Сильное заражение
 

Принесли комп с жалобой на проблемы с интернетом. Сразу же был загрузился с диска KRD, в результате проверки было обнаружено и вылечено порядка 600 гадов. Затем запущено сканирование MBAM, удалил все зараженные объекты. Да, на машине присутствовали два вида защиты, оба функционировали наполовину из-за проблем с испытательным периодом, лицензиями и т.д. Попытка установить KAV2011 завершилась неудачей - программа установки честно предупредила, что машина скорее всего заражена. Ради интереса снова загрузился с KRD - и снова порядка 580-и гадов. MBAM в автозагрузке мужественно борется, блокирует каждые несколько секунд выход на вредоносные веб-сайты, но надо ему помочь.

файловый вирь сидит
рекомендую лечение от файлового вируса

Рад вас снова видеть, SolarSpark. Сейчас займусь.

Взаимно) Пройдитесь после куриета SalityKiller

Начал исцелять в system32 всякие Win32.Virut.56. Посмотрим, чем дело закончится.

лечитесь, пока не перестанет утиль находить вирусы, потом скачаете свежий АВз-обновите базы и логи сделаете новые

Пока оставлю комп. Пусть сканирует.
P.S. Пригласили на день рождения, буду позже.

Прогнал SalityKiller (ничего не обнаружил), затем Virutkiller, который обнаружил то, что Cureit отправил на карантин. KAV по-прежнему ставиться не хочет. Прикрепляю новые логи.

а RSIT?

Секунду.
Даже я своим глазом кажись увидел лишнее в папке C:\Users\Админ\AppData\Roaming\ :)

минуту) все вижу

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

C:\Windows\system32\%APPDATA% что в папке?
драйвер мыши вчера устанавливали?

quarantine.zip отправил. Занимаюсь логами.
Нет, таких действий не производил. Другой вопрос, что у людей м.б. USB-мышь, я же подключаю к проблемным машинам PS/2, проблем с ними меньше.
Добавлено позже: уже сейчас видно, что MBAM обнаружил 13 инфицированных объектов. После создания лога лечить?

лог выложите, прогу не закрывайте-скажу что удалить.
Сколько мвам сканирует у вас по времени?

Машина мощная, скоро закончит. Выкладываю.

Логи.

удалите найденное в мвам

не ваше?
тогда удаляем ручками
C:\Windows\system32\%APPDATA%
что в папке?

пробуем установить антивирь и отписываемся о проблеме

Удалено (с правами администратора), благо в Win7 это реализовано грамотно, в отличие от той же XP. Перезагрузился на всякий. KAV не ставится. Содержимое папки: C:\Windows\system32\%APPDATA%\Microsoft\Windows\IETldCache\index.dat. А в этой папке были два экзешника с харатерными для вирусов именами (удалил, перезагрузился): C:\Windows\system32\config\%APPDATA%\systemprofile\AppData. KAV отказывается устанавливаться.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Во время работы Combofix не раз выкидывал ошибку, что не является приложением Win32, но тем не менее, продолжал свою работу. Получилось или нет, не знаю, но лог был создан:

И скорее всего не установится у вас присутствует Нортон либо его остатки

хвосты от Symantec вижу - убираем
Ashampoo Antivirus папку вижу - убираем
как же касперу установиться, если тут такое собрание?

скачайте утиль из вложения прогоните для удаления продукта симантека
для корректного удаления продуктов Norton от Symantec после работы утилиты Norton Removal Tool и последующей перезагрузки необходима ручная чистка системы от оставшихся папок: Symantec, Norton, NortonInstaller, Norton Installer, Tific + пройдитесь CCleaner, перед удалением чего-либо из реестра делаем копию реестра

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\windows\System32\wuauclt.exe восстановить с дистрибутива

Знаком с этой проблемой, потому имею все популярные утилиты для удаления антивирусных продуктов. Но здесь выскакивающее окно другого содержания.
Такого файла в Win7 нет, или я плохо искал?А вот с этим проблема. Выскакивает окно с предупреждением. Суть в том, что предлагается закачать другую версию ComboFix с указанного сайта, и есть подозрение на патч-вирус Virut.

Почитал тут на соседних форумах про Virut, удивлен, насколько живучая тварь.

раз пошла такая пляска, проверяемся с ливсд..каспера или др.веба, записанного на болванку на здоровом компе..

Читаете мои мысли, SolarSpark. Уже в процессе:)

Пока дело делается. Если не трудно, проанализируйте логи с другого зараженного гнусными вымогателями компа, скоро отдавать клиенту, а вдруг там чего есть..

rzdpasha, правила форума-разные компы-разные темы, вы уж извините
придется создать другую тему

Одобряю. Именно поэтому иногда лучше через PM.

По проблеме: KRD опять нашёл несколько десятков вирусов (вчерашние базы), перед этим были удалены все точки восстановления (работаю без страховки). На этом я не успокоился и прогнал LiveCD от ESET (сегодняшние базы) - 15 штук. Уже интересно. Далее: ERD-диск с проверкой "Автономным средством проверки системы", которому "скормил" через флэш свежескачанные Forefront, Essentials, Defender. Боюсь пока запускать Win7. Почитав http://www.microsoft.com/security/po...=Win32%2fVirut есть желание на всякий подмахнуть winlogon.exe с установочного диска, поскольку эта гадость в первую очередь инжектируется туда. Пока идёт проверка вышеупомянутыми утилитами.

rzdpasha, почему ESET?
Пожалуйста, прислушайтесь к моему совету, лечитесь LiveCD от DrWeb или Касперского, эти продукты лечат а не карантинят и удаляют.

LiveCD от DrWeb на этой машине почему-то отказывается работать. Точнее - его графическая оболочка. При запуске системы опять блокируется установка KAV (для интереса пробовал ESET - аналогично). Начинают опускаться руки.

инструкцию читали?

антивирь не поставится пока система не будет чистой

ESET не очистит ее от вирута-бесполезная возня

Признаться, нет. Пусть маслает в текстовом режиме, просто неизвестно, когда закончится.
Ну что ж. Попробовать всё равно стоило (не сидеть же сиднем).

а ваш диск идет на других пк?

если да, то в больном пк надо сбросить настройки биоса на дефолтные
отключите все подключенные к системному блоку устройства, выдерните шнур питания. Отвинтите крышку, коснитесь руками блока питания, найдите батарейку CMOS на материнке, вытащите ее и замкните отверткой или батарейкой выводы гнезда. Вставьте батарейку на место, после этого проверьте надежность подключения дисков (шлейфы и питание), если контакты в порядке - закройте крышку и подключите отключенные устройства.

http://pc-doc.spb.ru/comp_remont/623.JPG - замыкание выводов

пробуем делать загрузочную флеш LiveCD
http://www.freedrweb.com/liveusb/?lng=ru

если ESET щас проверять начнет файлы системы и они не пройдут у него по базе легитимных-он вместо лечения просто их тупо удалит..Разницу ощущаете?

Выяснилось, что нет. Кривая сборка что-ли.

Возможно или возникают ошибки при записи. Поэтому рекомендуется при записи дисков отключать антивирусы и записывать на низкой скорости установленной вручную(встречался что при записи дисков при помощи неро при включенном каспере записанный диск не читался как надо.) .

Попробуйте сканер Kaspersky Virus Removal Tool - http://support.kaspersky.ru/faq/?qid=208637130

Перебрал уже кучу образов для CD и флэшек, пробовал на 4-х разных компах - ни разу не увидел графического интерфейса. В текстовом режиме проверка длилась почти сутки! (и это на core i5 !!!). По ходу проверки выявлялись файлы "FLY CODE", только окончание проверки было без меня. То ли он вылечил и перезагрузился, то ли светом "дернули" и опять-таки перезагрузился - не знаю. Знаю лишь, что в системе без изменений. Не устанавливаются KAV, ESET и сам DrWeb. Сделал новые логи на всякий.
Ни MBAM, ни KVRT ничего не находят, только AVZ чухает маскировку процессов в системе.

Скачайте Universal Virus Sniffer (UVS) . Распакуйте архив в отдельную папку на рабочий стол.

Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Тесты" => "Тест на активные файловые вирусы".
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и результаты опишите в теме, где вам оказывают помощь.

Программа отработала очень быстро. Активных вирусов не обнаружено.

вы сделали неправильно

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Понятно. Вот, что получилось.
Жду экспертного решения (уже вторые сутки:)

тел вируса больше не вижу
самочувствие, как я понимаю, не меняется?
от симантека чистились?

Да, чистился. Самочувствие не меняется. По-любому какая-то гадость в реестре сидит (я так думаю).
Да, вот что ещё: не работает автоматическое обновление системы, хотя все причастные службы стартуют автоматически вместе с системой.

давайте лог комбо повторим и лог МВАМ

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

для автоматического обновления
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление.

Добрый день, SolarSpark. Сейчас займусь.

Логи:

Проверьте сами на http://www.virustotal.com

D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться
пока такие файлы будем находить-все бесполезно

Стартанул с загрузочного диска Win7, подменил вышеуказанные exe-файлы на оригинальные с дистрибутива. Те, что были, проверил на Virustotal, действительно были "с подмоченной репутацией". Сам удивился, увидев это. Удалил при помощи командной строки того же диска, пока не воскрес.
Смущает вот что: чуть ли не на каждом шагу работы Combofix'а система выкидывает окна с предупреждением, что приложение C:/Combofix/ATTRIB.cfxxe не является приложением Win32. На своих компах проверил - нет такого. Либо сказывается заражение, либо Win7 виновата. Установить, что ли для эксперимента себе эту ось? В новом логе Combofix заражений нет. Решил для интереса установить набор обновлений на Win7, содержащий как раз помимо прочего и новую версию explorer.exe и spoolsv.exe. Выполняемый файл установки ругнулся на отсутствие целой череды файлов в windows\system32\. Это: wusa.exe, pkgmgr.exe, expand.exe. Сейчас попробую с загрузочного диска "скормить" их системе, поскольку из-под самой ОС это не удаётся сделать ("файл уже используется". Кем это?). О результатах доложу завтра.
Выяснилось, что и из-под загрузочного диска это не удаётся сделать. Что-то там с доступом.

правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller

Мерси-с. VirutKiller в данный момент в процессе. LiveCD чуть позже, поставлю на ночь. Я вот думаю: допустим, вирь или NOD32 всё-таки удалили кое-что из system32, почему же нет в семерке нечто похожего на SFC той же XP? Судя по разным логам в системе отсутствуют несколько exe-файлов. Что же теперь: по одному их "скармливать" в систему?
Тольо что на сайте Касперского обнаружил, что вышла новая версия VirutKiller'а - 1.0.9.0. Вышла 01.08 (может мой запрос в службу поддержки зарегистрированных пользователей повлиял?). Предыдущая (1.0.8.0) датировалась мартом этого года, а это о многом говорит. Перезапускаем проверку...

Можно запустить переустановку системы в режиме восстановления (во всяком случае в XP была такая возможность), после этого удалятся все точки восстановления и придется заново устанавливать все обновления системы, установленные программы и пользовательские файлы и настройки затронуты не будут.

Мысль. В этом-то режиме не должно возникнуть проблем с доступом к жизненно важным файлам. А всё-таки хочется поставить себе 7 и сравнить с заболевшей системой.

С чего взяли что нет?

Особенности работы средства проверки системных файлов (SFC.exe) в среде Windows RE

Просто неправильно выразился. В приведенной ссылке как раз рассматривается решение проблемы, с которой, собственно, я и столкнулся.

Возвращаемся к нашим баранам. После длительного сканирования DrWeb Live (и не одного, + снял HDD и проверил при помощи Emsisoft на своём компе) продолжаем лечение. Уж очень достойной мне показалась эта продукция (Emsisoft). Кстати говоря, это один из двух/трёх антивирусных продуктов, которые однозначно указали на заражение вышеупоминавщихся файлов explorer.exe и spoolsv.exe на VirusTotal. Кажется, гадость больше не размножается, но антивирусы по-прежнему не устанавливаются. AVZ так и ругается на маскировку процессов. Прикладываю логи AVZ и, на всякий, отчет Emsisoft (кому интересно).

для семерки это нормально

по отчету вижу все тот же вирут..
заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Понятно.Да куда уж хуже;))) Скоро займусь.
Так. VirutKiller новой версии ничего не нашёл. Продолжаем с Sality..

Не получилось. Ругается на отсутствие файла, хотя тот на рабочем столе. Удалил вручную. Ничего?

Вот же зараза. Превысил 1Мб вложений. Вот остальные:

Запустите OTCleanIt, нажмите Clean up.

Проведите полную проверку свежим Dr.Web CureIt! из безопасного режима.

Какому устройству в вашей системе присвоена буква F?

USB-flash. Защищена USB Vaccinate от Panda.

Эта история пока не имеет позитивного продолжения. В системе после всех манипуляций изменений нет. Имеется ввиду, установка всех популярных антивирусных продуктов вылетает с ошибкой, либо приложение установки попросту вылетает. Ради эксперимента установил на втором разделе харда вторую Win7, ожидая, что и она в одит прекрасный день заразится через системный раздел с недоубиенным Virut. Однако, этого не произошло (теперь с уверенностью можно так сказать, потому как прошло уже предостаточно времени). Вариант один: реестр (он же душа системы), подпорчен. Мой товарищ что-то говорил про запуск всех приложений с ключем debug через него, гада (в смысле Viruta'а). Отследить не получилось (не до того было), а точки восстановления были разумеется безвозвратно удалены для сокращения времени сканирования всем известных утилит, потому всё произошло именно так.

Сделайте отчет http://support.kaspersky.ru/faq/?qid=208641573

Уже не смогу. Компьютер отдан владельцу. Хотя, думается мне, это ненадолго. :)