Помогите УБИТЬ заразу!

Где то подхватил что-то вроде вируса
 
1 2 3 4 5 6 7 8 9
+
-
edit
 

Alek

опытный
Andrey_Kr> Я так понимаю есть возможность запускать программы, меня интересует смогут ли стартовать HiJack и Gmer:

Нет блокировщик полностью все блокирует. Он загружается даже в защищенном режиме и не дает выполнять никакие действия.

Andrey_Kr> http://www2.gmer.net/gmer.zip
Andrey_Kr> http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe

А что это такое?
 3.5.73.5.7
+
-
edit
 

Andrey_Kr

втянувшийся

Alek> А что это такое?
Программы для анализа системы

Повторное заражение случайно не с флэшки происходит? Еще, как вариант, в корне диска D находится autorun.inf который запускает вирус. При восстановлении системы насколько я понял изменяется только диск C
 3.63.6
+
+1
-
edit
 

Accept

втянувшийся

у меня ни разу ни на одной машине эту тему антивирусы не излечили. только вручную..

1.загрузитесь в сэйфмоде с поддержкой командной строки
есть шанс, что в нем эта прога не заблокирует комп.
потом зайдите в профиль под которым это окно появляется и удалите все времнные файлы. по умолчанию они находятся в
"C:\Documents and Settings\имя пользователя\Local Settings\Temp\" и tmp
проверьте "C:\Documents and Settings\имя пользователя\Главное меню\Программы\Автозагрузка\" там не должно быть ничего личного
2. проверьте папку windows и windows\system32 на предмет файлов, которые появились позднее даты появления вируса. стирайте их. или если жалко, переместите в какуюнить папку.
3. проверте в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit должен быть userinit.exe,
4. проверте ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
в них находятся ссылки на программы, которые запускаются автоматически. стирайте оттуда все, в чем не уверены.
5. затем попробуйте загрузиться в обычном режиме. если окно пропадет, выполните п.4 еще раз.
запустите пуск/программы/стандартные/служебные/сведения о системе. в ней: программная среда/автоматически загружаемые программы. там можно посмотреть откуда они запускаются.. и удаляйте все подозрительные файлы из этого списка..
 

xo

аксакал

Accept> у меня ни разу ни на одной машине эту тему антивирусы не излечили. только вручную..

CureIt с полтора месяца назад без проблем убил и стёр одну из ранних версий информера.

Accept> 1.загрузитесь в сэйфмоде с поддержкой командной строки
Accept> есть шанс, что в нем эта прога не заблокирует комп.

Нынешние варианты наглухо блокируют запуск всех консолей,панелей и т.д. к сожалению :(
 

HolyBoy

аксакал

xo> Нынешние варианты наглухо блокируют запуск всех консолей,панелей и т.д. к сожалению :(

Поэтому только с внешнего диска грузиться.

Вопрос: эти трояны только от админа устанавливаются? По идее, от пользователя если установятся, то не должны мешать работе админского аккаунта. А значит, под ним можно загрузиться и почистить. Ну и не стоит работать под администратором. Что-то мне подсказывает, что Алек именно это и делает. :)
 

xo

аксакал

HolyBoy> Вопрос: эти трояны только от админа устанавливаются? По идее, от пользователя если установятся, то не должны мешать работе админского аккаунта. А значит, под ним можно загрузиться и почистить. Ну и не стоит работать под администратором. Что-то мне подсказывает, что Алек именно это и делает. :)

Я тоже под админом, бо задрачивают бесконечные "запуски от имени адм" и т.д.
Думаю, что в этом случае и под админом троян тоже вылезет.Если уж инфицировал систему, то во все учетки. ИМХо. Проверять пока не тянет :)
 

Alek

опытный
Джентльмены! Спасибо за Ваши советы и ссылки на хорошее ПО. Благодаря Вам и удаче я полностью разобрался в этом деле. Я 100% вычислил откуда подхватил заразу. Выяснил какие возникаю признаки заражения еще до его проявления. Выяснил где прячутся вредоносные файлы. Выяснил как восстановить контроль над системой.

Более того! Я как Луи Постер сегодня только и делаю что специально заражаю себя и лечу. Захожу на сайт-инфектор заражаюсь и мониторю в реальном времени что происходит. Изучил не только описанный в первом посте вирус но и еще один аналогичный но отличный. Я почти уже эксперт! ;) :eek: Я даже записал ролик с экрана как происходит заражение.

Сейчас я подготовлю два поста по двум эти вирусам и чуть позже выложу здесь со скриншотами и видео.

Да, сразу говорю источником заразы оказался сайт mobiledevice.ru на который я заходил почти ежедневно читать компьютерные новости. Точнее похоже не сам сайт а подгружаемая на него реклама.
 3.5.73.5.7
+
+4
-
edit
 

Alek

опытный
Вирус номер один. Тот что описан в первом посте.

1. Как происходит заражение?

При заходе на сайт, после полной загрузки страницы (в левом нижнем углу броузера в уведомлениях появляется "Готово") проходит несколько секунд и мы видим там надпись "передачча данны с" и что-то сново начинает подгружаться. Передача идет с адреса какоето_произвольное_имя.inplay.tubemogul.com В этот момент в системном трее на несколько секунд появляется иконка явы и все! Вуаляя компьютер заразился. Сразу же можно об этом узнать нажав Alt+Cntr+Del Вместо диспетчера задач выскочит сообщение что он отключен администратором. При перезагрузке компьютер будет заблокирован.

2. Какие файлы и записи в реестре появляются от деятелности вируса?

Основной файл вируса C:\windows\system32\user32.exe
Этот файл прописывается вирусом в автозагрузку в секцию winlogan вместо эксплорера
Кроме того в корень каждого диска кроме С: вирус пишет скрытые файлы md.exe и autorun.inf
Внимание! Возможно есть и другие файлы этого вируса которые я не смог найти.

3. Как восстановить контроль над системой?

Загрузиться с CD с ERDCommander'ом и удалить вредносные файлы и запись в реестре.
Прикреплённые файлы:
Vir03.jpg (скачать) [77,05 кбайт, 88 загрузок] [attach=179985]
 
 
 3.5.73.5.7
+
+3
-
edit
 

Alek

опытный
Второй вирус. Подхваченый там же в результате изучения первого.

1. Похож на первый. Способ заражения такой же. Но после перезагрузки блокирующее экран поле красного цвета и вверху три порнокартинки. Текст гласит что это баннер который установлен на месяц чтобы разблокировать досрочно - пошлите СМС и т.д.

2. Файлы вируса.

Обнаружил два файла относящиеся кэтому вирусу. Возможно их больше! Файл в корне "програм файл" под именем plugin.exe прикидывается макромедиа флешплеером. И файл в папке темп который имеет разное имя но вида EB75.TMP, FE43.TMP и т.п. Вычислить его можно по дате.

3. Удалить как и впервом случае эти файлы ERD Commanderom и можно получить доступ к системе

4. Каким то образом вирус повреждает или блокирует ветку реестра куда прописывается и получить к ней доступ невозможно! Оснастка ERD Commander просто выгружается при попытке доступа.
 3.5.73.5.7
+
-
edit
 

damnedkluev

новичок
Alek> 2. Файлы вируса.
Alek> Обнаружил два файла относящиеся кэтому вирусу. Возможно их больше! Файл в корне "програм файл" под именем plugin.exe прикидывается макромедиа флешплеером. И файл в папке темп который имеет разное имя но вида EB75.TMP, FE43.TMP и т.п. Вычислить его можно по дате.

Папку TEMP вообще желательно очищать чаще. И системную и пользовательскую.

Искать и проверять файлы в %Windir%/system32 и %Windir%/system32/drivers с именами, похожими на случайные/пародиями на имена системных файлов или просто скрытые. Еще обычно они без подписи. простейший способ проверки - cmd + attrib + dir.

Alek> 4. Каким то образом вирус повреждает или блокирует ветку реестра куда прописывается и получить к ней доступ невозможно! Оснастка ERD Commander просто выгружается при попытке доступа.

Скорее всего меняет права. Надо стать владельцем ветки реестра и всех потомков и разрешить доступ на запись (обычно - всем).



...

Кроме того часто создаются службы со случайным именем и осмысленным (стыренным) описанием. И их тоже просто так не отключить, так как нет прав на их ветки в реестре. Тоже надо сначала ставить права, а потом их отключать в управлении компьютером (ИМХО лучше не удалять, т.к. если гадость запутистся как-то еще, она будет проверять наличие, а не активность)
 3.5.73.5.7
Это сообщение редактировалось 30.01.2010 в 01:24
+
-
edit
 

Alexandrc

аксакал

Alek> Да, сразу говорю источником заразы оказался сайт mobiledevice.ru на который я заходил почти ежедневно читать компьютерные новости. Точнее похоже не сам сайт а подгружаемая на него реклама.

Лучше читать VirusInfo - Главная ;)
Говоришь мазила у тебя... поставь AdBlock Plus и настрой, чтобы рекламу резал нафиг.
Но вы там держитесь!  3.63.6
RU Cormorant #30.01.2010 22:00
+
-
edit
 

Cormorant

опытный
★☆
Расскажу о своей проблеме :)
Ноут MSI. Vista SP1 родная лицензионная. Уже где-то с месяц при загрузке системы одним из первых выходит вот такое сообщение:

драйвера не запускаются. Служба восстановления сама отключилась (первым делом как это словил полез восстанавливаться на более раннее состояние - хрен, служба не работает:

в диспетчере не могу посмотреть что запущено от всех пользователей. При запуске управления компьютером выдается такое:

При попытках подключения к сетям система вылетала в "синий экран".

Параллельно, в другом разделе (на D) стоит Win7. Из под нее последовательно запускал аваст, нод32, кур-ит. Пару-тройку червяков отловил, но это не исправило положения.

Скорее всего куплю другой винт, солью на него все доки со старого и запущу восстановление из скрытого ноутбучного раздела. Но может есть более простые способы решения проблемы?
Cormorant, qui alte volat late - volat praeteritum  
UA Andrey_Kr #30.01.2010 22:22  @Alexandrc#30.01.2010 13:20
+
-
edit
 

Andrey_Kr

втянувшийся

Alexandrc> Лучше читать VirusInfo - Главная ;)
Alexandrc> Говоришь мазила у тебя... поставь AdBlock Plus и настрой, чтобы рекламу резал нафиг.
Лучше NoScript, а еще лучше и то и другое :)
 3.5.73.5.7
UA Andrey_Kr #30.01.2010 22:26  @Cormorant#30.01.2010 22:00
+
-
edit
 

Andrey_Kr

втянувшийся

Cormorant> Расскажу о своей проблеме :)
Скачайте http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe запустите и нажмите кнопку "Do a system scan and save a logfile". Полученный лог прикрепите сюда.
Запускаются ли regedit и gpedit.msc через "Пуск"->"Выполнить" ?
 3.5.73.5.7
UA Andrey_Kr #30.01.2010 23:03
+
-
edit
 

Andrey_Kr

втянувшийся

Кстати, для начала лучше воспользоваться утилитой от Dr Web ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe
Утилита была создана для восстановления настроек системы после действия трояна plastix . Очень полезная штука даже в случаях заражения другими вирусами, но лог HijackThis все-равно хотелось бы увидеть
 3.5.73.5.7
RU Cormorant #30.01.2010 23:08  @Andrey_Kr#30.01.2010 22:26
+
-
edit
 

Cormorant

опытный
★☆
Andrey_Kr> Скачайте http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe запустите и нажмите кнопку "Do a system scan and save a logfile". Полученный лог прикрепите сюда.

два варианта: из безопасного режима и нормальный

Andrey_Kr> Запускаются ли regedit и gpedit.msc через "Пуск"->"Выполнить" ?

нет, пишет; не могу найти файл c:\windows\regedit.exe (а он есть)
Прикреплённые файлы:
hijackthis_normal.log (скачать) [5,7 кбайт, 126 загрузок] [attach=180141]
 
hijackthis_safe_mode.log (скачать) [5,86 кбайт, 56 загрузок] [attach=180142]
 
 
Cormorant, qui alte volat late - volat praeteritum  
RU Cormorant #30.01.2010 23:27  @Andrey_Kr#30.01.2010 23:03
+
-
edit
 

Cormorant

опытный
★☆
Andrey_Kr> Кстати, для начала лучше воспользоваться утилитой от Dr Web ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe
Andrey_Kr> Утилита была создана для восстановления настроек системы после действия трояна plastix .

скачал и запустил в безопасном режиме от записи администратора. перезагрузился. изменений нет :(
Cormorant, qui alte volat late - volat praeteritum  
RU damnedkluev #30.01.2010 23:48
+
-
edit
 

damnedkluev

новичок
А права на файлы (тот же regedit.exe) я бы проверил.

Можно попробовать вручную скачать и поставить SP2.
 3.63.6
UA Andrey_Kr #30.01.2010 23:57  @Cormorant#30.01.2010 23:08
+
-
edit
 

Andrey_Kr

втянувшийся

Cormorant> два варианта: из безопасного режима и нормальный
Из этого списка все знакомо ?:
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
 

Отметьте эти строки и нажмите fixed :
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
 

Перезагрузите компьютер и повторите сканирование еще раз в нормальном режиме
Если исчезнет строка O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing, сеть должна появиться, с остальным сейчас подумаю
 3.5.73.5.7
RU damnedkluev #31.01.2010 00:06
+
-
edit
 

damnedkluev

новичок
Да, apple-вский bonjour я тоже всегда отключал в службах.

Но доступа к реестру и политикам оно не портило.
 3.63.6
RU Cormorant #31.01.2010 00:12  @Andrey_Kr#30.01.2010 23:57
+
-
edit
 

Cormorant

опытный
★☆
Andrey_Kr> Из этого списка все знакомо ?:

да, это знакомые все вещи, ничего подозрительного в них нет


попробую перегрузится и отметить то что попросили.
Cormorant, qui alte volat late - volat praeteritum  
RU damnedkluev #31.01.2010 00:19  @Cormorant#30.01.2010 22:00
+
-
edit
 

damnedkluev

новичок
Cormorant> Расскажу о своей проблеме :)
Cormorant> Ноут MSI. Vista SP1 родная лицензионная. Уже где-то с месяц при загрузке системы одним из первых выходит вот такое сообщение:

cut image

А что пишется в журнале системных событий?

Cormorant> драйвера не запускаются. Служба восстановления сама отключилась (первым делом как это словил полез восстанавливаться на более раннее состояние - хрен, служба не работает:

Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

Cormorant> в диспетчере не могу посмотреть что запущено от всех пользователей. При запуске управления компьютером выдается такое:

cut image

В меню Администрирование (или Панель управление - Администрирование) должно быть несколько отдельных пунктов, которые входят в Управление компьютером.

Cormorant> При попытках подключения к сетям система вылетала в "синий экран".
Cormorant> Параллельно, в другом разделе (на D) стоит Win7. Из под нее последовательно запускал аваст, нод32, кур-ит. Пару-тройку червяков отловил, но это не исправило положения.

В семёрке всё работает?
Тогда зачем Виста? ;)

Cormorant> Скорее всего куплю другой винт, солью на него все доки со старого и запущу восстановление из скрытого ноутбучного раздела. Но может есть более простые способы решения проблемы?

Сначала я бы переставил висту поверх текущей, и то как один из крайних случаев.
 3.63.6
UA Andrey_Kr #31.01.2010 00:28  @damnedkluev#31.01.2010 00:06
+
-
edit
 

Andrey_Kr

втянувшийся

damnedkluev> Да, apple-вский bonjour я тоже всегда отключал в службах.
damnedkluev> Но доступа к реестру и политикам оно не портило.

Я так понимаю сервис был криво удален, оставив следы в системе. Сеть точно из-за этого не работает. Если следы не удалятся, тогда нужно чистить при помощи lspfix
Вот описание способа удаления:
Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием:


sc stop "Bonjour Service"
sc delete "Bonjour Service"
exit


и запустите его. Тем самым Вы остановите и удалите сервис. Удалить папку Program Files\Bonjour\ без снятия защиты с нее, скорее всего, не удастся, поэтому удалим ее чуть позже,а сейчас нам нужно очистить реестр. Существует способ удаления "навязчивого сервиса" из реестра вручную, но, если Вы не специалист в данном вопросе, лучше не рисковать, а скачать LSP-Fix. Скачав, запустите, согласитесь (С помощью галочки I know what I'm doing), что Вы действительно действуете, находясь в здравом уме и твердой памяти, а затем выделите mdnsnsp.dll в окне слева и нажмите кнопку ">>", чтобы mdnsnsp.dll переместилось в правое окно, с последующим бравым надавливанием на кнопку "Finish". Все, перегружаем компьютер, удаляем злосчастную папку Program Files\Bonjour\
 

 3.5.73.5.7
RU Cormorant #31.01.2010 00:46  @damnedkluev#31.01.2010 00:19
+
-
edit
 

Cormorant

опытный
★☆
damnedkluev> А что пишется в журнале системных событий?

есть ошибки. завтра на свежую голову их процитирую

damnedkluev> Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

не один раз спасал систему откатом :)

damnedkluev> В меню Администрирование (или Панель управление - Администрирование) должно быть несколько отдельных пунктов, которые входят в Управление компьютером.

в безопасном режиме управление запускается, в нормальном нет. в нормальном, например, открыв свойства компьютера я не могу запустить диспетчер устройств

damnedkluev> В семёрке всё работает?
damnedkluev> Тогда зачем Виста? ;)

семерка по моим прогнозам проработает до марта месяца, это evaluation copy. правда она пишет что она активирована..но хз, скорее в марте перестанет работать.

damnedkluev> Сначала я бы переставил висту поверх текущей, и то как один из крайних случаев.

установочного диска под рукой не имею :( и не хочу потерять инфу, слить ее пока некуда, это порядка 60 гб

Andrey_Kr> Я так понимаю сервис был криво удален, оставив следы в системе. Сеть точно из-за этого не работает. Если следы не удалятся, тогда нужно чистить при помощи lspfix

я так понимаю, сеть не работает из-за того что не включены драйверы, не только сети, но и дисплея, модема и прочего. т.е. проблема глубже.
Cormorant, qui alte volat late - volat praeteritum  
NO Alexandrc #31.01.2010 03:03  @Cormorant#31.01.2010 00:46
+
-
edit
 

Alexandrc

аксакал

damnedkluev>> Тогда зачем Виста? ;)
Cormorant> семерка по моим прогнозам проработает до марта месяца, это evaluation copy.

Дык, можно ж купить нормальную Windows7Home. У нас она стоит 2-3т.р., причем 32-битовая дороже 64-х :F


damnedkluev> Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

Cormorant> не один раз спасал систему откатом :)

В висте есть более полезная вещь под названием "Восстановление системы". Это когда запускаешься с установочного диска предлагается на выбор: либо поставить систему либо восстановить. Проверено на личном ноуте с инсталяшки Home Premium для ББ, работает ;)
Но вы там держитесь!  
1 2 3 4 5 6 7 8 9

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru