Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на вредоносное ПО (http://forum.oszone.net/showthread.php?t=238094)

DummyCorp 07-07-2012 15:58 1947639

Подозрение на вредоносное ПО
 
Привет, ребят. Сегодня ночью ОС начала себя немного неадекватно вести, пару раз крешился проводник, не удалялись пустые папки. Утром включаю компьютер, касперский не стартует (internet securtity 2010), при чем на экране приветствия надписи protected by kaspersky lab тоже нету. Один раз автоматом открывался блокнот с первой строкой "This Program Cannot Be Run in DOS Mode", а дальше тонны текста непонятной кодировки. Название открытого файла, увы, не помню. Вместе со стартом рабочего стола появляется ошибка "Ошибка при инициализации приложения" MOM.exe, скриншоты этой и остальных ошибок после старта прилагаю. Безопасный режим не стартует ни в одном из вариантов: проходит загрузка файлов, загрузка SPTD, потом черный экран, ребут и снова загрузка ОС. AVZ так же не запускается. Hosts чистый. Скриншот диспетчера прилагаю, в нем, кстати, время от времени проскакивают непонятные процессы, да и сейчас там висят. Очень рассчитываю на вашу помощь, на жесятках много важных файлов, отточенная под себя система, не хотелось бы терять что-либо.

regist 07-07-2012 16:21 1947650

DummyCorp, попробуйте сделать логи полиморфным AVZ

если не получится попытайтесь завершить процесс tonysba.exe и так сделать логи.

сделайте лог uVS

DummyCorp 07-07-2012 17:11 1947660

regist, завершил все подозрительные процессы от SYSTEM, кроме одного - ibserver.exe, он запускается сам тут же после его завершения. Полиморфный запустился, простой же, после завершения процессов, начал запускаться, но завершался спустя 2-3 секунды. Спустя ~10 минут работы ОС процесс lsass.exe забирает все ресурсы процессора, а сделать с ним ничего нельзя. Сейчас сделаю ребут для драйвера расширенного мониторинга процессов, попробую сделать логи AVZ.

regist 07-07-2012 17:12 1947662

просто сделайте логи полиморфным AVZ. с остальным разбёрмся по ходу лечения.

DummyCorp 07-07-2012 17:37 1947677

regist, попробовал сделать логи AVZ сразу после запуска ОС. Завершить, к сожалению, не удалось. По мере работы AVZ появлялось все больше процессов, а затем lsass.exe начал полностью загружать ЦП, соответственно сканирование стало проходить невозможно медленно.

regist, попробовал сделать лог uVS, аналогично - при длительной проверке цифровых подписей lsass.exe дал о себе знать и все повисло.

regist 07-07-2012 18:52 1947705

а если в безопасном режиме ? постарайтесь сделать хотя бы стандартный скрипт №2 (он быстрее делается).

+ сделайте лог лог HiJackThis http://forum.oszone.net/thread-177677.html

iskander-k 07-07-2012 19:01 1947710

В безопасном режиме проверьте утилитой CureIT

DummyCorp 07-07-2012 19:33 1947726

iskander-k, regist, вот тут-то тоже проблема
Цитата:

Цитата DummyCorp
Безопасный режим не стартует ни в одном из вариантов: проходит загрузка файлов, загрузка SPTD, потом черный экран, ребут и снова загрузка ОС »


regist 07-07-2012 19:37 1947727

Цитата:

Цитата regist
сделать хотя бы стандартный скрипт №2 (он быстрее делается).
+ сделайте лог лог HiJackThis »

что с этим ?

DummyCorp 07-07-2012 19:41 1947729

Второй скрипт удалось выполнить, прикрепил файлы.
Сейчас посмотрю с HiJackThis и 10-м пунктом.

DummyCorp 07-07-2012 19:48 1947734

Так-с, не работает ни одна ссылка по загрузке HiJackThis: Невозможно найти удалённый сервер

Есть, скачал с sourceforge.net

DummyCorp 07-07-2012 19:51 1947737

Прикрепляю лог HijackThis

regist 07-07-2012 20:17 1947749

DummyCorp, у вас файловый вирус Sality пролечитесь, как указано здесь, а после сделайте новые логи.

на время лечения подключите к компьютеру все флешки и другие съёмные носители чтоб их тоже пролечить.

DummyCorp 08-07-2012 15:49 1948116

regist, Dr. Web LiveCD сделал чуть менее, чем ничего.
Kaspersky Rescue Disk дал некие результаты, проверил системный раздел, секторы загрузки, вылечил около 1000 файлов, но вот беда - системный раздел весит всего-то 10гб, а на его проверку ушла весомая часть времени, как же тогда поступить с зараженным винчестером на 1.5 ТБ? Пары суток не хватит...
Сейчас прогоню salitykiller'om от Касперского, но винчестер на полтора ему тоже придется сканировать, не представляю сколько времени это займет.

DummyCorp 08-07-2012 23:26 1948321

Вложений: 1
salitykiller завершил лечение файлов, но проблемы продолжаются. Смог установить касперского, справиться не может, проводит лечение, перезагрузку и опять обнаруживает то, что лечил прошлый раз, хоть и заблокировал доступ вируса к вредоносным файлам в интернете. Вот логи AVZ, лог virusinfo_cure.zip не поместился, вот он:

iskander-k 08-07-2012 23:57 1948343

DummyCorp, Ссылку на архив с вирусом отправьте в РМ хэлперу. Из поста удалите.

Цитата:

Цитата DummyCorp
alitykiller завершил лечение файлов, но проблемы продолжаются. »

Утилита не может вживую удалиить вирус.

просканируйте комп Live CD

DummyCorp 09-07-2012 00:05 1948347

iskander-k, лечение livecd от каспера провел

regist 09-07-2012 16:01 1948720

DummyCorp, файловый вирус до сих пор активен, пролечитесь ещё раз диском от касперского.

DummyCorp 09-07-2012 17:03 1948756

Вложений: 2
Эту ночь провел за лечением :3
Есть положительные результаты, активность вирусов, вроде-бы, прекратилась (больше всего дел натворили Sality и Virut, парой работали :D), разблокировался доступ к антивирусным сайтам после работы kaspersky removal tool, прогнал систему salitykiller'oм и virutkiller'ом, обновил базы KIS 2010, прогнал им. Вот новые логи, посмотрите пожалуйста.

DummyCorp 09-07-2012 17:49 1948783

UP: потер еще один файл - nwcwks.dll

thyrex 09-07-2012 21:57 1948949

Выполните скрипт в AVZ
Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Илья\Application Data\7 9\rundll32.exe','');
 QuarantineFile('C:\Documents and Settings\ ;LO\Local Settings\Application Data\zamkope.dll','');
 QuarantineFile('C:\Documents and Settings\Илья\Application Data\7 9\l3.lnk','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe','');
 DeleteService('amsint32');
 DeleteFile('C:\WINDOWS\system32\drivers\mpkmro.sys');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe');
 DeleteFile('C:\Documents and Settings\Илья\Application Data\7 9\l3.lnk');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdate');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdate');
 DeleteFile('C:\Documents and Settings\Илья\Application Data\7 9\rundll32.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdater');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

DummyCorp 10-07-2012 00:35 1949043

Вложений: 1
thyrex, прикрепляю логи.
ОСь начала себя вести крайне неадекватно, видимо, после "лечения" от каспера, ибо было затронуто много, а точнее, чуть ли не все, системный файлы. Спустя 10-15 минут после старта ОС что-то происходит, теряются почти все пункты из контекстного меню проводника, все exe файлы теряют иконку, а любое действие (даже выключение/перезагрузка) пресекается сообщением о нехватке прав/отказе в доступе/невозможности получить доступ.

thyrex 10-07-2012 00:58 1949053

Выполните скрипт в AVZ
Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe');
 DeleteFile('C:\Documents and Settings\ ;LO\Local Settings\Application Data\zamkope.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zamkope','DLLName');
 DeleteFile('2wygbqgp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

regist 10-07-2012 01:05 1949055

+ к выше написанному поменяйте пароли, один из файлов который попал в карантин Зловред Trojan.PWS.Spy.12768

akok 10-07-2012 21:40 1949584

+ + Когда лечение будет завершено :)

DummyCorp 12-07-2012 14:43 1950628

Вложений: 1
Так-с, снова были проблемы, как оказалось, каспер кинул дочерние приложения explorer.exe в недоверенные, в связи с чем все крэшилось спустя 1-2 минуты работы ОС (ох у намучился, пока выяснил). Теперь все окей, симптомов нет, системные файлы восстановил. Обновляю логи:

thyrex 12-07-2012 15:11 1950645

Остальные логи где?

DummyCorp 12-07-2012 15:17 1950648

Вложений: 1
thyrex, следует сделать что-то кроме AVZ? Прикрепляю RSIT.

thyrex 12-07-2012 16:00 1950681

Пофиксите в HiJack
Код:

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O20 - Winlogon Notify: zamkope - Invalid registry found

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.


Время: 13:26.

Время: 13:26.
© OSzone.net 2001-