Кто знает вирусы, которые прячутся в avi ?

[699622]

В общем, так.

Система на ХР SP3, защищает KIS2011, "все пучком", где-то полгода вообще не лез туда - все работало.

Позавчера скачал какую-то порнуху по локалке, а она плохо идти стала (изображение дергается). Ну значицца решил я обновить видеокодеки, попробовать разные там проигрыватели и тп. Начал с установки k-lite codec 7.2, потом товарищ мне еще накидал пачку проигрывателей и понеслось...

Симптомы: некоторые видеофайлы не отрываются (с одинаковым неуспехом пробовал из нескольких разных плейеров). При этом после попытки открытия видеофайла комп начинает отчаянно тормозить. Пытаюсь зайти из проводника, клацаю правой кнопкой на файле (ну чтобы посмотреть, что там такое за файл, кроме того, что он ави) - все подвисает. Дальше работать невозможно - жму ctrl-alt-del, вылетает обычное меню (ну там "перегрузить", "диспетчер задач" и прочая хрень). При попытке запустить диспетчер задач система виснет наглухо (только резет).

Проверено раз десять (все никак не мог поверить).

При этом, пока данные avi-файлы не трогаю, все работает, как часы (в т.ч. и диспетчер задач - отключает любой процесс).

Вначале думал на новые проигрыватели - деинсталировал все нафиг. Не помогло. Потом снес k-lite codek со всем пакетом - не помогло.

Да, еще раньше пытался и откат системы сделать - все прошло нормально, но не помогло.

Сейчас остался уже только Windows media, но его сносить бессмысленно - винда восстановит предыдущий windows media... Также по этой причине не получается снести пакет кодеков windows media format 11 runtime.

В шоке я не потому, что не отрываются некоторые видеофайлы (кстати, раньше открывались без проблем, хоть и кодеки староватые были). Потрясает то, что я не могу запустить диспетчер задач и просто-напросто закрыть приложение или процесс после обращения к avi-файлам! Причем не ко всем, а только к некоторым.

Реально не понимаю, как наличие/отсутствие какого-то там кодека или плеера может приводить к блокированию диспетчера задач в ХР! Собственно, поэтому и пишу сюда, в "безопасность".

ЗЫ: разумеется, полную проверку каспером делал - все пучком. Конечно, надо сделать, как в правилах - логи АВЗ и прочая, но тут что-то не так!

Если дрянь завелась - то ей пофиг, что я открываю. Не может дрянь привязываться в своих действиях к запуску/открытию/просто_клацу_правой кнопкой на себе какого-то avi файла!!!

Изменено 3 июля, 2011 пользователем 699622

[699622]

На всякий случай запустил скрипты AVZ.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[699622]

Походу, народ после выходных еще не проснулся (

[Tiare]

Здравствуйте, сделайте вот такие логи:

Нужен лог RSIT. Как подготовить логи RSIT

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Подробнее тут

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

!!! Перед выполнением сканирования ( это касается всех утилит) отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall, выгрузите драйвера виртуальных приводов.

Изменено 4 июля, 2011 пользователем Tiare

[699622]

Да, вот еще что важно! Сразу после загрузки вылазит табличка, что типа "microsoft kill utility запустить не удалось". Но при этом все нормально работает, в т.ч. - диспетчер задач (и в нем - обзор идущих процессов и тп). Любые процессы без проблем выключаются и комп нормально работает дальше. НИКАКИХ симптомов заражения не чувствую.

НО! Как только пытаюсь запустить один единственный видеофайл (.avi), система подвисает и подтормаживает. Дальшейшие действия - вызов диспетчера задач или любые другие - ведут к полному зависанию системы, диспетчер задач не действует. Точно также попытка при нормально работающем компе клацнуть правой кнопкой на этом загадочном видеофайле (чтобы посмотреть кодек и тп) приводят к полному зависанию системы (состояние, аналогичное описанному выше).

РСИТ, ЖМЕР и Мальве запускать по каждому поводу - это надо сколько ж лишнего времени иметь! Это занятие на день!

Может это и не зловред вовсе. Обращаюсь к опытным людям, чтобы поделились знаниями - сталкивались ли с таким? что это может быть?

Написал в этой теме, т.к. подвисание компа без возможности запуска диспетчера задач похоже на действия вируса, запуск любого видеофайла (даже без соответствующих кодеков и тп) не должен приводить к таким последствиям!

Знает кто-нибудь чего-нибудь по моей ситуации? Есть предположения, мысли?

[Sanada]

699622, все, что Вы описываете типично для зараженной системы. Однако, все описания и рассуждения беспредметны до тех пор, пока Вы не сделаете логи и не предоставите их хелперу иначе он просто не сможет Вам помочь.

РСИТ, ЖМЕР и Мальве запускать по каждому поводу - это надо сколько ж лишнего времени иметь! Это занятие на день!

- больше времени потеряли на объяснения и ожидание. Сделайте все, что предписывает Tiare и по результатам логов получите квалифицированную помощь

[edde]

i

Уведомление: Ввиду подозрения на заражение переношу в раздел лечения.

Логи RSIT и MBAM всё еще ждем от вас .

Не будет логов закрою тему.

[699622]

Ок, на выходных сделаю логи.

[699622]

По полной программе...

1. DrWeb (всю ночь проверял в "безопасном режиме", ничего не нашел, зато исправил hosts так, что опять стала вылезать противная табличка от микрософтов про лицензионность... еще полчаса возни, и табличка пропала).

2. RSIT

продолжение следует...

CureIt.rar

info.rar

log.rar

CureIt.rar

info.rar

log.rar

[699622]

выполнены скрипты AVZ (№3 и №2)

Сразу вопрос: стоит ли выполнить скрипт "Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей"? Дома к инету подключен через роутер, причем есть еще ноут домашний, который как бы тоже в сети, а также с работы приносит жена иногда свой рабочий ноут. Не помешает ли мне такая "оптимизация" в организации локальной домашней сети?

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 16 июля, 2011 пользователем 699622

[699622]

Да, вот табличка про ошибку, которая выскакивает при загрузке винды (не все время, а через раз где-то):

[Sfera]

привет

лог Гмер подготавливать не нужно, авз ругается на драйвер от виртуалки

1.Отключите:

Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

beginExecuteRepair(1);ExecuteRepair(6);RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);ExecuteRepair(11);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

2.Подготовьте такой лог

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[699622]

Мальва:

пишет, что якобы 7 вредоносных программ. Но удалять я ничего не стал, т.к. по-моему это никакие не вредоносные проги...

mbam-log-2011-07-16 (09-38-42).rar

mbam-log-2011-07-16 (09-38-42).rar

[699622]

Прикладываю скан того, что Мальме предлагает удалить. По-моему - бред.

И в правом нижнем углу уже выскочило сообщение от Мальме, что он, дескать, предотвратил соединение с "плохим" сервером, ну и адрес цифровой был указан. Переписать не успел, к сожалению. Посмотреть логи не могу, т.к. не закрываю результаты проверки - может таки надо будет удалить то, что Мальме предлагает?

[Sfera]

кряки удалять/не удалять решайте сами, могут содержать вредоносный код

удалите

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo)c:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

не вижу запрашиваемого лога uvs

[long.]

Прикладываю скан того, что Мальме предлагает удалить. По-моему - бред.

Прикладываю статью (так, для общего развития) http://www.softboard.ru/topic/51971-типовые-зловреды-и-их-лечение/page__view__findpost__p__290065

И это... просьба небольшая, скриншоты обрезайте пожалуйста, если не затруднит, конечно, а то прокручивать слишком долго приходится.

[699622]

кряки удалять/не удалять решайте сами, могут содержать вредоносный код

Кряки - ладно, а что за

PUM.Hijask.StartMenu ?

Очевидно, что-то от Хайджека?

удалите

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo)c:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

Сделано.

[699622]

Отключите:

Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

beginExecuteRepair(1);ExecuteRepair(6);RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);ExecuteRepair(11);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

Сделано.

[699622]

не вижу запрашиваемого лога uvs

А это что? Не врубился :blink:

Вот еще лог по поводу блокирования сайта 95.169.190.67

Прикладываю статью (так, для общего развития) http://www.softboard.ru/topic/51971-типовые-зловреды-и-их-лечение/page__view__findpost__p__290065

И это... просьба небольшая, скриншоты обрезайте пожалуйста, если не затруднит, конечно, а то прокручивать слишком долго приходится.

Ок, спасибо. Почитаю.

Скриншоты буду обрезать.

protection-log-2011-07-16.txt

protection-log-2011-07-16.txt

[699622]

Врубился. Наверное, имелся в виду uVS. Скачал версию 3.64, запустил (из-под Касперского - "разрешить исполнение программы, заблокировав опасные операции"), лог прикладываю.

Только там разные логи - я сделал "Файл" => "Сохранить полный образ автозапуска".

STAS-PC_2011-07-16_12-03-35.7z

STAS-PC_2011-07-16_12-03-35.7z

[699622]

Да, может подскажите заодно - что можно в корневых каталогах поудалять? А то стремно как-то, но явно кое-что лишнее...

Да, сам лог из uVS (просто список)

проверка uVS.txt

проверка uVS.txt

[Sfera]

для меня ничего интересного

Загрузите утилиту TDSSKiller и запустите её. Дождитесь результатов сканирования. Лог прикрепите

проверьте самочувствие пк и отпишитесь о проблеме

tdsskiller.zip

tdsskiller.zip

Изменено 17 июля, 2011 пользователем Sfera

[699622]

для меня ничего интересного

Загрузите утилиту TDSSKiller и запустите её. Дождитесь результатов сканирования. Лог прикрепите

проверьте самочувствие пк и отпишитесь о проблеме

Пишет, что все ОК.

Интересно таки, почему табличка выскакивает (выше скриншот выкладывал)?

И еще вопросик: Мальме вместе с КИС2011 можно использовать? Сейчас стоят вместе, Мальме периодически блокирует какие-то сайты, Каспер на нее не ругается... Может так и оставить?

TDSSKiller.2.5.11.0_18.07.2011_00.15.14_log.rar

TDSSKiller.2.5.11.0_18.07.2011_00.15.14_log.rar

[Sfera]

оставьте..пускай работают в паре

C:\WINDOWS\system32\DRIVERS\vdrv1000.sys на вирустотал проверьте

[699622]

оставьте..пускай работают в паре

ок

C:\WINDOWS\system32\DRIVERS\vdrv1000.sys на вирустотал проверьте

Сдалано:

File name:

vdrv1000.sys

Submission date:

2011-07-19 12:39:29 (UTC)

Current status:

finished

Result:

0/ 42 (0.0%)

И все-так, почему табличка про ошибку выскакивает при загрузке !?!