Вирус?...чудесное применения флеш/usb

[gadbulance]

ко мне проникла эта флешка на новый год.

была применена на ноуте "мак" и ни коем образом себя не дискредитировала в тот момент(**.mp3).

далее, чуть позже она применялась к ноуту на "висте" что его собственно и ребутнуло. в последствии предустановленную "висту" снели, поставив "винХП". Далее по истечнию пару недель, поразмыслив пару минут о любопытстве, я применил это чудо и к себе.."винХП-SP3.

флешка оказалась не открываемой и не форматируемой, при этом не перестав проявлять к себе интереса.

а именно:

- стало пропадать инет VPN соединение, причем при явной видимости значка в трее и не возможности увидеть его состояние;

- при происходящем само соединение показано включенным, но на отключение окно просто закрывается;

- слетает explorer.exe с последующим его восстановлением;

- "ломается" (видимо) драйвер звука, становясь не активным(звук не обрабатывается в приложениях), что не мешает воспроизводиться системным звукам "винХП";

...вобщем происходит бог знает что. как то, год назад, мне приходилось удачно воспользоваться вашими советами. надеюсь на помощь и в этот раз. логи необходимые для анализаи описаные в http://www.softboard.ru/index.php?showtopic=51343 , прилагаю. единственное что хотелось бы отметить что на шаге №3 в пункте "Диагностика" в рекомендациях на http://www.softboard.ru/index.php?showtopic=51343 , мне собственно не удавалось провести "...* имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, ..." так как "винда" в "сейфмоде" просто выключалась по истечению некоторого времени???

так же интересно что это за процессы

__ c:\windows\system32\pnkbstra.exe и

__ spgh.sys ?

Заранее благодарен!

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[gadbulance]

Хочу подметить, что симптомы очень схожи с предыдущей темой http://www.softboard.ru/index.php?showtopic=56684 !

[Matias]

так же интересно что это за процессы

__ c:\windows\system32\pnkbstra.exe и

__ spgh.sys ?

1. Это процесс какой-то игры, предназначенный, кажется для отслеживания, читерства

2. Установлен ли на компьютере Акоголь? Похоже, это от него

[akoK]

Заплатки ставите?

Удалите Bonjour Service

Пофиксить в HijackThis следующие строчки

 O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

И лог RSIT повторите.

[gadbulance]

1. Это процесс какой-то игры, предназначенный, кажется для отслеживания, читерства

2. Установлен ли на компьютере Акоголь? Похоже, это от него

алкоголь не установлен, по логам должно быть видно.

[akoK]

Как раз я вижу остатки алкоголя или диамона (еще не определился).

[gadbulance]

Выполняю всё выше указанное, о результатах сообщу как можно скоро.

...диамон действительно стоит . вот это его следы- spgh.sys? вроде я подметил этот процесс пытается загрузится и в сейфмоде, отдельно с просьбой при делании остановить загрузку через ескейп

[Matias]

диамон действительно стоит . вот это его следы- spgh.sys? вроде я подметил этот процесс пытается загрузится и в сейфмоде, отдельно с просьбой при делании остановить загрузку через ескейп

Да, это его файл. Он загружается и в безопасном режиме, это нормально.

[gadbulance]

Вновь, Здравствуйте!

Мною были выполнены все предложенные инструкции, akoK_ом, в частности:

- Удален Bonjour Service;

- Пофиксены в HijackThis предложенные строчки (как мне показалось, из лога RSIT, часть из них осталась?)

- Malwarebytes' Anti-Malware -> лог;

- Очистил временные файлы;

- SDFix -> лог;

- ComboFix -> лог;

- И лог RSIT повторил...

Хотелось бы отметить, что соединение это время разрывать перестало уже на первых шагах.

?Скажите, что же это всётаки было, если не затруднит.

..и что можно ещё разглядеть в созданных вновь логах?

..И опять таки спасибо!, вновь побежден вашей четкой и своевременно полезной работай!

mbam_log_2009_01_24__02_46_37_.txt

Report.txt

ComboFix.txt

log.txt

mbam_log_2009_01_24__02_46_37_.txt

Report.txt

ComboFix.txt

log.txt

[akoK]

Какие сейчас проблемы наблюдаются?

Скажите, что же это всётаки было, если не затруднит.

Когда завершим, я карантин попрошу на анализ...там посмотрим.

[gadbulance]

Болезнь вернулась.

первым сигнализаровал VideoLan(IP-TV Player) перестал конектиться по :8001/* порту(если корректно так говорить).

отказ от фаервола NOD32? и вообще от его присутствия ни к чему не приводит.

позже слетел и инет, попытки востановить соединение ни к чему ни приводят. соединение-> два клика -> окно закрывается.

VideoLan(IP-TV Player) "приконектился" - нет звука. Винамп не отвечает... *.mp3 - Неверный драйвер "Директ_Саунд"... в результате будет ребут..

...ребутнулся, дописываю: -

всё работает в норме.

Предполагаю нужно искать следы...что говорят предыдущие, интересно.

[gadbulance]

повторятся всё в точности!

для имения локльной сети, приходиться опять срезать фаервол NOD;

позже слетает и само соединение, со звуком "к приложениям";

есть ли на самом деле соединение?....

[akoK]

хм.

Повторите лог ComboFix и RSIT.

скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

Изменено 26 января, 2009 пользователем akoK

[gadbulance]

Повторил логи ComboFix log_CF.txt, RSIT log.txt и скачал/запустил/сохранил Gmer Gmer.log.

все логи прикрепляю.

хотелось бы отметить, что всё каким то образом, при проявлениях траблов, отзывается на NOD-фаерволе, и он перестаёт пропускать любой трафик. приходится его отключать. иначе не пускает даже браузер. после применения первых Ваших инструкций (вчера), ситуация менялась и фаервол вел себя одекватно... но это продержалось до вечера.

...смущают(на вскидку) вот эти процессы -

-a------ c:\windows\system32\PnkBstrB.exe

-a------ c:\windows\system32\PnkBstrA.exe

-a------ c:\windows\system32\drivers\PnkBstrK.sys

от 2009-01-15 22:01

и Спасибо за внимание, которое Вы оказываете моим проблемам!..

log_CF.txt

log.txt

Gmer.log

[Pili]

gadbulance: Здравствуйте.

Отключите автозапуск со съемных носителей.

У вас по логам не сошлись системные файлы

------- Sigcheck -------

2008-06-21 07:49 579072 23b7d3f3f5ec8feea75ec381c71cbd5e c:\windows\system32\user32.dll

2009-01-24 03:04 579072 23b7d3f3f5ec8feea75ec381c71cbd5e c:\windows\system32\dllcache\user32.dll

2008-06-21 07:49 952320 61504a92b0fde8bf5ec7356ed104d78e c:\windows\system32\wininet.dll

2008-06-21 07:45 361344 030dc4d48cc2b894fee2f390d8e66ad5 c:\windows\system32\drivers\tcpip.sys

2008-06-21 07:47 1721344 dbe9bb4018832ed71bc288b2a38f225b c:\windows\explorer.exe

2008-06-21 07:47 30208 53db04aa692f9e906e46127ab7e83252 c:\windows\system32\ctfmon.exe

2008-06-21 07:49 80728 d1e6ff38ad08a56d55a422d3d08df22d c:\windows\system32\wuauclt.exe

Это или файловый вирус, или патчер или вы используете нелиц. версию windows (сборку). Проверьте эти файлы на virustotal.com и дополнительно файл

c:\windows\system32\pxafs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Bonjour Service"=2 (0x2)

Bonjour Service вы не удалили, а видимо просто отключили через msconfig

Попробуйте восстановить системные файлы помощью sfc /scannow, установите официальныйWindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com, в особенности обновление KB958644, включите встроенный брандмауэр windows, уберите в исключения общий доступ к файлам и принтерам, дополнительно воспользоваться утилитой wwdc, см. также здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Проверьте систему с помощью утилиты KidoKiller - KidoKiller.rar

В планировщике задач C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-861567501-1275210071-1801674531-500.job - нужен?

Изменено 26 января, 2009 пользователем Pili