверное, третий месяц, но никто его поймать не может: ни касперский 2010 с последними базами, ни cureit в безопасном режиме (а касперский и в обычном) ничего не находят.
AVZ тоже не помогает: даже после скрипта лечения системы, который восстанавливает перехваченные API cureit по-прежнему не запускается.
На машине установлена куча банк-клиентов, гарант, консультант и еще много всего. Переставлять ее с нуля - огромный объем работы. Надо лечить, но без вашей помощи не справлюсь!
P.S. то ли после лечения, то ли еще от чего при загрузке винды на экране приветствия (еще даже список юзеров не показала) выскакивает какое-то окошко с текстбоксом и кнопкой ок. Заголовок окна и текстбокс в нечитаемой кодировке. Нажимаю ок и загрузка продолжается. То ли вирус, то ли последствия лечения...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
QuarantineFile('autorun.bat','');
QuarantineFile('\\Server\общая\Christmas.exe','');
QuarantineFile('c:\windows\temp\guardguard.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 53
Похоже, созндание карантина не прошло гладко: краем глаза видел ошибки при прямом чтении файлов....
-
Зловредного в карантин не попало.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKCU\..\Run: [ChristmasTree] \\Server\общая\Christmas.exe
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Кроме проблемы с CureIt другое аномальное поведение наблюдается?
-
-
Junior Member
- Вес репутации
- 53
Кроме проблемы cureit наблюдаются торможения и проблемы работы с сетью. Собственно, на них девушки-операторы и жаловались изначально.
У меня не одна машина с такими симптомами, а две. Может стоит поискать общие запускаемые файлы, скажите, какие именно.
Доберусь до них лишь завтра поздно вечером, тема на сутки замирает.....
-
Для другой машины нужно сделать на ней логи и создать здесь новую тему.
Потом в обеих темах можно ссылки друг на друга дать.
На этой машине еще поищите на всякий случай файл autorun.bat согласно Приложению 2 и 3 Правил и загрузите по красной ссылке вверху темы, если найдется.
Последний раз редактировалось Nikkollo; 15.03.2011 в 21:08.
-
-
Junior Member
- Вес репутации
- 53
autorun.bat не берется не в простом, не в безопасном режиме винды, с флешки вчера не догадался загрузиться, но подозреваю, что и таким способом я его на диске не увижу, были у меня подобные случаи.
================================================== ======
Ошибка карантина файла, попытка прямого чтения (autorun.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\autorun.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\autorun.bat)
Карантин с использованием прямого чтения - ошибка
================================================== ======
HijackThis'ом пофиксил, логи MBAM прилагаю.
Еще на компе стала пропадать английская раскладка клавиатуры. На индикаторе есть, а в реале не переключается. Смотришь через панель управления "языки и службы текстового ввода" - английская раскладка отсутствует, есть только русская (она на этом компе по умолчанию) Добавляешь английскую - работает до перезагрузки.
Я что подумал, может сделать акронисом образ системного диска этой машины и залить на файлообменник, если вам интересно внатуре ее поковырять? Я думаю, после удаления личных данных гигабайт в 5-10 образ поместится.
-
Такие файлы:
Код:
c:\WINDOWS\system32\autorun.exe
c:\WINDOWS\system32\0_exception.nls
c:\WINDOWS\system32\wsnpoem\video.dll
c:\WINDOWS\system32\wsnpoem\audio.dll
c:\WINDOWS\system32\wsnpoem\video.dll.cla
поищите согласно Приложению 2 и 3 Правил и загрузите по красной ссылке вверху темы.
Затем удалите в MBAM:
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\autorun.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\0_exception.nls (Trojan.Tibs) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll.cla (Trojan.Agent) -> No action taken.
Проверьте запуск CureIt.
Обновите Internet Explorer до актуальной версии (даже если не используете).
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Последний раз редактировалось Nikkollo; 17.03.2011 в 18:01.
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал, все, что нужно МВАМ удалил, пререзапустился, проверил, внось не возникает. Установил все апдейты с update.microsoft.com и предписанные скриптом обновления программ. Скрипт говорит, что все ОК.
Однако, не помоголо, проблемы те же: пропадает установленный не по умолчанию язык, Cureit исчезает через несколько секунд после запуска.
Добавлено через 1 минуту
Посмотрим еще, что в понедельник бухгалтер скажет про восьмой эксплорер: вполне вероятно, что какой-нибудь интернет-банк под ним работать откажется, придется делать откат.
Последний раз редактировалось dlosk; 20.03.2011 в 12:05.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Ну как, есть новости и дальнейшие инструкции?
-
Попробуйте это:
http://support.kaspersky.ru/faq/?qid=208636926
Файл C:\TDSSKiller.***_log.txt приложите в теме.
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
-
-
Junior Member
- Вес репутации
- 53
TDSKiller ничего подозрительного не обнаружил.
лог Gmer прилагаю.
При попытке добавить в карантин zshp1020.exe через AVZ получаю ошибку:
Ошибка карантина файла, попытка прямого чтения (zshp1020.exe)
Карантин с использованием прямого чтения - ошибка
-
По логу ничего подозрительного.
zshp1020.exe это от принтера LaserJet 1020, его или нет на диске, или он проходит по базе безопасных.
Попробуйте так:
Скачайте еще раз свежий CureIt.
Попробуйте запустить.
Если снова закроется, закройте все приложения, запустите AVZ, в нем меню AVZGuard - включить AVZGuard.
Далее меню AVZGuard - Запустить приложение как доверенное - запустите CureIt.
Если CureIt не закроется, то сделайте им полное сканирование.
AVZGuard при этом будет блокировать многие операции. Чтобы его отключить - меню AVZGuard - Отключить AVZGuard.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\autorun.exe - Worm.Win32.Riskrun.a ( BitDefender: Trojan.Generic.1721021, AVAST4: Win32:Trojan-gen )
-