» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

01pump

Цитата:

проверьте этот C:\WINDOWS\System32\rundll32.exe

[more=результаты скана]Файл rundll32.exe получен 2009.11.23 12:12:27 (UTC)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 0/41 (0%)
Загрузка информации...
Ваш файл в очереди на позиции: 1.
Ожидаемое время старта между 46 и 66 секунд.
Не закрывайте окно до окончания проверки.
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз.
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации.
Форматированные Форматированные
Печать результатов Печать результатов
Ваш файл просрочен или не существует.
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.

Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.
Email адрес:     
    
Антивирус     Версия     Обновление     Результат
a-squared    4.5.0.41    2009.11.23    -
AhnLab-V3    5.0.0.2    2009.11.20    -
AntiVir    7.9.1.70    2009.11.23    -
Antiy-AVL    2.0.3.7    2009.11.23    -
Authentium    5.2.0.5    2009.11.22    -
Avast    4.8.1351.0    2009.11.23    -
AVG    8.5.0.425    2009.11.22    -
BitDefender    7.2    2009.11.23    -
CAT-QuickHeal    10.00    2009.11.23    -
ClamAV    0.94.1    2009.11.23    -
Comodo    3008    2009.11.23    -
DrWeb    5.0.0.12182    2009.11.23    -
eSafe    7.0.17.0    2009.11.19    -
eTrust-Vet    35.1.7136    2009.11.23    -
F-Prot    4.5.1.85    2009.11.22    -
F-Secure    9.0.15370.0    2009.11.20    -
Fortinet    3.120.0.0    2009.11.23    -
GData    19    2009.11.23    -
Ikarus    T3.1.1.74.0    2009.11.23    -
Jiangmin    11.0.800    2009.11.23    -
K7AntiVirus    7.10.901    2009.11.20    -
Kaspersky    7.0.0.125    2009.11.23    -
McAfee    5810    2009.11.22    -
McAfee+Artemis    5810    2009.11.22    -
McAfee-GW-Edition    6.8.5    2009.11.23    -
Microsoft    1.5302    2009.11.23    -
NOD32    4629    2009.11.23    -
Norman    6.03.02    2009.11.23    -
nProtect    2009.1.8.0    2009.11.23    -
Panda    10.0.2.2    2009.11.22    -
PCTools    7.0.3.5    2009.11.23    -
Prevx    3.0    2009.11.23    -
Rising    22.23.00.07    2009.11.23    -
Sophos    4.47.0    2009.11.23    -
Sunbelt    3.2.1858.2    2009.11.22    -
Symantec    1.4.4.12    2009.11.23    -
TheHacker    6.5.0.2.075    2009.11.20    -
TrendMicro    9.0.0.1003    2009.11.23    -
VBA32    3.12.12.0    2009.11.22    -
ViRobot    2009.11.23.2049    2009.11.23    -
VirusBuster    5.0.21.0    2009.11.22    -
Дополнительная информация
File size: 33280 bytes
MD5...: 5bc57445124544e1b670f465ae7b12f6
SHA1..: dcd3f74bd64414ffa5860c6b1b8ef6417f0818a3
SHA256: 9351422a8c8522233065174e92d6d2150ddc11d4558f9f234e1e36a1a6b99adf
ssdeep: 384:FvAw66vILD82NRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISIHa:FvAOKbS
Eln5IyYpamDjobj8SIHa
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1bdc
timedatestamp.....: 0x480252d5 (Sun Apr 13 18:37:09 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x126a 0x1400 5.98 f570e0b16b53d38ec258e33595125bc3
.data 0x3000 0x38 0x200 0.25 a7f7e8f7f41d7ffb4b369fe282510650
.rsrc 0x4000 0x673c 0x6800 5.72 a9c27c92a27d5951f474d815365f1cf8

( 5 imports )
> msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf
> KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> GDI32.dll: GetStockObject
> USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow
> IMAGEHLP.dll: ImageDirectoryEntryToData

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
pdfid.: -
sigcheck:
publisher....: __________ __________
copyright....: (c) __________ __________. ___ _____ ________.
product......: ____________ _______ Microsoft_ Windows_
description..: ______ __________ DLL ___ __________
original name: RUNDLL.EXE
internal name: rundll
file version.: 5.1.2600.5512 (xpsp.080413-2105)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned[/more]

насколько я понял, он чист и пока все вроде нормально работает
___
неа, опять началось

7o
В автозагрузке (Пуск-Выполнить- msconfig) пробуем убрать птички с этого:
[NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
[NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
[QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
[SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"


После чего перезагружаемся. Наблюдаем за rundll32

01pump
оставил на ночь включенным, сейчас посмотрел - снова куча rundll32.exe

из шапки:

Цитата:

Вариант №2
...
4. Желательно отключить систему восстановления. Свойства системы-система восстановления.

почему?
разве копия реестра на всякий случай - это плохо?
меня несколько раз выручало содержимое RPхх\snapshot (все остальное - затираю).

З.Ы. всегда по 2му варианту делаю.

Друзья, проблема та же, что и у многих, вирусяка после запуска практически любой проги выкидывает окно на рабочий стол и просит SMS c кодом M2090007. Все здесь пишут запустите AVZ, DrWeb и т.д., что делать если Винда грузится нормально, но AVZ не запускается в реестр зайти нельзя (ни regeditом ни другими прогами для реестра, кликаешь по проге, а никакой реакции). Восстановление системы невозможно. Пишет что отключено. Загружался с диска Windows PE и пробовал проверить AVZ, DrWeb - никакого толку.
Может уго есть интересные мысли?

IgorUser

Цитата:

Для этого необходимо предварительно записать утилиты avz и hijackthis на флешку или другой раздел жесткого диска (другую установленную Windows). Затем загрузившись с LiveCD выбрать папки с содержащимися в них утилитами и затем кликнув по исполнительному файлу avz.exe или hijackthis.exe в появившемся контекстном меню выбрать "Запустить с удаленным реестром". Далее появится окно с выбором учетних записей больной системы. Надо выбрать Администратор и запустить утилиты.
Далее в меню программы avz выбрать: Файл-Исследование системы. В разделе Службы и драйверы вместо "Только активные службы и драйверы" выбрать "Все службы и драйверы", в разделе Параметры дополнительно установить птичку "Создать ZIP архив с протоколом" и затем запустить исследование.
По окончании исследования получится протокол avz_sysinfo.htm Этот протокол необходимо будет предоставить для анализа.
Утилитку Hijackthis запустить аналогично avz . В результате получится логфайл hijackthis.log Его тоже предоставить для анализа.

Если осилите буквы то решим проблему

Спасибо, попробую. Что-то этот LiveCD не загружается, окно с пауком висит... может еще подождать пару минут? Просто никогда с ним не работал.

Добавлено:
Блин, пишет: Preparing the LiveCD enviroment... Press Alt+F1 for verbose mode, 5 минут ждал никаких признаков... ????

IgorUser

Цитата:

Что-то этот LiveCD не загружается, окно с пауком висит

Ты пытаешься, судя по всему, загрузить LiveCD от DrWeb А ты загрузи обычный загрузочный диск на базе WinPE. Ссылки в шапке.
И по этому вирусу есть отдельная тема. Её читал? ссылка тоже в шапке.

Цитата:

Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.

Да, от DrWeb. А, есть разница в чем AVZ запускать, LiveCD или на установленной другой установленной винде с ЖД? Если нет, то тогда я сканировал диск С: AVZ. Ничего не видит.

Подскажите, пожалуйста, в чем может быть проблема.
Решила проверить ноут на вирусы с помощью AVPTool: скачала, вошла в безопасный режим, запустила программу. После проверки (12%) ноут самопроизвольно отключается... Проделала то же самое повторно, на этот раз отключился в самом начале при 1% проверки...
Вопрос: из-за чего мог произойти сбой? Перегрев процессора?
В третий раз запускать боязно, как бы не навредить...

Решил сюда написать!
Не один год борюсь с вирусами, порно баннерами, все успешно было до 27-11-2009. Пришел я к человеку. У него два порно-информера, не в браузере, а в <strong>Windows</strong>.
Один убрал легко, сразу запустил AnVirTaskManager он показал два процесса dap10.tmp, их убиваю баннер исчезает, перезагружаюсь в безопасном режиме иду по поти этого файла dap10 (он сидел в мамке Temp в каталоге AppData/../Temp), чищу папку Temp, перезагружаюсь, все ок.
Но блин есть еще второй http://family.dveit.ru/wp-content/uploads/2009/11/200911300024_28112009042.jpg который появляется примерно через минуту после запуска Windows. Сканировал AVZ, сканировал Kaspersky, чисто, ни чего не видят. В процессах этот проклятый банер не виден. Промучился минут 40, результат нулевой. Нашел всего один выход, написал батник
taskkill /f /im explorer.exe
explorer.exe
После перезапуска Explorera баннер исчезает и больше не появляется, до следующей перезагрузке компа.

Кто что может посоветовать?! Кто чем пользуется для удаления этой порнухи?! Я обычно руками числил, а тут что то прям в тупике.

P.S. Когда люди уйдут с это XP? 100% моих клиентов цепляют эту гадость на XP, ни один комп с Vista и 7 заражены подобной хренью небыли!

не встречался никто нет такого вируса, который бы выводил экран под Microsoft предупреждение - вы пользуетесь нелегальной версией - а то у меня появился такой экран, на лицензионный ХР. Правда на другом разделе стоит 7 крэкнутая, и я установил на еще один раздел Windows 2008 R2 сервер, еще не крэкнутый, возможно из-за них как-то и на хр влияет, т.к в 7 тоже такой же экран появился. А может это просто вирус?

krserv
Так может просто слетела активация у XP ? В этом уведомлении есть упоминания об отправке sms ?

01pump
нет, натуральный экран Microsoft, что возможно вы пользуетесь нелицензионной копией и черный экран, вообщем как всегда.

Добавлено:
а если бы активация слетела, то она бы написала, что система не активирована, а тут она это не пишет. Но в принципе хрен с ней, у меня этот ноут стал на работе использоваться, верну к лицензионным ОС, а то гости вдруг придут, и на работе объясни им что этот ноут личный.

test

Короче говоря, ждать не могу, снес я ХP и все дела.

Вопрос, как можно отследить откуда лезут вирусы, установлен был сервер, айпишка 192.168.0.1, и вот только на него лезут...
Сетка из 50 машин, может кто подскажет чем можно отследить что создает эти файлы?
Вот некоторые из них:
tdijbr.exe    Win32/Packed.Autoit.Gen
Безлимитный Интернет\Internet Explorer Unlimited\IExplore.exe    Win32/Delf.MZ
Пароли.exe    Win32/Autoit.NFB

Думаю пик развития такого рода вирусов придется на следующий 2010 год.
Начаналось всё с банальных надстроек автоматически добавляемых к дырявому IE6. Которые вычислялись на раз -два и легко удалялись. (Проявление только в конкретном браузере)
Затем появились такие же модификации для браузеров сторонних - в опере через пользовательские скрипты (*.js), а в мозилле через теже дополнения, что и в эксплорере.
Также легко вычисляются и довольно легко удаляются поскольку проявляются только в конкретном браузере). Однако в мозилле встречался информер (правда не во весь экран, а только по низу браузера), который не был дополнением, а скрывался в папке "C:\Program Files\Common Files" с названием папки и большого количества букв. (Информацию о удалении нашел в интернете (запрос информер+мозилла). Уже как видим более изочренное вымогательство).

Далее мною были замечены СМС вымогатели проявляющиеся в любом браузере при подключенном интернете, при заходе многие на популярные сайты. Здесь антивирусами ничего не находилось на компе, дело оказалось в банальной модификации файла HOSTS (drivers\etc\host). В котром обнаружилось около 1500 дорполнительных строчек перенаправления популярных сайтов на один внешний IP сайта Украины вымогателя. Вымогательство было подкреплено информацией о тяжелой болезни ребенка.
Далее встречалось более изощеренное исправление файла хоста добавлением перенаправлений после около 100 пустых строк (список перенаправлений меньше). Будьте внимальны при просмотре HOSTS, бывает полезно перейти сразу в конец файла.

Ну и наконец это настоящие вирусы, запускающиеся с загрузкой винды и Информер появляется сразу при появлении рабочего стола. По первому времени лекго отлавливались, поскольку встраивались ввиде запускаемых фалов в обычные ключи автозапуска.(вплоть до меню автозагрузка). Легко отлавливались антивирусами правда иногда с задержкой в 2-3 дня. Сам не раз отправлял в лабораторию касперского для занесения в базу. Самостоятельно находятся либо msconfig либо autoruns от SysInternals.
В последнее время способы автозагрузки куда более изощренные: dll файлы, стартуемые через rundll, либо службы, либо драйверы sys. (Get accelerator) Самостоятельно найти уже сложнее, поскольку поиск среди большого числа нужных. (опыт) Могут детектироваться только свежими антивирусами Российского производства (Поскольку импорным это нифиг не нать- да и не на их кошельки они направлены.)
Удаляться и детектироваться могут с помощью AVZ или KAVRemovtools? DrWeb CureIt.
P.S. Забытый (с 98 винды) полноэкранный режим
FAR (ALT+ENTER) лучший вариант от любых окон поверх всего.

toxavich
Попробуй поставить на него Фаер. Только настрой правильно

Снова порно-банер почти во весь экран с запросом СМС. Теперь уже даже и в безопасном режиме, при этом не дает запускаться исполняемым EXE файлам, запуская себя. Заблокирован диспетчер задач и редактор реестра. Запустить можно волков коммандер .
Я поступил другим способом: загрузился с флехи и поискал в системе руками подозрительные файлы. Лекго разыскиваются поскольку как правило скрытые и это их выдает и названия рандомные. Эх если бы в фаре была сортировка по скрытым файлам.
Убрал следующие аваст сюда попал потму, что беспомощен (все равно потом удалить хотел):
aavmker4.sys
aswBoot.exe
aswFsBlk.sys
aswmon.sys
aswmon2.sys
aswRdr.sys
aswSP.sys
aswTdi.sys
AvastSS.scr
CONFIG.TMP
KGyGaAvL.sys
PSFSF.dll
webfldrs.msi
Скрытая папка lowsec:
с файлами
local.ds
user.ds
user.ds.lll
После этого загрузка в нормальном режиме без порно-информера и сканирование на вирусы касперским , который обнаружил остатки либо пропущенные авастом трояны. AVZ восстановление системы.

Цитата:

Снова порно-банер почти во весь экран с запросом СМС.

Еще просмотреть
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit %WINDIR%\System32\userinit.exe,
Все что после userinit.exe, - удалить. Например
%WINDIR%\System32\sdra64.exe

AlexIva
Угу только подправить можно загрузивший с другого носителя и подгрузив реестр зараженного компа.

IvANANvI

Цитата:

Угу только подправить можно загрузивший с другого носителя и подгрузив реестр зараженного компа.

А вот это под вопросом. Была ситуация,грузился под одним из вариантов LiveCD, так РР в этой записи ссылался вместо
%WINDIR%\System32\userinit.exe,
на
X:\LiveCD

сталкивался почти с таким же явлением, но без баннера, просто закрывались все админские права. а кто-нибудь знает как их после лечения вернуть назад?

Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил). На рабочем столе красивая надпись, на которой сообщается, что интернет заблокирован ну и соответственно просят денег. Стоит EZET NOD32. Попробовал это - Dr.Web CureIT! Нашел 3 одинаковые бяки в разных местах ну и соответственно лечить. После как обычно перезагрузился, но по ходу надо было (это мои мысли) отключить восстановление системы. В итоге бяка снова вылезла теперь ее никто не видет и вопрос: есть варианты... или винду переустанавливать? СПАСИБО!

Добавлено:
IvANANvI
Так может научишь как эту заразу уничтожить, а то винду переустанавливать времени нет. Конец года много работы. Спасибо.

ChaVeS, а винда XP?
Заметил тенденцию, все клиенты ловят такую заразу на виндовсе XP, с Вистой и тем более 7 еще ни кто не обратился!

ChaVeS
А скачать LiveCD, почистить систему восстановления и ещё раз пройтись CureIt и AVPTool. Т.е. вариант №2 из шапки.

ChaVeS

Цитата:

Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил).

Да можно любой сайт заразить. Я вчера на сайте игрушек rutoy... словил. Да, штука знатная - реальный мозг написал. Почти час "приятного" времяпровождения на узнавание и обезвреживание. Позабавило, что увидел впервые как IE7 "пробивают" и не мог сначала понять как он загружается. Названия файлов писать бесполезно (не видя отчёта), т.к. они могут отличаться/модификации разные могут быть. В общих словах, в моём случае, он подменил драйвер atapi.sys (он загружается при старте) - >>>, ну и у меня были файлы, типо:
\Автозагрузка\siszyd32.exe
C:\WINDOWS\TEMP\~TM2B0.tmp
C:\WINDOWS\system32\av_md.exe
C:\WINDOWS\system32\config\systemprofile\av_md.exe
C:\WINDOWS\system32\winsrv.exe
Ну и ветка реестра. Я воспользовался AVZ, потом по F8 ещё откатился к пред. состоянию и потом восстановил драйвер. Если не получится у тебя, то тебе без проблем помогут на http://virusinfo.info - там много тем, посвященных Get Accelerator, в разделе Помогите! запости по правилам.

Доброго времени суток. история такая: в нете на ноут знакомого человека на какомто из сайтов был пойман троян

C:\Users\кламас\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll
Win32/LockScreen.DB троян

Все бы ничего, нод его нашел, но что то пошло не так, в общем машина заражена. Лекарство для нода от этой заразы появилось только на следущий день.

Сейчас твариться такая штука. подключение к нету есть, но по именам никого не видит. могу пропинговать по ip кого угодно, но не более того. как исправить такую засаду?

ах да, стоит виста. ненавижу висту потому и спрашиваю что делать то с ней?

Цитата:

ах да, стоит виста. ненавижу висту потому и спрашиваю что делать то с ней?

И что? Такое впечатление, что вы с прокажённым поздоровались за руку или у неё какое-то принципиальное отличии от ХР? Ладно.
Вариант №2 из шапки. Проверяйте комп для начала.