-
Junior Member
- Вес репутации
- 48
При запуске приложений Windows активизируется вирус
Здравствуйте.
Несколько недель назад на одном mp3-сайте рунета был пойман вирус (автоматически запустился .exe-файл).
Файл прописался в автозагрузку, с именем типа jdexxx.exe. При повторной перезагрузке файл активизирует ещё один .exe-файл под именем opera.exe.
Около недели-полутора назад с помощью AVZ поместил на карантин файл из автозагрузки, однако он иногда снова продолжает грузиться.
Побочные эффекты: при запуске некоторых программ в Windows (ACDSee, Photoshop, WinRar, Winamp, Media Player Classic...) запускается процесс opera.exe (потребляет 3300КБ), после чего создается в папке Windows файл explorer.exe, в папке Program Files папка со странным именем, в ней .exe-файл, в автозагрузке появляется файл с именем типа jdexxx.exe. Причем если, например, я пытался распаковать .zip-архив, то в папке с установленным WinRar создается файл winrarmsg.exe (Если запускаю Фотошоп, то создается файл photoshopmsg.exe). Если их не "убить" вручную, сжирается место на диске C:\ через какое-то время.
То же самое происходит, если пытаюсь переименовать .avi-файл (с .mkv, mp4 проблем нет).
Также блокируется интернет-доступ к ресурсам антивирусов, в т.ч. и z-oleg.com.
Кроме того, были похищены пароли из Тотал Коммандер: ночью, когда компьютер выключен, злоумышленники с помощью моих паролей спокойно подключаются к удаленным серверам.
Прошу помочь. Заранее спасибо.
Последний раз редактировалось van; 16.03.2011 в 16:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\EhYRC9z.exe,\\?\globalroot\systemroot\system32\4uiZmhH.exe,,C:\Program Files\bamgxhdk\jdevihmb.exe
O2 - BHO: Baidu Toolbar BHO - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\Program Files\Baidu\Toolbar\BaiduBarX.dll (file missing)
O3 - Toolbar: Baidu Toolbar - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Program Files\Baidu\Toolbar\BaiduBarX.dll (file missing)
Выполните скрипт в AVZ:
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
AddToLog('=== '+AServiceName+' ===');
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SetAVZGuardStatus(True);
WhatService('cnnlg');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Help\usercpl.chm:exaSnrGYA9hVtaRWFDkF:$DATA','');
QuarantineFile('\\?\globalroot\systemroot\system32\EhYRC9z.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\4uiZmhH.exe','');
QuarantineFile('C:\WINDOWS\system32\y.dll','');
QuarantineFile('C:\Program Files\bamgxhdk\jdevihmb.exe','');
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\4uiZmhH.exe');
DeleteFile('\\?\globalroot\systemroot\system32\EhYRC9z.exe');
DeleteFile('C:\WINDOWS\Help\usercpl.chm:exaSnrGYA9hVtaRWFDkF:$DATA');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
BC_Activate;
ExecuteRepair(20);
SaveLog(GetAVZDirectory+'cnnlg.log');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=99400).
Сделайте новые логи (только п.2 и 3 раздела Диагностика)
+ прикрепите файл cnnlg.log из папки с AVZ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Program Files\bamgxhdk\jdevihmb.exe
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}');
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\S-8-2-62-4766023546-5628146420-838526466-8287\YjJZBZTJ.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_ServiceKill('cnnlg');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
После Вашего сообщения сделал логи AVZ и hijackthis. После этого скачал gmer, первичное сканирование после запуска программы прошло успешно, однако при нажатии на Scan (выбор только диска C:\) сканирование зависло на файле Explorer.EXE. Спасла только перезагрузка компьютера, причем грузился он очень медленно.
Заново сделал логи AVZ и hijackthis. Проверка AVZ выполнялась гораздо медленнее чем раньше.
Работа компьютера немного замедлилась, даже по перемещению мышки заметно
UPD: теперь работает без тормозов
Последний раз редактировалось van; 16.03.2011 в 19:58.
-
Junior Member
- Вес репутации
- 48
Проблема ещё актуальна, прошу помощи.
-
Junior Member
- Вес репутации
- 48
-
Лог gmer попробуйте из безопасного режима сделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Из безопасного режима компьютер отказывается грузиться совсем..
-
Junior Member
- Вес репутации
- 48
Прирепляю экспресс-скан (при запуске gmer который происходит), может поможет
-
Junior Member
- Вес репутации
- 48
Произвел 8 безуспешных попыток сканирования: виснет каждый раз на разных файлах, иногда и вовсе зависает на первичном сканировании.
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\system32\y.dll', 'C:\WINDOWS\system32\y.bak');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
Сообщите, изменится ли что-нибудь.
Добавлено через 4 минуты
И еще: выполните проверку, как описано здесь.
Последний раз редактировалось Bratez; 18.03.2011 в 02:38.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Выполнил скрипт в AVZ, компьютер перезагрузился, при загрузке исчезли все сообщения (userinit.exe, explorer.exe, lsass.exe), при запуске программ никаких сообщений теперь не высвечивается.
Сделал лог в AVZ. Скачал TDSSKiller, при распаковке WinRar'ом также никаких лишних сообщений не было, однако в диспетчере задач появился всё тот же "левый" процесс opera.exe, а в папке WinrRar создался файл winrarmgr.exe, в других папках также создались "левые" файлы и папки (всё как я описывал в самом первом сообщении темы).
В процессе сканирования TDSSKiller нашлась 1 угроза (лог прикрепил).
Информация об угрозе:
Имя сервиса: sptd
Тип сервиса: Kernel driver (0x1)
Старт сервиса: Boot (0x0)
Файл: C:\Windows\system32\Drivers\sptd.sys
(излечить невозможно)
Последний раз редактировалось van; 18.03.2011 в 13:52.
-
Junior Member
- Вес репутации
- 48
Также прикрепляю ещё один лог virusinfo_syscheck, но сделанный уже ПОСЛЕ запуска "левого" процесса opera.exe (сам процесс я убил, только что созданные "левые" папки и файлы вручную почистил)
-
sptd - это не зловред.
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\WINDOWS\system32\y.dll');
DeleteFile('C:\WINDOWS\system32\y.bak');
ExecuteSysClean;
end.
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Выполнил. После перезагрузки компьютера сделал новый лог.
P.S.: проверку gmer по-прежнему сделать не получается, зависает компьютер, спасает только перезагрузка.
-
Оппа! У вас на флэшке зараза (диск G:, оставьте его подключенным)!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('G:\RECYCLER\S-3-0-75-1561028245-6876710715-065074666-5028\ihDxdJqv.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\bamgxhdk\jdevihmb.exe','');
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\S-3-0-75-1561028245-6876710715-065074666-5028\ihDxdJqv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=99400).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Выполнил. После перезагрузки компьютера сделал новые логи.
Список файлов карантина пуст.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Тем не менее, opera.exe продолжает запускаться, левые папки и файлы создаются..
В папке C:\Documents and Settings\Администратор\Local Settings\Temp ещё создается папка hsperfdata_Администратор, в ней файл 1124, весит 64 КБ. Удалить нельзя (Ошибка при удалении файла или папки. Не удается удалить с названием 1124. Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением).
Может, что-нибудь ещё можно сделать?