» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Дополнение.

Признаки заразы (пока авирями непоименованной) : попап на экране с требованием
заSMSиться - содержание разное , цена ~10$ + все из установленных браузеров
в ауте . В Рунете эта гадость гуляет с 18-21 декабря. Большинство антивирей до сих
пор на неё не реагирует (но уже не все).
В первую очередь смотреть :
%Windir%\Program Files\plugins.exe ; в комплекте ,практически всегда идёт -
%Windir%\Windows\system32\netprotocol.dll .
Удалять беспощадно - из автозагрузки и с винта ! (несмотря на то , что netprotocol.dll на
некоторых антивирусных площадках считается "добропорядочной" библиотекой.)

Цитата:

%Windir%\Program Files\plugins.exe ; в комплекте ,практически всегда идёт -
%Windir%\Windows\system32\netprotocol.dll .

Касперский детектиn у меня эту заразу как Trojan-Downloader.Win32.Piker.bkk! При чем дней 10 уже видит эту заразу!





Если есть возможность выложи netprotocol.dll

Цитата:

Если есть возможность выложи netprotocol.dll

Что б я эту дрянь хранил... Ещё в декабре вычистил , когда она ко мне только через
dBEH прописывалась. Пик заражения пришелся на 3-9 января . А допостиля , поскольку некоторые допекли ,с пеной и ссылками мне доказывая , что netprotocol.dll никак к отловленной заразе не относится , и это -"чистая" библиотека от Kingsoft...Слава Богу ,теперь я не одинок в своём "заблуждении".


Цитата:

Касперский детектиn у меня эту заразу как Trojan-Downloader.Win32.Piker.bkk! При чем дней 10 уже видит эту заразу!

По слухам , DrWeb "проснулся" дня два назад , и Авира после сегодняшнего обновления вроде "прозрела". (Лично проверить , к сожалению (наверное всё же - к счастью) не могу, детектить им в этом смысле у меня нечего). Но-радует - и на этот раз пережили...
P.S Кстати, посмотри ещё у себя \WINDOWS\UpdReg.exe - когда выдирал нынешнюю заразу - наткнулся , то ли попутно что ещё тогда подхватил , то ли от этого же комплекта. По времени , похоже - от этого , но не уверен. Но то , что гадость - точно.
И ещё - если netprotocol.dll не прибита , как у меня , в зародыше , а побывала в "процессах" , я б ещё проверил сетевые протоколы (через того же AVZ) , свободно могла часть из них подменить на себя. (HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries - для XP ) ,а также провайдера (HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order    ) На уровне паранойи - но для подобных троянов это типично.                                

интересно почему в шапке темы при проверке на вирусы с диска советуют отключать систему востановления?какая разница?

slanets

Цитата:

интересно почему в шапке темы при проверке на вирусы с диска советуют отключать систему востановления?какая разница?

Многие вирусы находятся в папке восстановления. Кроме того, увеличивается время проверки антивирусом. А так сразу двух зайцев убиваешь.

спасибо буду знать теперь!а то как то сначала пункт показался не очень важным!

Давно вылечивал и вирусные надстройки, и отправить смс. Столкнулся с непонятным. Вкратце -- просит отправить смс, обратный отсчёт, генераторы кодов не помогают. Вирус заблокировал сеть, в безопасном режиме и под другим пользователем антивирус ничего не нашёл (cureit и avptools последних версий; забегая вперёд, и под заражённым не нашли). Затем включил сеть, удалённо посмотрел процессы и нашёл, что это смс-окно вызывает rundll32.exe. Сам этот файл не заражён, адекватен.
Что стоит проверить и в чём может быть проблема?

sivka krd

Цитата:

Что стоит проверить и в чём может быть проблема?

в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
проверь параметры:
Shell="explorer.exe"
Userinit="C:\WINDOWS\system32\userinit.exe,"
если что-то лишнее - убери

Да, это я проверил давно, там всё нормально. Есть vmApplet = "rundll32 shell32,Control_RunDLL "sysdm.cpl" "
но он, насколько я помню, стандартный.

Месяц назад писал:

Цитата:

А у меня такой вот вопрос.

После вирусной атаки перестал работать интернет. Проблема была решена с использованием WinSockFix. Осталась только вот одна незадача. Не грузятся картинки у антивирусных сайтов, а именно дрвеб, нод32, Касперский. Может и другие, но я не проверял. В добавок не обновляется сам дрвеб. Сам антивирус переставлял - эффекта 0. Запускал саму дрвебовскую обновлялку (DrWebUpW.exe) вручную. Никакого результата, сама прграмма стартует и тут же мгновенно завершается. Это наглядно видно в ProcessExp'e. Запись в лог обновлялки не делается никакой.
Сам файл hosts в порядке.

Теперь про сам вирус, проинсталлировался из порносайта, запросив предварительно разрешения на установку FlashPlayer10. После перезагрузки Винды, вирус потребовал платной смски на короткий номер попутно заблокировав Винду. Вместо смски он получил удаление из активных процессов, чистку реестра и т.п. Теперь его нет, а проблема осталось.

Как исправить эту ошибку и где копать?
Из фаерволов стоит только "железный", который встроен в DSL-модем.

И Бармалей ответил:

Цитата:

1. чуть выше - сфц /сканнау..
2. загрузка с установочного диска - восстановление системы - переустановка АВ..

sfc отработало - но не помогло. Где еще рыть?


Добавлено:
Если например картинку пытаться загрузить в лоб, наберя это в адр. строке браузера,
http://www.drweb.com/static/new-www/images/solutions_ru.jpg
то он выдает вот это:
405 Not Allowed

Если пытаться перейти на сайт симантек:
Bad Request
Your browser sent a request that this server could not understand.
Reference #7.5687ba5d.1263843137.0

Вот сюда переходит, но тоже без картинок:
http://www.bitdefender.com/

Не антивирусные сайты грузятся без проблем.

deem73
файл "hosts" чист ?

Добавлено:
вижу, что писал, но проверь ещё раз
более всего похоже: остался какойто зловред (вирус)

deem73

Цитата:

sfc отработало - но не помогло. Где еще рыть?

Возможно - подмена провайдера. Посмотри ,в частности , не просится ли кто в Украину - сейчас часто встречается; вообще - обрати внимание на непонятные IP в OUT. Пробей их через "whois" ;если что найдётся - ищи эти IP в своём реестре и отсюда уже танцуй... Особый акцент на : "чужих" провайдеров , всё ,связанное с proxy , "левыми" хостами и т.п. Лучше это делать , через файер , но уж если таковых нет , юзай любую удобную
следилку за трафом . (Объява "405 Not Allowed" с антивирьных сайтов часто указует,
что соединение идёт через какой-то прокси-сервер...)

В "Проводнике" посмотри на дату системных файлов , ищи -в районе ,когда произошло
заражение . На что обращать особое внимание - глянь через тот же Autoruns.

Не найдёшь так - тупо запускай Process Monitor и сперва иди на любой сайт , а потом -
на проблемный, "антивирусный" , и сравнивай , типа "найдите 10 различий"...(Особо
следи за обращениями к реестру , и уж через него копай файловую систему)

И ещё , WinSockFix порой лучше применять дважды : для восстановления соединения с
Сетью и - уже после устранения самого зловреда . Пока вирус в Системе , никакие
WinSockFix не могут гарантировать корректного восстановления сетевых протоколов.

P.S. Хотя , если был откат , и откат удачный , антивирь легко переустановился ...
Я б в первую очередь копнул настройки собственного браузера.

Слушал порты CurrPorts'ом, перед этим поубивал все процессы какие система разрешила. Спецом грузил IE с одной страничкой чтоб посмотреть что появляется?
Порты новые не открываются, процессы не запускаются, всё т.к. должно быть.
Пробовал и напрямую соединятся и через прокси - один хрен, всё равно не грузится картинки (а симантек целиком). Пробовал разными браузерами IE, Opera, FF, Chrome.

Дату системных файлов не смотрел, хотя после sfc /scannow, это бесполезно. Всё что попорчено она восстановила. А по датам файлов, я начинаю сразу вирус удалять. В Тотале отфильтрую все файлы которые поменялись - и уже с ними работаю. Это и было проделано еще в самом начале.

В autoruns'e ничего подозрительного перед этим разделом точно
HKLM\SOFTWARE\Classes\Protocols\Filter            
а ниже... что там дальше, я уже не могу однозначно определить. Вроде ничего нет.

ProcessMonitor оставлю-ка на потом. Уж очень он много инфы выдает, и проблематично высортировать именно то что нужно.

WinsockXPFix применялся бесчисленное число раз.

Мое мнение, где-то в реестре есть зловредные исправления. Только как их найти? Поиск по словам eset.com, symantec.com ничего не дал. Ничего не дал также и поиск по айпишникам этих сайтов.

Цитата:

Порты новые не открываются, процессы не запускаются, всё т.к. должно быть.

Забей пока на "процессы и порты" , если надо зловред и через 80-й отработает. Должно
интересовать : "Журнал HTTP" и "брандмауэр" . Не понимаю , почему не поставить файер
хотя б для этого ? Тот же фриварный COMODO , но удобнее логирует Outpost - вроде в
прошлом году даже как Pro "шёл на экспорт" бесплатно - найти в "забугорных" файлохранах наверняка несложно...


Цитата:

В autoruns'e ничего подозрительного перед этим разделом точно

Не копай всю кучу , надо -NetworkProviders и Winsock Providers .В первом случае д.б.
только штатные ntlanman.dll,drprov.dll,davclnt.dll , во втором - mswsock.dll, rsvpsp. dll, winrnr.dll , обычно подменяют 5-6 "веток" с mswsock.dll . Хотя, после WinSockFix здесь
проблем не должно быть.


Цитата:

ProcessMonitor оставлю-ка на потом. Уж очень он много инфы выдает

Зря. Ты эту инфу фильтруй . Проследи только обращения к реестру (фактически -
regmon ) и т.п. Иначе , действительно закопаешься...

Но так или иначе , через логироване ли файером , или мониторинг надо вычислить именно IP- шник , создающий проблемы , и именно через это уже "шерстить" реестр .
То есть искать что- то типа "{бла-бла-бла-....-бла}...NNN.NNN.NNN.NNN" , где последнее -
зтот IP . (ведущий в данном случае скорее всего куда-то в .ua). "Поиск по словам"
, тем более -"eset.com, symantec.com" - абсолютно бесперспективен .

Чтоб не размазывать кашу - прще всего -_http://virusinfo.info/pravila.html - как раз сейчас на virusinfo подвалила масса народа именно с твоей проблемой .

P.S. Но что - то гложет меня сомнение , что проблема с "картинками" , возможно не
вирусная , а системная . Какая нибудь недобитая банерорезка о себе напоминает ,
конфликт браузеров и т.п. В этом смысле сайт Symantec - ещё не показатель , наследники "дедушки Нортона" (после летней атаки на серваки антивирей) несколько
перебарщивают с параноей , возможно им чем то твой провайдер не глянулся , или твой
IP , или забанили твой mac, поскольку разок хотел зайти к ним через "нехороший" проксик...

Цитата:

Не копай всю кучу , надо -NetworkProviders и Winsock Providers .В первом случае д.б.
только штатные ntlanman.dll,drprov.dll,davclnt.dll , во втором - mswsock.dll, rsvpsp. dll, winrnr.dll , обычно подменяют 5-6 "веток" с mswsock.dll . Хотя, после WinSockFix здесь
проблем не должно быть.

Тут всё Ок!

по поводу остальных пунктов... Напишу в ВирусИнфо, может там помогут.

deem73

По поводу "прокси" - недавно узнал "народное средство" : зайди на сайт "купи-продайки" -irr.ru ; помимо того , что сайт сам по себе "тяжелый" (хорошо показывает праблы с графикой) , он очень качественно выявляет перенаправление, тем более наличие на трассе прокси-сервера. При наличии такового тебя на сайт однозначно
не пустят. (Поэтому на той же "Опере" не ходи - только на IE !) Зайдёшь на irr.ru на "Ишаке" - 90-95% , что через "проксик" тебя не правят - одним сомнением будет меньше.
А ребята , обслуживающие эту "барахолку" молодцы , очень профессионально защищают сайт (защита на порядок лучше иных антивирьных серверов), поэтому "народное средство", самотестирование через него, работает "как часы", поэффективнее разных утилит и антишпайных сервисов...

Добрый день!!!
Подскажите!!! есть комп: посидели в инете(возможно на порно сайтах или еще где), теперь при загрузке системы (винь ХР) при открытии любого файла/программы вылетает окно Internet Security с инфой о том, что типа файл, который пытаемся открыть, заражен и начинается процес сканирования процессов, он - этот так называемый Интернет секьюрити - находит еще неск файлов зараженных и предлагает три кнопки: лечить, удалить, отмена. При нажатии на любую из них вылетает типа активируйте программы, код получать надо через смс.
Лечил DrWeb LiveCD - кое-что нашел удалил. Но эта проблема все равно осталась. При загрузке через безопасный режим и запуске того же AVZ, комп уходит в перезагрузку.
Че делать не знаю!!!
Хэлп ми плиз!!!!!

champa
лечи через лив-сд, самое верное.. и почитай ещё тут:
Цитата:

Windows заблокирован

а самое главное - не нервничай и не занимайся кросспостингом.. :)

mrdime
Предотвращение использования USB-устройств хранения данных

Требуется помощь.Захотелось мне закачать мелодии на мобильник и я воткнул блютуз в комп.Мгновенно поставились драйвера,но не видит комп мобилу.Думаю,ладно,бог с ними,с мелодиями.И тут я обратил внимание-инет пропал.Посмотрел,нет сети.И что я не делал,а сетевую карту не видит,соответственно нет и инета.Если есть мысли,буду очень благодарен.

triskach

Цитата:

а сетевую карту не видит

И в деспетчере устройств?

Цитата:

зайди на сайт "купи-продайки" -irr.ru ; помимо того , что сайт сам по себе "тяжелый" (хорошо показывает праблы с графикой)

Загрузилась на ишаке со второй попытки.
С первой, страничка недозагрузилась и повисла по таймауту, после рефреша - загрузилась. На опере сразу открылась без проблем.

[q][/q]
Вот как-то поднастроил-увидела,но с сетью не хочет соединяться.

Всю эту херню можно найти через поиск файлов и грохнуть в безопасном режиме, ничего качать не надо, понятно и доступно здесь http://wap59.ru действует на все баннеры которые встречал. Хватит финансировать этих уродов и лохотронщиков :angry:

Привет, такая же проблема как у champа, словил вирус и вылетают все экзешники и предупреждение от Internet Security с предложение отправить смс.
Прочитал, ссылка Бармалея, за что тебе спасибо огромное!
Но не понял одной вещи, там написано http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=0
что если вы заходите под Администратором, и появляется надпись про смс то надо грузится с лайвсиди, но у меня не вылетает эта надпись, но всё равно! под Админом не запускается ни командная строка, ни эксзешники, ни фар, ни регедит, ничего!
Хотел сделать восстановление системы от точки, мне написали - Запрещено групповой политикой, обратитесь к админу домена. Причём я был под админом! Где тогда восстановление включить? Или она не спасёт?

Кто нибудь на Семёрке подключал блютуз?

triskach
Офтопик

zis82
...грохнуть в безопасном режиме..
Не факт, уже поподались 2 компа на которых и в "безопаснике" та жа фигня. Пришлось через "лайф сд" прибивать.

Focusrite
Цитата:

Прочитал, ссылка Бармалея, за что тебе спасибо огромное!

доброе слово, каэшна, и кошке приятно.. но надо было сперва в шапке позырить - сцыла-то оттуда.. ;))

Цитата:

Или она не спасёт?

не спасёт, имха.. уж очень новые глисты любят в систем-рекавери залазить.. :)
почисти для гарантии с лив-сд, потом пробуй Восстановление Windows (за сцылу не надо спасибок, она тоже - из шапки :)
можно также попробовать после зачистки с лив-сд переустановить венду поверх, апдейтом..
так быстрее будет, чем трахаццо с восстановлением файлов и прочая..

Вообщем победил, даже проще чем пишут, народ парится ищит коды какие-то...
Подключаем винт к другому компу чтобы загрузится с другого винта, либо делаем с помощью комплекта Infra CD загрузочный диск, через заливку исо образа через Неро и грузимся с него, Лив СД не подойдёт, т.к. там линукс и нет редактора не активного реестра.
Получаем винды с сиди.
В Инфра есть "Аваст реестр редактор", в разделе Программы.
Выбираем открыть реестр на диске С: (это будет наш зараженный диск)
и трём параметр АппИнит, чтобы он остался, но длл никаких или другого ничего не вызывал, у меня там был файл 3dmove.cur:и тут мусор , у всех будет разный вариант названия
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="XXXXXXXXXX.dll"
После этого, поиском по реестру F3, ищем еще этот файл в ветках, где есть там стираем.

Запускаем Тотал Командер с ИнфраСД, и с нашего зараженного диска трём все директории TEMP. То есть Windows/Temp , Document and Setting/все юзеры/Local Settings/Temp
Закрываем Аваст реестр редактор, перегружаемся уже с больного винта и всё ок

А у тех у кого остались следы(не открытие экзешников, реестра и тд), то делаем так:
http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BE

В общем, главная фишка в:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="XXXXXXXXXX.dll"

остальное даже можно не делать, всё работает