» Помощь при лечении компьютера от вирусов

Здравствуйте.
gjf
По логам и остальному у меня чисто, насколько могу судить. Однако uVS говорит, что IPL одного из пяти дисков не совпадает со стандартным. TDSSKiller, о котором Вы упоминали, как о средстве лечения в данном случае, не находит его ненормальным. Винлоков и предложений обновляться у меня отродясь не было. Могу считать этот загрузчик следствием нестандартного форматирования, или там всё-таки что-то есть?
Спасибо.

Не по теме, но можно спросить? Помогает ли RSIT при поиске по времени, если у зловреда изначально прописана другая, ранняя дата?

Erekle
Мне трудно делать выводы, не видя материала.

uVS - утилита молодая и, к сожалению, не совершенная. IPL обычно свидетельствует о заражении "Маячком", но если TDSS Killer молчит - это просто фалс. Можете не обращать внимания. А можете отписаться автору uVS - возможно, он поправит фалс.

RSIT показывает изменённые файлы по времени. Там используется не дата создания, а именно дата изменения. Это помогает, если зловред работает даунлоадером и качает новые модули из сети. Сама дата создания зловреда тут не при чём.

Это неплохо работает с р2р-червями типа Kolab, но отнюдь не является панацеей - скачивание может вестись на скрытый раздел, с удалением исходника, подменой даты и т.д. Отнеситесь к этому моменту, как к инструменту, но универсальных инструментов не бывает.

gjf

Цитата:

трудно делать выводы, не видя материала.

Пожалуйста... я не горделивый настолько, чтобы задирать нос - логи AVZ и RSIT в одном архиве.
(Есть ещё от RKU, TDSSKiller и UVS (включая образ того загрузчика и он же, сохраненный в файл.
Драйверы от ГМЕР и остальных упоминаются, конечно. Записи в Центре сообщений о Касперском и НОДе остались от недопортабелизированных вариантов, уже давно. Задумывал о смене ХИПСа аналогом от Торчсофта, но пока передумал, хотя оставил на месте на будущее, без хуков)

Из странных симптомов примерно с середины марта есть такое, пожалуй, было на 1-2 случая больше; почти всегда происходило моментально при открытии какой-либо страницы, или через секунду после перехода на неё. 3 раза - грузинских файловых серверов, 1- filehippo, остальное - разные, но вполне порядочные сайты. Один раз, кажется, при открытии папки (которую открываю много раз ежедневно). Не причисляю сюда нестыковку с новым ProcessExplorer-ом. Списывал на смену Файрфокса, IDM (его TDI драйвер убрал два дня назад) или периодичные обновления Авиры, не придавал должного значения, хотя потом частота случаев обеспокоила.

Erekle
Ну вредоносного не вижу, но нелогичного - много. Во-первых - видно, что Вы всячески пытались обезопасить систему различными программами, но при этом не установили Service Pack 3. Вроде ж уже скоро ему 10 лет исполнится, верно? Во-вторых - очень много хвостов. Просто колоссально.

Начал бы я именно с подчистки хвостов, удаления ненужного - а потом поставил все обновления. Если повезёт - ошибка исчезнет. Если не повезёт - значит, слишком много грязи накопилось. Не вредоносной грязи - а именно остатков когда-то некорректных удалений, чужих драйверов и модулей.

Да, немного мусора накопилось, хотя и чищу по возможности перед акронисом, что актуально. В активных сервисах/драйверах/модулях мусора нет, просто программ очень много. По безопасности - я "всячески" как раз не пытался, консерватор, последние 4 года для постоянной защиты это и есть - бесплатная Авира 10, RTD, Комодо 2.84, менять не пытался. Портабельные КАВ и НОД просто пробовал давно, остальное - утилиты проверки-наблюдения, их временние модули остаются только до рестарта или на несколько сессий, драйверы некоторых - постоянно, но чтО могу запустить ещё, оставляю сам, иначе придётся делать то же самое каждый раз, или не запускать ни утилиты Руссиновича, или XueTr, или подобное; но ведь они не активны, просто прописка в реестре... Виртуалки нет, и все проверки софта (с разными версиями одних и тех же программ их было примерно 2000), включая эти утилиты (надо же знать, что они делают и как) - на живую систему. В этих условиях она за все эти годы работает исправно и быстро, если не считать эти случаи.

Намеревался поставить СП3 после создания нового образа, потенциальная дестабилизация системы с Акронисом не страшна, но нужно время, которого нет... Хотел сменить ХИПС на CIS, но удерживает крайнее удобство RTD как в общем, так и для моих нужд - детально следить за поведением каждой новой программы, без виртуалки или инсталляций с мониторингом (что в случае потенциального зверья - чревато) и раздавать индивидуальные права на разные действия; он заменяет и виртуальную машину, и sandboxIE, в основном спящий себе на диске. Удерживает также и то, что весь софт уже настроен "с равнением" на RTD... Понимаю, что он устарел, защиты от новых типов угроз может не быть, хотя по основным направлениям - обеспечивает; возможные бреши латаю в нем же, редактированием правил. Но база правил растёт и знаю, что возможны проблемы с этой стороны, талантливый автор не предусмотрел такое количество программ...

Спасибо, что занялись моей проблемой.

Вирус от zinbin1@yahoo.com.vm зашифровал файлы. Образец зашифрованного файла http://files.mail.ru/EG5TM1
Пожалуйста, помогите.

evgenyivanov
Продолжайте здесь http://forum.kaspersky.com/index.php?showtopic=235642

gjf

Цитата:

krserv
Это не тема данного раздела.

подскажи пжс где разместить эту тему

krserv
http://forum.ru-board.com/topic.cgi?forum=13&bm=1&topic=1464#1

Помогите!

Постоянно выскакивает в Авасте угроза!
C:\WINDOWS\system32\winlogon.exe

Тормозит систему. Очень медленно загружается комп после включения. 30-40 минут бывало.

\avz4\log\virusinfo_syscure.zip
http://rghost.ru/download/38098406/c6a7264bc2cf70a3ef98ee4f29d77370aa948b68/virusinfo_syscure.zip


http://rghost.ru/download/38098437/310eb5fe3845123d72f716c0e6dae70541bef568/info.txt


http://rghost.ru/download/38098448/b41e265d7463c90401f107a20c2485a72e25077e/log.txt

profbuh
Прекращаем истерику. Читаем шапку. Выполняем правила. Оформляем пост, как нужно. Ждём.

Цитата:

Прекращаем истерику. Читаем шапку. Выполняем правила. Оформляем пост, как нужно. Ждём.

Уже поправил сообщение.

profbuh
Ну вот. Жить становится лучше, жить становится веселее!
- Выполните скрипт:

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Best\LOCALS~1\Temp\0E727~1.655');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

http://rghost.ru/download/38098864/db8287a182cca1d10721a597d2c943880d9566b2/virusinfo_syscure.zip

http://rghost.ru/download/38098896/ef4efa7494cad667c559c46e4ba27a05e75047ae/info.txt

http://rghost.ru/download/38098906/e8e8252b998604b553fd5e51f8c2d9bfb8c8f2e6/log.txt

profbuh
Ну и зачем мне один и тот же virusinfo_syscure.zip два раза? Я же написал:

gjf (17:08 15-05-2012)
Цитата:

После перезагрузки - повторные логи

Перезагрузил, запустил RSIT.exe и выложил логи.

profbuh
RSIT - это мало. Полный комплект, включая AVZ.

Цитата:

RSIT - это мало. Полный комплект, включая AVZ.

А что с AVZ делать ? Просто запустить и запустить RSIT ?

Добавлено:
http://rghost.ru/download/38100572/cea20ea542ab685e4e3d9f0a846b5b25d8ff9c6e/virusinfo_syscure.zip

http://rghost.ru/download/38100589/7eddfeef262fa163fe47be2d5088533ddce117b4/info.txt

http://rghost.ru/download/38100600/43fb67ffe565463d392c0b9e5a4d7417d61a90fd/log.txt

Добавлено:
Выполнил скрипт в AVZ, запустил RSIT, выложил логи. Правильно ?

profbuh
Уберём хвосты от AVZ. Выполните скрипт:

Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.

Коллеги, столкнулся с такой гадостью, как Бабилон Тулбар.
Вот, уж, дерьмо, так дерьмо! Каким-то образом (может быть недосмотрел при инсталяции какой-либо из программ?) он попал в мои компы и никак не могу от него избавиться!
ПОМОГИТЕ, кто сможет.
Дело обстояло так.
Сначала я посмотрел в "Programms" и найдя Бабилон прогой Total Uninstal убрал эту гадость. Но радоваться было рано!
В Интернет Эксплорере все равно эта штука продолжала висеть.
Я просканировал систему прогой jv16 PowerTools 2009, убрал всякие упоминания в реестре, потом почистил вообще все файлы с ее упоминаниями. Вроде, все вычистил, - однако зря я так подумал!
IEпродолжает "радовать" бабилоном, - что б он провалился!

Расскажу, где я его находил:
После чистки реестра я почистил файлы:
1) Users\user\Application Data\Babylon - стер дирректорию!
2) Users\user\Application Data\Local\BabilonToolbar - туда же, в топку!
3) Users\user\Application Data\Local\Microsoft\Windows Temporary Internet Files\Content.IE5\X02VX2SR - в топку!
4) Users\user\Application Data\Local\Temp - там были файлы Бабилона, - все очистил!

В стартапе этой проги нет. При сканировании регистра она не проявляется. Hijack тоже ее не выявляет. Другими словами, в настоящее время ни одна из имеющихся программ не показывает следов этого гнусняка,
но он продолжает висеть в IE!

Ну где его еще можно найти, подскажите, коллеги!


Добавлено:
Сейчас пытаюсь добраться до него с помощью утилиты uVS см.:
http://forum.esetnod32.ru/forum9/topic2687/


Добавлено:
О своем компе (на котором я провожу все эти колдовства):
ДЕЛЛ 6400 Core2 duo 1666 Mhz
Syst Windows7 x32

IgorM
в этой теме надо вчитываться в шапку и делать логи.

Цитата:

ПОМОГИТЕ, кто сможет...

тут не прокатит)
..тут gif, Олег Зайцев бродит...
ща он придет и объяснит)

в трех темах вы рассказываете и рассказываете о непобедимом бабилоне. везде у вас просят вместо слов сделать логи программами (rsit, uVS), вы игнорируете и убегаете в следующую.
новый вид троллинга?! отвечать не надо, делайте лог, хоть какой-нибудь(тут естественно строго по шапке)

Прошу прощения, какой там троллинг! Я, действительно, замотался с этой гадостью. А то, что в разных темах, так меня пересылают в другие, как считают, "правильные" по тематике страницы.
Лог сейчас сделаю.

Добавлено:
Открыл новую страницу в браузере IE8, где тут же вылез Бабилон, сделал лог и выложил здесь:

http://rghost.ru/38407278

IgorM
Я не знаю, чего и чем лог Вы сделали, но смотреть 3,6 Мб неизвестно чего я не имею ни малейшего желания.

Читаем шапку и деламе так, как там написано. Если же охота заниматься самодеятельностью - помогаем себе сами.

Прошу прощения за мою неумелость. Постараюсь сделать лог как написано в шапке.

Win7.
Все ярлыки запускают Media Pleer. Так же как и все exe-шники: сначала сами запускаются, а потом закрываются и опять запускается MediaPleer.
В безопасном режиме с поддержкой командной строки удалось запустить последний Cureit. Нашёл вирусов кучу и измененный hosts.
Перезагрузился.
Всё то же самое - всё открывается Mediapleer

Ну, вот, кажется сделал все "по уму".
Логи:
http://rghost.ru/38479929
и
http://rghost.ru/38479916

IgorM
Логи AVZ где?

Прошу извинения, вот они:

http://rghost.ru/38482591
http://rghost.ru/38482589

IgorM
И снова прислал не то. Читай внимательно шапку и выполняй точно всё как написано.

Доброго времени суток.

Windows7 c последними обновлениями.
Любимая Авира показала следующее окошко:

Я стреманулся, и поэтому прошу о помощи.

Логи:
virusinfo_syscure.zip (41.7 KB)      http://rghost.net/38484773
info.txt (33.2 KB)              http://rghost.net/38484807
log.txt (49.7 KB)             http://rghost.net/38484828
Лог CureIt.log выложить не могу, поскольку он весит 135MB . Видимо это потому, что тут я перестарался, и выполнил комплексное сканирование.

Заранее благодарен, с уважением, Изя.