Сильное заражение
Принесли комп с жалобой на проблемы с интернетом. Сразу же был загрузился с диска KRD, в результате проверки было обнаружено и вылечено порядка 600 гадов. Затем запущено сканирование MBAM, удалил все зараженные объекты. Да, на машине присутствовали два вида защиты, оба функционировали наполовину из-за проблем с испытательным периодом, лицензиями и т.д. Попытка установить KAV2011 завершилась неудачей - программа установки честно предупредила, что машина скорее всего заражена. Ради интереса снова загрузился с KRD - и снова порядка 580-и гадов. MBAM в автозагрузке мужественно борется, блокирует каждые несколько секунд выход на вредоносные веб-сайты, но надо ему помочь.
|
файловый вирь сидит
рекомендую лечение от файлового вируса |
Рад вас снова видеть, SolarSpark. Сейчас займусь.
|
Взаимно) Пройдитесь после куриета SalityKiller
|
Начал исцелять в system32 всякие Win32.Virut.56. Посмотрим, чем дело закончится.
|
лечитесь, пока не перестанет утиль находить вирусы, потом скачаете свежий АВз-обновите базы и логи сделаете новые
|
Пока оставлю комп. Пусть сканирует.
P.S. Пригласили на день рождения, буду позже. |
Прогнал SalityKiller (ничего не обнаружил), затем Virutkiller, который обнаружил то, что Cureit отправил на карантин. KAV по-прежнему ставиться не хочет. Прикрепляю новые логи.
|
а RSIT?
|
Секунду.
Даже я своим глазом кажись увидел лишнее в папке C:\Users\Админ\AppData\Roaming\ :) |
минуту) все вижу
|
Отключите:
Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
begin После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin Сделайте повторные логи AVZ + RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM C:\Windows\system32\%APPDATA% что в папке? драйвер мыши вчера устанавливали? |
quarantine.zip отправил. Занимаюсь логами.
Цитата:
Добавлено позже: уже сейчас видно, что MBAM обнаружил 13 инфицированных объектов. После создания лога лечить? |
лог выложите, прогу не закрывайте-скажу что удалить.
Сколько мвам сканирует у вас по времени? |
Машина мощная, скоро закончит. Выкладываю.
|
Логи.
|
удалите найденное в мвам
не ваше? тогда удаляем ручками Код:
C:\log.tmp что в папке? пробуем установить антивирь и отписываемся о проблеме |
Цитата:
|
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." |
Во время работы Combofix не раз выкидывал ошибку, что не является приложением Win32, но тем не менее, продолжал свою работу. Получилось или нет, не знаю, но лог был создан:
|
Цитата:
Код:
AV: Norton Internet Security |
Вложений: 1
хвосты от Symantec вижу - убираем
Ashampoo Antivirus папку вижу - убираем как же касперу установиться, если тут такое собрание? скачайте утиль из вложения прогоните для удаления продукта симантека для корректного удаления продуктов Norton от Symantec после работы утилиты Norton Removal Tool и последующей перезагрузки необходима ручная чистка системы от оставшихся папок: Symantec, Norton, NortonInstaller, Norton Installer, Tific + пройдитесь CCleaner, перед удалением чего-либо из реестра делаем копию реестра Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
Driver:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. c:\windows\System32\wuauclt.exe восстановить с дистрибутива |
Цитата:
Цитата:
Цитата:
Почитал тут на соседних форумах про Virut, удивлен, насколько живучая тварь. |
раз пошла такая пляска, проверяемся с ливсд..каспера или др.веба, записанного на болванку на здоровом компе..
|
Читаете мои мысли, SolarSpark. Уже в процессе:)
|
Пока дело делается. Если не трудно, проанализируйте логи с другого зараженного гнусными вымогателями компа, скоро отдавать клиенту, а вдруг там чего есть..
|
rzdpasha, правила форума-разные компы-разные темы, вы уж извините
придется создать другую тему |
Одобряю. Именно поэтому иногда лучше через PM.
|
По проблеме: KRD опять нашёл несколько десятков вирусов (вчерашние базы), перед этим были удалены все точки восстановления (работаю без страховки). На этом я не успокоился и прогнал LiveCD от ESET (сегодняшние базы) - 15 штук. Уже интересно. Далее: ERD-диск с проверкой "Автономным средством проверки системы", которому "скормил" через флэш свежескачанные Forefront, Essentials, Defender. Боюсь пока запускать Win7. Почитав http://www.microsoft.com/security/po...=Win32%2fVirut есть желание на всякий подмахнуть winlogon.exe с установочного диска, поскольку эта гадость в первую очередь инжектируется туда. Пока идёт проверка вышеупомянутыми утилитами.
|
rzdpasha, почему ESET?
Пожалуйста, прислушайтесь к моему совету, лечитесь LiveCD от DrWeb или Касперского, эти продукты лечат а не карантинят и удаляют. |
LiveCD от DrWeb на этой машине почему-то отказывается работать. Точнее - его графическая оболочка. При запуске системы опять блокируется установка KAV (для интереса пробовал ESET - аналогично). Начинают опускаться руки.
|
Цитата:
антивирь не поставится пока система не будет чистой ESET не очистит ее от вирута-бесполезная возня |
|
а ваш диск идет на других пк?
если да, то в больном пк надо сбросить настройки биоса на дефолтные отключите все подключенные к системному блоку устройства, выдерните шнур питания. Отвинтите крышку, коснитесь руками блока питания, найдите батарейку CMOS на материнке, вытащите ее и замкните отверткой или батарейкой выводы гнезда. Вставьте батарейку на место, после этого проверьте надежность подключения дисков (шлейфы и питание), если контакты в порядке - закройте крышку и подключите отключенные устройства. http://pc-doc.spb.ru/comp_remont/623.JPG - замыкание выводов пробуем делать загрузочную флеш LiveCD http://www.freedrweb.com/liveusb/?lng=ru если ESET щас проверять начнет файлы системы и они не пройдут у него по базе легитимных-он вместо лечения просто их тупо удалит..Разницу ощущаете? |
Цитата:
|
Цитата:
Цитата:
|
Цитата:
Цитата:
|
Скачайте Universal Virus Sniffer (UVS) . Распакуйте архив в отдельную папку на рабочий стол.
Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Тесты" => "Тест на активные файловые вирусы". ___________________ !!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и результаты опишите в теме, где вам оказывают помощь. |
Цитата:
|
вы сделали неправильно
Сделайте еще лог Universal Virus Sniffer (UVS) Скачайте Universal Virus Sniffer (UVS) Как подготовить лог UVS Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. ___________________ !!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. ___________________ !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". |
Понятно. Вот, что получилось.
Жду экспертного решения (уже вторые сутки:) |
тел вируса больше не вижу
самочувствие, как я понимаю, не меняется? от симантека чистились? |
Да, чистился. Самочувствие не меняется. По-любому какая-то гадость в реестре сидит (я так думаю).
Да, вот что ещё: не работает автоматическое обновление системы, хотя все причастные службы стартуют автоматически вместе с системой. |
давайте лог комбо повторим и лог МВАМ
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM для автоматического обновления Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. Код:
Windows Registry Editor Version 5.00 |
Добрый день, SolarSpark. Сейчас займусь.
|
Логи:
|
Цитата:
D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться пока такие файлы будем находить-все бесполезно |
Стартанул с загрузочного диска Win7, подменил вышеуказанные exe-файлы на оригинальные с дистрибутива. Те, что были, проверил на Virustotal, действительно были "с подмоченной репутацией".
Цитата:
Смущает вот что: чуть ли не на каждом шагу работы Combofix'а система выкидывает окна с предупреждением, что приложение C:/Combofix/ATTRIB.cfxxe не является приложением Win32. На своих компах проверил - нет такого. Либо сказывается заражение, либо Win7 виновата. Установить, что ли для эксперимента себе эту ось? В новом логе Combofix заражений нет. Решил для интереса установить набор обновлений на Win7, содержащий как раз помимо прочего и новую версию explorer.exe и spoolsv.exe. Выполняемый файл установки ругнулся на отсутствие целой череды файлов в windows\system32\. Это: wusa.exe, pkgmgr.exe, expand.exe. Сейчас попробую с загрузочного диска "скормить" их системе, поскольку из-под самой ОС это не удаётся сделать ("файл уже используется". Кем это?). О результатах доложу завтра. Выяснилось, что и из-под загрузочного диска это не удаётся сделать. Что-то там с доступом. |
правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller
|
Цитата:
Тольо что на сайте Касперского обнаружил, что вышла новая версия VirutKiller'а - 1.0.9.0. Вышла 01.08 (может мой запрос в службу поддержки зарегистрированных пользователей повлиял?). Предыдущая (1.0.8.0) датировалась мартом этого года, а это о многом говорит. Перезапускаем проверку... |
Цитата:
|
Мысль. В этом-то режиме не должно возникнуть проблем с доступом к жизненно важным файлам. А всё-таки хочется поставить себе 7 и сравнить с заболевшей системой.
|
Цитата:
Особенности работы средства проверки системных файлов (SFC.exe) в среде Windows RE |
Цитата:
|
Возвращаемся к нашим баранам. После длительного сканирования DrWeb Live (и не одного, + снял HDD и проверил при помощи Emsisoft на своём компе) продолжаем лечение. Уж очень достойной мне показалась эта продукция (Emsisoft). Кстати говоря, это один из двух/трёх антивирусных продуктов, которые однозначно указали на заражение вышеупоминавщихся файлов explorer.exe и spoolsv.exe на VirusTotal. Кажется, гадость больше не размножается, но антивирусы по-прежнему не устанавливаются. AVZ так и ругается на маскировку процессов. Прикладываю логи AVZ и, на всякий, отчет Emsisoft (кому интересно).
|
Цитата:
по отчету Цитата:
заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
begin После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin Сделайте повторные логи AVZ + RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM |
Цитата:
Цитата:
Так. VirutKiller новой версии ничего не нашёл. Продолжаем с Sality.. |
Вложений: 1
Цитата:
|
Вложений: 1
Вот же зараза. Превысил 1Мб вложений. Вот остальные:
|
Цитата:
Проведите полную проверку свежим Dr.Web CureIt! из безопасного режима. Какому устройству в вашей системе присвоена буква F? |
Цитата:
|
Эта история пока не имеет позитивного продолжения. В системе после всех манипуляций изменений нет. Имеется ввиду, установка всех популярных антивирусных продуктов вылетает с ошибкой, либо приложение установки попросту вылетает. Ради эксперимента установил на втором разделе харда вторую Win7, ожидая, что и она в одит прекрасный день заразится через системный раздел с недоубиенным Virut. Однако, этого не произошло (теперь с уверенностью можно так сказать, потому как прошло уже предостаточно времени). Вариант один: реестр (он же душа системы), подпорчен. Мой товарищ что-то говорил про запуск всех приложений с ключем debug через него, гада (в смысле Viruta'а). Отследить не получилось (не до того было), а точки восстановления были разумеется безвозвратно удалены для сокращения времени сканирования всем известных утилит, потому всё произошло именно так.
|
Сделайте отчет http://support.kaspersky.ru/faq/?qid=208641573
|
Уже не смогу. Компьютер отдан владельцу. Хотя, думается мне, это ненадолго. :)
|
Время: 18:30. |
Время: 18:30.
© OSzone.net 2001-