Вирус. Блокировка сайтов, Avz и HijackThis
 

Добрый вечер!

Обнаружил сегодня забавный вирус.
Симптомы:
Блокируются антивирусные сайты и гугловая почта (которая mail.google.ru) через записи persistent routes в реестре.

Проверка Касперским не дает никаких результатов.
Проверка CureIT от Dr.Web-a тоже безрезультатна.

А Avz и HijackThis вообще не запускаются. Точнее запускаются и тут же закрываются.

Порыскав по инету, нашел руководство по использованию программы Combofix.

Скачал Combofix, прогнал его два раза (первый раз он завис в последнем этапе - перезагрузке системы).
Второй раз сканирование завершилось нормально. Но ни Avz, ни HijackThis так и не заработали. Persistent routes вроде очистились, но есть подозрение, что это до первого ребута системы.

Провел быстрое сканирование при помощи Malwarebytes Anti-Malware. Был найден один инфицированный файл (притом на рабочем столе, а не в system32). После ребута этот файл был помещен на карантин, а значения в persistenе routes снова радуют глаз своим обилием =\

Подозрительные файлы из отчета Combofix-a при помощи другого компа (под Линью ) загнал на вирустотал, только на один из них 4 из 43 антивиров сказали, что это подозрительный файл.

Еще раз сделал прогон Combofix-ом, логи без изменений.

Сам писать скрипт или удалять что-то не решаюсь, ибо опыта в таких делах мало, поэтому выкладываю 2 лога в надежде на помощь)

Самое печальное, что вирус мог прокрасться в систему давно, а заметил его я только вчера. Что же получается - единственный выход - переустановка? Неужели нет другого выхода? Уж слишком много ПО стоит, которое потом очень геморрно ставить заново =\

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Вы сами устанавливали программу Radmin Server ? - программа для удаленного управления вашим компьютером.

Да, было дело)

Итак, выполнил скрипт, комп ребутнулся, комбофикс сгенерил лог. Выкладываю его


О_о
Есть прогресс - хоть Avz открылся 8-)
Сейчас просканю всю систему им, потом может еще Hijackthis-ом для точности. Логи нужно будет выкладывать? Или уже все, вирус повержен?

Кстати, заглянул из любопытства в реестр в [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] есть странный ключ - usrint со значением "C:\WINDOWS\system32\guqhko.exe". Меня этот файлик настрожил еще на этапе визуального просмотра system32. Правда о нем нет никакого упоминания в отчетах combofix-a

Да.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Итак, что я сделал с момента моего последнего поста:

1) Сразу после волшебного открытия факта возможности запуска avz, я не долго думая просканил им всю систему. Он ничего не нашел. Логи прилагается (virusinfo_syscure.zip и virusinfo_syscheck.zip)

2) Выполнил скрипт выложенный Вами скрипт. Лог combofix-a прилагается.

3) Перезагрузил систему и прогнал все через HijackThis. Лог прилагается.

4) Также еще прогнал все RSIT-ом. Лог также прилагается.

В принципе, первоначальные симптомы пропали, Persistent routes радуют глаз своей чистотой, все ресурсы открываются, все антивирусные программы работают.

Ах, да, у меня тут родилась интересная мысль (но на всяк случай скрою ее под катом):

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Не все так просто и обычной темой не отобьёшься. Курс подготовки специалиста длится от 2 до 6 месяцев.
Подробнее

Все, сделал

Удалите комбофикс.

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Все, сделано :)
Я так понимаю, теперь нужно нажать на кнопочку "отметить решенной"?)

Если проблем больше нет то можете отмечать.


Для безопасности...

Далее:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
Можно использовать и OPERA.

Все, проблем больше не наблюдается, всем огромное спасибо за помощь!

Самое забавное, что Windows для меня не основная система, на ней я в основном играю и работаю с разными чисто виндовыми программами. Основные оси - debian и freebsd. Но винду так давно не переставлял, что на ней набралось порядочно разного полезного софта и было бы просто очень жалко все это потерять и переставлять заново. Вообщем, самое печальное, не ценишь виндусь, пока не появляется риск его потерять :)