Заражение системы (неизвестный вирус)

[Eugenii]

Здравствуйте! Очень надеюсь на вашу помощь, переставлять систему особого желания нет. Заражение возможно произошло со внешнего носителя, каким образом - непонятно, в системе функционировал свежий нод32. Вирус на редкость попался очень хитрый: всю подпольную деятельность ведет через процесс windows\system32\svchost.exe. При сравнение размеров оригинала svchost из дистрибутива и того, что сейчас у меня в системе изменений не обнаружено. Видимо он подсоединяется к данному процессу при загрузке системы. Проштудировал через реестр возможные ветки автозагрузки, явное отсутвие каких либо подозрительных записей. На всех подключаемых внешних носителях создается autorun.inf причем без ссылок на всякие copy.exe, внутри непонятная чепуха, но по сути, видимо, являющаяся при активации автозапуска вредоносным кодом. Также вирус отключает показ скрытых файлов, восстановил только через реестр. В windows\system32 создается опять же через оригинальный процесс svchost.exe (мониторил через ProcessMonitor) библиотека bubzpmvy.dll, ее назначение мне непонятно. Также вирус создает пару-тройку своих служб с подозрительными именами, описание копирует у случайно выбранных майкрософтских служб; получается, что одно и тоже описание имеют две службы (вычислить не трудно). На библиотеку bubzpmvy.dll и ветки служб в реестре вирус убирает разрешения на запись и даже чтение. Пробовал избавляться от Autorun.inf, bubzpmvy.dll и служб (путем чистки реестра) в безопасном режиме и при загрузке с "livecd". Бывают также случаи когда данный процесс Svchost.exe начинает отъедать 50% ресурсов цп, помогает перезагрузка, иногда процесс закрывается с ошибкой (после очередной моей чистки), после перезагрузки работоспособность вируса со временем возвращается.

Для проверки подсоединял внешний жесткий (с удаленными autorun.inf). Возможно ли, что после очистки системы от вируса, я вновь заражаю ее из каких-то неизвестных мне и неизбавленных от присутствия вирус областей внешнего жесткого?

Ну и собственно интересует как добраться до того, что использует ориг. svchost.exe в своих корыстных целях.

Собранные логи:

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscheck.zip

info.txt

log.txt

[ТроПа]

Необходимо обновить базы АВЗ и выложить лог после выполнения стандартного скрипта 3, а вы выложили только посел скрипта 2.

[Eugenii]

Извиняюсь, поторопился... Проблема решена своими силами, просьба удалить эту тему.

[0ld]

Добрый день

Можете начать читать с пункта 2 или 3

1) Всё началось с того что мне неправильно собрали системный блок, компьютор иногда не отключался даже кнопкой на системном блоке, приходилось выключать из розетки, на протяжении пол года постоянно носил его в ту фирму где мне его собирали, но эти архаровцы вины своей не признавали, всёже нашолся человек который доказал их вину, им пришлось заменить процессор, естественно за их счёт. Пол года я горя не знал, пока не обратился опять в ту фирму чтоб добавить ещё гиг памяти, к ним обратился т.к. их пломба стояла на системном блоке, но срок гарантии заканчивался на днях, забрал я его уже без пломбы. Вызвал мастера на дом, 2 минуты и клавиатура заработала, но перестала работать моя любимая игра Lineage, тут я понял что это те архаровцы мне насолили за то что я с ними ругался пол года. Стал обращаться в другие фирмы, только пенсию тратил, а результата ноль. Стал учиться всё делать сам, убедился в халатном отношении людей из подобных фирм, к примеру я их просил сделать удаление данных без возможности восстановления, 10 минут и забирайте, когда сам научился знаю что на один проход уходит пол часа на моём жёстком диске. Думаю что мне жизни не хватит разобраться с этой проблемой, мне 73 года и хотелось бы остаток дней провести в Lineage.

2) XP Professional 2002 sp2

AMD Athlon 64 Processor 300+

1.81 ГГц. 2 ГБ ОЗУ

Radeon X600 128 МБ

3) захожу в игру, в линейку, успеваю только рукой помахать и компьютер перезагружается, сгорела видеокарта, заменил на такую же, перепробовал разные ОС, устанавливал всегда сам с мультизагрузочных дисков с последними обновлениями, предварительно отформатировав жёсткий диск и сделав удаление данных за 35 проходов, обнулял биос, поменял с килограм батареек, т.к. время и дату постоянно уносит в прошлое, кстати о биосе, стоит отключить клавиатуру чтоб заменить на новую или просто почистить (песок на неё с меня сыплется) она сразу перестаёт работать, пока в биосе не переставлю RAIDы c Enabled на Disabled, такого раньше не было. svchost.exe постоянно ведёт себя подозрительно о чём сообщает фаервол,это мягко сказано, он просто вздохнуть не даёт, но находится он где положено в system32 и других svchost.exe нет. AVZ тоже ни чего не находит.

Помогите пожалуйста

[Pili]

Здравствуйте!

Вероятно кроме того, что у вас проблемы "железные" (рекомендую проверить блок питания), ещё может быть зловред поселился.

Для чего форматировать винт в 35 проходов непонятно, если только секретные данные стирать (для этого есть спец. утилиты, напр. wipeinfo), если это для борьбы с вирусами, то и одного форматирования достаточно (главное потом софт устанавливать лицензионный с CD и проверить другие диски антивирусом со свежими базами)

стоит отключить клавиатуру чтоб заменить на новую или просто почистить (песок на неё с меня сыплется) она сразу перестаёт работать, пока в биосе не переставлю RAIDы c Enabled на Disabled

эта настройки биос никак не должна на клавиатуру влиять.

Предварительно, перед лечением, отключите автозапуск, включите встроенный брандмауэр windows, уберите в исключения общий доступ к файлам и принтерам.

Сделайте логи по правилам

[0ld]

Pili, cогласен с Вами что у меня скорее всего проблемы с железом, напомню что проблемы начались с того что мне добавили гиг памяти, возможно что- то повредили выгребая пыль которая накопилась из- за того что системный блок был опломбирован. и насчёт блока питания тоже верно, я его заменил недавно, т.к. он сгорел от пыли (не додумался я его разобрать чтоб почистить)

Сделать логи по правилам не могу, т.к. не знаю как отключить Avast, отключив всё в автозагрузке он остаётся, могу лиш приостановить его работу, единственное могу показать что определяет при проверке поиск перехватчиков:

[color=red]Функция NtClose (19) перехвачена (805B06F8->A96E5576), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtConnectPort (1F) перехвачена (8059841E->A98330D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtCreateFile (25) перехвачена (8056D136->A9835302), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtCreateKey (29) перехвачена (80618BDA->A96E5432), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtCreatePort (2E) перехвачена (80598F3A->A983302C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtCreateSection (32) перехвачена (8059F222->A9833AAE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtCreateThread (35) перехвачена (805C5AAE->A9832D12), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtDeleteFile (3E) перехвачена (8056AD16->A9834CB0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtDeleteKey (3F) перехвачена (8061906A->A9833EC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtDeleteValueKey (41) перехвачена (8061923A->A96E5910), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtDuplicateObject (44) перехвачена (805B21D4->A96E500A), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtOpenKey (77) перехвачена (80619F70->A96E550C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtOpenProcess (7A) перехвачена (805BFB56->A96E4F4A), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtOpenSection (7D) перехвачена (8059E258->A98339E0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtOpenThread (80) перехвачена (805BFDE2->A96E4FAE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtQueryValueKey (B1) перехвачена (80616C94->A96E562C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtRestoreKey (CC) перехвачена (80616FE2->A96E55EC), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtSetContextThread (D5) перехвачена (805C61D0->A9832BB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtSetInformationFile (E0) перехвачена (8056F104->A9834DE0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtSetValueKey (F7) перехвачена (8061729A->A96E576C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYSФункция NtShutdownSystem (F9) перехвачена (80607868->A9833FA0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtTerminateProcess (101) перехвачена (805C74A6->A9832F66), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtWriteFile (112) перехвачена (805710A0->A983514A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасныйФункция NtWriteFileGather (113) перехвачена (805716B0->A9834FB4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный[/color]перехвачено: 24, восстановлено: 0

aswSP.SYS это одна из служб аваста, думаю беспокоиться не о чем, остальное не знаю что, но драйвер опознан как безопасный

И с чем я не согласен:

эта настройки биос никак не должна на клавиатуру влиять

я ведь это не придумал, а убедился на практике.

И ещё:

если это для борьбы с вирусами, то и одного форматирования достаточно

Простого форматирования не достаточно, опишу случай, не надуманый а тоже из своей практики:

Был у меня случай, поймал сам не знаю что, т.к. антивирусы Kaspersky, Symantec, NOD32 и Avast его не определяли, фаервол иногда пресекал, а чаще просто писал о сканировании портов. Простое форматирование не помогало, ОС устанавливал разные, что исключает подцепить гадость с CD. Если я не ошибаюсь в формулировке- неизвесное приложение пыталось внедрить свои компоненты и просилось в интернет, просмотрев путь где оно находится увидил примерно следующее: C:\ocuments and Settings\dmin\ocal Settings\emp, название файла не помню но в нём было больше цифр чем букв. Так вот избавился я от этой заразы именно удалением данных, многократной перезаписью жёского диска а не простым форматированием.(35 конечно перебор, хватило бы и трёх, я так думаю)

Прошу не заострять внимание на решонной проблеме а помочь с нерешонной, буду очень благодарен за любые советы.

[Pili]

Логи выложите по правилам.

не знаю как отключить Avast, отключив всё в автозагрузке он остаётся, могу лиш приостановить его работу,

Приостановите на время создания логов, не забудьте провести полную проверку с помощью cureit в безопасном режиме.

Так вот избавился я от этой заразы именно удалением данных, многократной перезаписью жёского диска

Если бы выложили логи, можно было и без форматирования обойтись, даже если это файловый вирус.

[0ld]

на первом же пункте застрял, восстановление системы отключил без труда, а запpетить восстановление системных файлов не могу

кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Быстpодействие"

нет у меня закладки "Быстpодействие", в "Дополнительно" есть про быстродействие, но не про то

Погуглил "Запpетить Восстановление Системных файлов", везде как под капирку одинаково пишут, другого способа не нашёл. С другими пунктами думаю смогу разобраться, написано понятно, но стоит ли всё это делать, если по времени то мне быстрее сделать удаление данных за 1 проход (пол часа), установка ОС (пол часа), установка фаервола и антивируса (с обновлением час), конечно если Вы считаете что это не решит проблему, я выполню всё что вы порекомендовали, помогите Запpетить Восстановление Системных файлов другим способом, остальное я читал, вроде всё понятно. Признаться я расчитывал что Вы мне посоветуете как в железе неполадки найти

забыл спросить, как же всётаки Avast отключить?

[Pili]

нет у меня закладки "Быстpодействие"

Компьютер в домене? ОС какая?

если по времени то мне быстрее сделать удаление данных за 1 проход (пол часа), установка ОС (пол часа), установка фаервола и антивируса (с обновлением час), конечно если Вы считаете что это не решит проблему

Решит, особенно если проблема не в железе и если вы сразу после установки windows включите брандмауэр, отключите автозапуск со съемных носителей, установите антивирус, обновите базы, установите обновления windows и грамотно настроите безопасность (см. Сетевая безопасность и Полезная информация)

Признаться я расчитывал что Вы мне посоветуете как в железе неполадки найти

Это вам в раздел Hardware, заодно и Драйвера

забыл спросить, как же всётаки Avast отключить?

Прав. кн. мыши на значке в трее и выбрать "Stop On-Access Protection" (что-то типа остановить защиту, сорри за англ, никогда не ставил русские версии, а сейчас аваста под рукой нет)

Изменено 30 января, 2009 пользователем Pili

[0ld]

Pili, спасибо большое, Ваши советы мне помогли ещё раз убедиться что проблема не в вирусах

[456]

0ld:

Проверьте разъем и гнездо с блока питания на материнскую плату .

У меня подобное было . Система через неделю примерно слетала .

Все оказалось проще . Подгорел и пластик желтый , сыпаться начал .

Три вольта не приходило . Вернее 3,3 вольта . Там допустимое отклонение меньше 5 процентов . (Ребят , поправьте - точно допуск не помню ) .

Это питание ядра , видеокарты ...