Добрый вечер!

Обнаружил сегодня забавный вирус.
Симптомы:
Блокируются антивирусные сайты и гугловая почта (которая mail.google.ru) через записи persistent routes в реестре.

Проверка Касперским не дает никаких результатов.
Проверка CureIT от Dr.Web-a тоже безрезультатна.

А Avz и HijackThis вообще не запускаются. Точнее запускаются и тут же закрываются.

Порыскав по инету, нашел руководство по использованию программы Combofix.

Скачал Combofix, прогнал его два раза (первый раз он завис в последнем этапе - перезагрузке системы).
Второй раз сканирование завершилось нормально. Но ни Avz, ни HijackThis так и не заработали. Persistent routes вроде очистились, но есть подозрение, что это до первого ребута системы.

Провел быстрое сканирование при помощи Malwarebytes Anti-Malware. Был найден один инфицированный файл (притом на рабочем столе, а не в system32). После ребута этот файл был помещен на карантин, а значения в persistenе routes снова радуют глаз своим обилием =\

Подозрительные файлы из отчета Combofix-a при помощи другого компа (под Линью ) загнал на вирустотал, только на один из них 4 из 43 антивиров сказали, что это подозрительный файл.

Еще раз сделал прогон Combofix-ом, логи без изменений.

Сам писать скрипт или удалять что-то не решаюсь, ибо опыта в таких делах мало, поэтому выкладываю 2 лога в надежде на помощь)

Самое печальное, что вирус мог прокрасться в систему давно, а заметил его я только вчера. Что же получается - единственный выход - переустановка? Неужели нет другого выхода? Уж слишком много ПО стоит, которое потом очень геморрно ставить заново =\

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
C:\~dummy.tmp
c:\windows\system32\eiivff.exe

Driver::

Folder::
c:\program files\Common Files\28ab0b72
c:\program files\Common Files\28ab0879

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Вы сами устанавливали программу Radmin Server ? - программа для удаленного управления вашим компьютером.

Вы сами устанавливали программу Radmin Server ? »
Да, было дело)

Итак, выполнил скрипт, комп ребутнулся, комбофикс сгенерил лог. Выкладываю его


О_о
Есть прогресс - хоть Avz открылся 8-)
Сейчас просканю всю систему им, потом может еще Hijackthis-ом для точности. Логи нужно будет выкладывать? Или уже все, вирус повержен?

Кстати, заглянул из любопытства в реестр в [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] есть странный ключ - usrint со значением "C:\WINDOWS\system32\guqhko.exe". Меня этот файлик настрожил еще на этапе визуального просмотра system32. Правда о нем нет никакого упоминания в отчетах combofix-a

Логи нужно будет выкладывать? »
Да.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::
C:\WINDOWS\system32\guqhko.exe
Driver::

Folder::
c:\program files\Common Files\28ab0890

Registry::
RegLockDel::
FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Итак, что я сделал с момента моего последнего поста:

1) Сразу после волшебного открытия факта возможности запуска avz, я не долго думая просканил им всю систему. Он ничего не нашел. Логи прилагается (virusinfo_syscure.zip и virusinfo_syscheck.zip)

2) Выполнил скрипт выложенный Вами скрипт. Лог combofix-a прилагается.

3) Перезагрузил систему и прогнал все через HijackThis. Лог прилагается.

4) Также еще прогнал все RSIT-ом. Лог также прилагается.

В принципе, первоначальные симптомы пропали, Persistent routes радуют глаз своей чистотой, все ресурсы открываются, все антивирусные программы работают.

Ах, да, у меня тут родилась интересная мысль (но на всяк случай скрою ее под катом):
Очень было бы неплохо разместить на данном ресурсе статьи на тему самостоятельного написания скриптов по удалению файлов и в целом лечению вирусов. Чтобы постоянно не теребить людей на форуме, чтобы продвинутый пользователь (у которого есть голова на плечах и прямые руки оттуда же примерно растущие) мог сам написать скрипт для удаления ненужных файлов и исправления значений ключей в реестр.

Лично я, пока пытался побороть этот злосчастный вирус, уже примерно стал понимать, как пишутся скрипты, по какому принципу удалять файлы и т.д. и т.п. Если бы изначально был адекватный и полный ХАУТУ по этому делу, то мне бы и не пришлось вообще создавать тут тему. Правда опять же, если вдруг такая тема будет создана, необходимо указать, что простым пользователям, новичкам, лучше наобум ничего не тыкать, а обратиться к форумчанам за помощью.

Прошу прощения за свою путанную речь, надеюсь моя мысль ясна.
В принципе, после некоторого изучения материала, я бы может и смог наваять статью, если смогу выделить немного времени и если это кому-нибудь будет интересно и нужно.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::
RegLock::
[HKEY_USERS\S-1-5-21-746137067-1580436667-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
RegNull::
[HKEY_USERS\S-1-5-21-746137067-1580436667-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EC00EFF2-7743-79A2-0859-CABC9C5453BC}*]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ах, да, у меня тут родилась интересная мысль (но на всяк случай скрою ее под катом)
Не все так просто и обычной темой не отобьёшься. Курс подготовки специалиста длится от 2 до 6 месяцев.
Подробнее (http://virusnet.info/forum/showthread.php?t=1012)

Все, сделал
Там правда возникли затруднения: после выполнения скрипта и ребута системы combofix подвис на создании отчета. Поэтому я его второй раз запустил и все прошло нормально. Выкладываю этот отчет

Удалите комбофикс.

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), зеркало OTCleanIt (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up.

Все, сделано :)
Я так понимаю, теперь нужно нажать на кнопочку "отметить решенной"?)

Я так понимаю, теперь нужно нажать на кнопочку "отметить решенной"?) »
Если проблем больше нет то можете отмечать.


Для безопасности...

Далее:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
Можно использовать и OPERA.

Все, проблем больше не наблюдается, всем огромное спасибо за помощь!

Самое забавное, что Windows для меня не основная система, на ней я в основном играю и работаю с разными чисто виндовыми программами. Основные оси - debian и freebsd. Но винду так давно не переставлял, что на ней набралось порядочно разного полезного софта и было бы просто очень жалко все это потерять и переставлять заново. Вообщем, самое печальное, не ценишь виндусь, пока не появляется риск его потерять :)