система не грузилась, после восстановления...

[Cameroon]

на virusnet зайти не смог (зловреды об этом позаботились), пишу сюда:

- когда я пришел, компьютер не включася вообще (вылет в ребут после post'а).

- переписал mbr через консоль, там же запустил chkdsk /r.

- может ли вирус грохнуть загрузочный сектор так, что система не будет способна получить доступ (как букву видит, но дальше пустота) к системному диску?

- писал скрипт, удалил десятка 2 вирей, но еще куча всего осталась.

- WinPatrol постоянно регистрирует попытку изменения записей host. антивирусных сайтов в хосте более, чем полный.

- резидентный сканер Авиры не запускается.

- интернет через несколько минут отключается (хотя эта проблема грешила и раньше).

- при загрузке (на синем экране с приветствием) происходит звук ошибки, да и окно держится необычно долго.

- после него на раб столе появляется сообщение о том, что plaeoa.exe (из папки документов пользователя) не найден.

- misctools при удалении службы не находят:

O23 - Service: trseb (Aetrsx) - Unknown owner - C:\WINDOWS\Avx.exe (file missing)

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

O23 - Service: fv ew (vf) - Unknown owner - C:\WINDOWS\system32\WUB6M4C737\G001.exe (file missing)

- как это можно интерпретировать?

C:\WINDOWS\system32\svchost.exe:exe.exe

- мои скрипты не помогают, после перезагрузки опять вагон зловредов, что-то упускаю постоянно...

- главный вопрос: ОТКУДА они берутся???

HJT_Log.txtvirusinfo_syscheck.zipvirusinfo_syscure.zip

HJT_Log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Yezhishe]

Ну-у, откуда берутся - вопрос "чрезвычайно интересный"... Как правило - из временных папок. Или из собственных, созданных в процессе заражения и маскирующихся под системные. IMHO, надо загрузиться либо с drWeb LiveCD и просканиться, потом уж продолжив очистку в нормальном режиме, либо загрузившись с LiveCD, основанном на Win-платформе (с возможностью подключения к Нету) и сотворив online scan, либо с LiveCD на основе Linux и почистив руками подозрительные папки\файлы (типа упомянутого system32\WUB6M4C737\G001.exe и любых файлов с множественными расширениями типа svchost.exe:exe.exe).

P.S. Хотя лично мне представляется более простым - снести (при помощи того же LiveCD на Linux'е) на внешний накопитель всё, нуждающееся в сохранении и - переустановить ОС начисто. С форматированием всего HDD.

Что ж касаемо

может ли вирус грохнуть загрузочный сектор так, что система не будет способна получить доступ (как букву видит, но дальше пустота) к системному диску?

- так это вряд ли... Тем более, если была выполнена команда fixmbr. Правда, по-моему было бы не лишним ещё и fixboot команду выполнить...

[Cameroon]

дело в том, что это компьютер из офиса (обслуживающего персонала именно для компов там нет, поэтому менеджер (по совместительству мой крестный) просит меня в случае проблем пошаманить). последние полгода его ложат вирусы просто регулярно. я уже что только не делал...

- ставил разные антивирусы, последний раз Каспер даже долечился до такой степени, что система перестала грузиться (даже в безопасном режиме, и даже после chkdsk и прочих).

- браузер ставил им FireFox с полным набором всяких блокировщиков (AdBlock, NoScript и т.д.) как дефолтный.

- почтовый клиент менял (с Outlook Express) на Mozilla ThunderBird. но ThunderBird начал вызывать после нескольких успешных запусков ошибку svhost.exe и вешал систему намертво.

- автозапуски запрещал, браузеры удалял (чтобы сами по глупости вирей не собирали)...

в это раз им понадобилось всего 2 дня:

- в пятницу я его по полной программе укомплектовал:

-- поставил ОСь (ХР SP2 лицензия), все чистенько, все работает, вирей нет на 99,9%. пятницу и субботу он работал как часы, в понедельник в обед, с их слов, после проверки почты, выскочило окно черное (как я понял, консоль) и секретарь решила проверить систему на вирусы, запустила сканер Авиры, а дальше туман... он нашел 99 вирусов, потом начал удалять, но примерно на 10ом намертво завис, пол часа стоял в коме, после ребута - черный экран сразу после post'а.

- когда я приехал, первым делом загрузился с AlkidLiveCD, но проверить ничего не удалось, потому что диск С определялся разве что как буква, т.е. как логически диск он виден, но дальше ничего...

- после mbr и chkdsk /r данные начали читаться, но система при запуске улетала в ребут на той стадии, где полоска Windows бегает.

- после этого безопасный режим-таки запустился, но АВЗ в логах мало чего интересного указал, потому как ему нужна живая система. тем не менее всю гадость, что он обнаружил, я удалил. думал, что осталось только хвосты почистить...

- но стоило запустить в обычном режиме, я ошалел... логи в первом посте... хвосты... :doh:

дважды запускал скрипты, куда, по моему мнению, внес самых отчетливых зловредов (сначала осторожный, чтобы не удалить чего-нибудь нужно, потом грубый, в который внес вообще почти все, что казалось подозрительным), по после перезагрузки все возвращалось в исходное состояние... :)

вот отсюда стало совсем непонятно.

[edde]

Здравствуйте, выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\Installer\{736CE9DD-F589-485B-ACFF-78C235A57066}\NewShortcut4_3205A9784A7A403BA4B9D48E6BAFB73B.html','');QuarantineFile('C:\WINDOWS\system32\sngJIDddhHvvKLc.dll','');QuarantineFile('C:\RECYCLER\S-1-5-21-7481744846-3662576186-885883889-7210\wnzip32.exe','');QuarantineFile('C:\WINDOWS\system32\WUB6M4C737\G001.exe','');QuarantineFile('C:\WINDOWS\system32\WUB6M4C737\P001.exe','');QuarantineFile('C:\WINDOWS\system32\WUB6M4C737\H001.exe','');QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\aboms82k.SYS','');DeleteFile('C:\WINDOWS\System32\Drivers\aboms82k.SYS');DeleteFile('C:\WINDOWS\Avx.exe');DeleteFile('C:\WINDOWS\system32\regedit32.exe');DeleteFile('C:\WINDOWS\system32\WUB6M4C737\H001.exe');DeleteFile('C:\WINDOWS\system32\WUB6M4C737\P001.exe');DeleteFile('C:\WINDOWS\system32\WUB6M4C737\G001.exe');DeleteFile('C:\RECYCLER\S-1-5-21-7481744846-3662576186-885883889-7210\wnzip32.exe');DeleteFile('C:\WINDOWS\system32\sngJIDddhHvvKLc.dll');DeleteFile('C:\WINDOWS\Installer\{736CE9DD-F589-485B-ACFF-78C235A57066}\NewShortcut4_3205A9784A7A403BA4B9D48E6BAFB73B.html');DeleteFile('C:\RECYCLER\S-1-5-21-7481744846-3662576186-885883889-7210\wnzip32.exe');DeleteFile('C:\RECYCLER\S-1-5-21-8456599827-3994638716-248918550-1017\wmfcgr.exe');DeleteFile('C:\Documents and Settings\Comp1\plaeoa.exe');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('vf');BC_DeleteSvc('Aetrsx');BC_DeleteSvc('Description1.6');BC_DeleteSvc('BackGround Switch');BC_DeleteSvc('DescriptionHero');BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(13);RebootWindows(true);end.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

файлы карантина проверьте на virustotal.com

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[Old men]

Cameroon:

Как мне кажется, на компе руткит, но что мешает сделать проверку online несколькими антивирусами.

http://www.nikiza.ru/page.php?al=nanoscancom http://www.xakeram.net/kasperskycheck.php

В остальном, не буду лезть в ту область, где есть люди опытнее меня

Edited December 14, 2009 by Old men

[Cameroon]

edde: в моем скрипте не было этих двух файлов:

C:\WINDOWS\system32\sngJIDddhHvvKLc.dll

C:\WINDOWS\System32\Drivers\aboms82k.SYS

этих двух на диске не было физически (но не исключено, что они прятались):

C:\Documents and Settings\Comp1\plaeoa.exe

C:\WINDOWS\Avx.exe

в связи с этим вопрос:

- могут ли зловредные процессы попасть в память из sys и dll файлов?

на завтра утром этот скрипт обязательно запущу! спасибо.

[Aleksa106]

- как это можно интерпретировать?

C:\WINDOWS\system32\svchost.exe:exe.exe

Файл svchost.exe с NTFS потоками...вчера только в справке читал.

[antonnr]

Решил свои наблюдения выложить, авось поможет кому.

(о себе. хожу системы людям устанавливаю, вирусы лечу если время позволяет, лечу громко сказано)

Итак

недели три уже сталкиваюсь с таким вирусняком, его проявления - он блокирует системный реестр и администратор задач, при попытке вызвать тремя клавишами админ задач выскакивает окно "администратор задач заблокирован администратором", то есть вирусняк перехватывает функции админа и блокирует реестр. Прочие проявления - подгружает систему непонятными задачами, ну и частенько выскакивает окно " Интернет заблокирован отошлите СМС и бла бла бла".

Уже с десяток таких случаев, причем народ хватал в двух случаях эту гадость на однокласниках.

Да вот еще что, в трех случаях эту гадость впускал Avast home edition.

Как я с этим борюсь. Да никак. Времени то сидя у клиента больше 2-3 часов нет, поэтому практикую снос операционки с копированием минимально необходимой инфы на сменные носители, форматирую весь диск ну и ставлю по новой, после установки операционки сразу ставлю с диска Avira antivir personal (обновляется поскольку автоматом да и поменьше впускает чем другие) и сразу после этого ставлю Patch на систему.

Да вот еще что, в двух случаях снести инфрмацию с компа не было возможности, ну очень много ее было, и на свой страх и риск я ее оставил на диске D, и тьфу тьфу прошло успешно.

[шпилька]

antonnr, а Вы не подскажите как называется вирус, с которым Вы боролись? Известно, что каждый вирус имеет свое определенное название.

Просто, на курсах нас учили немного по другому бороться с вирусами.

Все проблемы, которые Вы перечислили, может устранять программа под названием AVZ. :bye1:

А так же, программа позволяет вылечить компьютер. :) При умелом подходе.

[edde]

шпилька,antonnr

На название раздела забыли взглянуть.

antonnr

Ваше последнее сообщение скрыл. Следует подумать прежде чем выкладывать архив с вирусом в антивирусном разделе

Вирус кстати Win32/Sality.NAU, если это вам было интересно.

Edited December 15, 2009 by edde

[Cameroon]

edde: скрипт, как я и ожидал, не сработал.

повторные логи.

GMER.loghijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

GMER.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Cameroon

Давай-ка cf прогоним.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[Matias]

Давай-ка cf прогоним.

ComboFix временно недоступен из-за серьезного сбоя, найденного в программе.

ComboFix is not available for download until an issue with the program has been resolved. Please be patient while the developer fixes the program and makes it available once again. As more information becomes available, we will update this page.

DO NOT attempt to download ComboFix from sites other than BleepingComputer.com and Forospyware.com!

Other sites hosting ComboFix are not authorized mirrors and are hosting outdated copies of ComboFix that contain a bug that may render some machines unbootable. Using unauthorized mirrors of ComboFix puts your computer at risk of not booting again. Please wait for the official version to be fixed and released again.

Edited December 15, 2009 by Matias

[Cameroon]

- Combofix у меня, конечно же, есть... однажды испробованный (сквозь страх) на одной из машин, которая к счастью "забутилась".

- дикой мощи, к слову, программуля.

- сейчас я дома. больной комп, возможно, привезут вечером. я конечно же "покомбофиксю" его, но, учитывая то, что мои (с edde) шестичасовые старания ни к чему серьезному не привели, полон решимости произвести полный формат с проверкой диска (тем более там точно есть бэды).

- систему заново накатать и настроить займет втрое меньше времени, чем я уже потратил.

[Loader]

!

Предупреждение: antonnr: надеюсь вы поняли edde Пока ограничусь устным предупреждением, в случае повторения подобных действий придется принимать меры

[Cameroon]

- имеющаяся у меня копия combofix'а при запуске предупредила, что она ничего общего не имеет с сайтами combofixdownload и какого-то там еще, захотела обновиться, и при обновление сказала, что период использования исчерпан, после чего позорно ретировалась с поля брани и сама себя удалила.

- иж, какая чистоплотная! :blush2:

- опухоль, как я понимаю, неоперабельная, поэтому будем усыплять псину.

- завтра займусь "любимым" занятием...

[Matias]

- имеющаяся у меня копия combofix'а при запуске пре захотела обновиться, и при обновление сказала, что период использования исчерпан

Все правильно, копии ComboFix имеет ограниченный срок действия. Это специальная мера предосторожности, чтобы предотвратить использование устаревших версий. Вот цитата с Myantispyware.

I ran combofix and got error message saying “This copy of combofix has expired”.

Download an updated copy from here or change your PC system time to some days ago (7days for example). Warning, only if first option don`t work.

Edited December 16, 2009 by Matias

[Cameroon]

дату на 2 месяца назад откатил, шнурок интернета выдернул, combofix запустился и отработал проверку.

log.txt

а заразе хоть бы что! как будто ее и не трогали...

log.txt

[Matias]

заразе хоть бы что! как будто ее и не трогали...

ComboFix - не волшебная палочка. Автоматически он может удалить только те объекты, которые есть в его базе. Чтобы CF удалил неизвестную ему инфекцию, надо писать специальные скрипты. Если вы проходили обучение на VN, то должны владеть методикой их написания.

[edde]

Cameroon

Ты бы winpatrol отключил бы

Скрипт на двойку, но должен сработать :) (болею)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: File::c:\documents and settings\Comp1\CsimPlayer.exec:\windows\system32\ptslogsrv.dllc:\windows\system32\NPgsGdyWFZDenm.exec:\windows\system32\google_guid.datc:\windows\system32\RdfVJgrjmfM.exec:\windows\system32\fgUirExVDItY.dllc:\windows\system32\rsBSDZYTBjBIPBI.dllc:\windows\system32\MHIdHLiMNdVe.exec:\windows\system32\xESBOnvCzPWtr.exec:\windows\system32\MMcuCrBUEy.dllc:\windows\system32\kovdycoIcfhPZ.exec:\windows\system32\vYyxPkrNylT.dllc:\windows\system32\RtmqtjC.dllc:\windows\system32\RlmwttC.dllFolder::c:\windows\system32\LVU39GTZCWc:\windows\system32\G9TK3JWK6Yc:\windows\system32\FX81ASUJFLc:\windows\system32\EX78S4WF72c:\windows\system32\EMMPZDUEGPc:\windows\system32\DMLXHPW976c:\windows\system32\CA0EOYU9HTc:\windows\system32\B3ZG9NT35Ec:\windows\system32\B3XNR0VZXVc:\windows\system32\A3WVADWVOCc:\windows\system32\9RBCHLVUYZc:\windows\system32\9SAJZYWQPGc:\windows\system32\8S8QHAYLHWc:\windows\system32\7GN8OJWKQKc:\windows\system32\7GMF6VYGH0c:\windows\system32\6HLMP80C9Hc:\windows\system32\zc:\windows\system32\XBJNZAKWP6c:\windows\system32\QIGWJKG5QVc:\windows\system32\Q9Q5INYLOVc:\windows\system32\PZET8RX7ERc:\windows\system32\XJSM38FHJMc:\windows\system32\Y16WTDI155c:\windows\system32\YFOFRO142BReboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

_________________

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img]

_________________

Логи авз повтори

[Cameroon]

edde: толку ноль! что от скриптов, что от OTCleanIt, что от OTMoveIt... :)

да и черт с ним! под снос!

вопрос возник такой:

- раз уж мне говорят, что флешек в комп не суют и интернетом не пользуются (кроме outlook express), то можно ли долбить определенный комп вирями дистанционно (через порт, напрмер), несмотря на то, что я переустанавливал систему, а "эпидемия" начиналась вновь и вновь? (помощник выключен, брэндмауер Windows включен)

- восстановление системы отключено. теоретически там все равно может поджидать своего шанса вирус прячась. нужен ли ему толчок (и какой?), чтобы попасть в память, если он сидит в папке SysVolInf на диске D?

- каждый раз вирусы разные (хотя попадались и одинаковые) и всегда пачками. значит это что-то KIDO-подобное. такие вирусы могут быть файловыми (заражать легальные exe-шники и т.д. которые остаются нетронутыми при переустановке системы на диске D)?

- на почту приходят письма все с вложениями. обычно там .xls документы. excel поддерживает много макросов, что потенциально опасно. однако, с другой стороны, если они приходят зараженными, то и машины, с которых их отправляют тоже должны быть заражены. значит этот вариант отпадает?

- жалуются на то, что регулярно на почту приходит спам-письмо от адреса, точно такого же как и у них.

-- т.е. у организации 2 ящика на мейле: xxx.bk.ru и xxx.mail.ru. и спам приходит от xxx.bk.ru.

-- вопрос дальше: если пользуются outlook express'ом, то он собирает с сервера всю почту и доставляет ее в локальную папку на компе, и уже оттуда показывает список? значит, если вирус где-то и был в письмах, то он попадает в компьютер так и так? спам-письма они удаляют сразу, не просматривая (со слов секретаря).

[edde]

Это смотря что ты и как делаешь, гы я за этот скрипт от акока втык наверное получу. Если взялся заразу выводить так не грозись перестановкой системы. :) вирю (любому) толчок нужен лишь в одном виде, либо клик мышкой пользователя, либо автозапуск. то есть либо ты сам запускаешь механизм заражения, либо ковыряй реестр в безопасном режиме. ERD Commander тебе в руки в купе с dr web livecd.

Edited December 16, 2009 by edde

[шпилька]

Я так думаю, что бесполезно лечить одну машину. Эпидемия так не закончится. Все равно будет почта приходить и заражение вновь гарантировано. :)

[Cameroon]

edde: мне поручение дали все снести (хозяевам компа самим уже эти регулярные пляски надоели), хотя я до последнего пытаюсь, но (как видно) результату ноль.

шпилька: на счет почты я не уверен, это лишь догадка, потому как почти все остальные возможные (на мой взгляд) способы проникновения отсеиваются.

[шпилька]

все остальные возможные способы проникновения отсеиваются.

Я это к тому, что письма с вложениями все равно придется открывать для прочтения. :)