Свежий вирус?

Тема в разделе "Вирусы и другие вредоносные программы", создана пользователем Uri62, 24 авг 2010.

  1. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Вначале заметил описанное тут проявление (Кнопка закрытия стала пропадать регулярно). Потом другие мелкие глюки. Например, успевал заметить странные процессы. Или некоторые приложения не запускались с первого раза (что-то про отсутствие прав доступа). Потом не смог скачать обновления с FTP сервера DrWeb. Подумал, что у них временные проблемы. А потом проверил из-под Win 98 и понял, что проблемы у меня. На Касперского тоже не получается заходить. Даже пинг не проходит. Вот тут я и понял, что это вредонос. На Dr.Web - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз. не заходит, а на Dr.Web - ПРОДАЖИ DrWeb в РОССИИ. Dr.Web антивирус. СКИДКИ ПРИ ПРОДЛЕНИИ ДОКТОР ВЕБ! - заходит. Ну и т.п. Кое-как вчера из-под 98 скачал CureIt. Запустил его в режиме защиты от сбоев (под 98 не работает). Он ничего не нашёл. Обновил базы Avira (тоже вчера). Avira тоже промолчала. Сегодня уже не могу зарегистрироваться пользователем в системе (в обычном режиме). Вернее могу, но рабочий стол абсолютно пуст. Не только иконок нет, но и панели задач, кнопки "Пуск" и т.п. А в режиме защиты от сбоев всё на своих местах.
    Попросил ещё более свежие дармовые утилиты. Жду...
    Может кто ещё что предложит?
    Система - WinXP. В сети через роутер. Из-под Win 98 хожу куда угодно, значит роутер не виноват. Браузеры тоже вряд ли виноваты, раз даже ping не проходит. Куда копать?
     
  2. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Можно ещё провериться свежим CureIt-ом , только в Безопасном режиме ( вход через F8 ) . А вообще лучше чистить ручками с помощью HiJackThis , AVZ .
    Попробуй сделать лог HiJackThis , прицеплю его сейчас . Иногда в нём сразу видно заразу .
    Сначала нажми кнопку SCAN , затем после сканирования нажми кнопку Save Log . Выложи этот лог здесь . Посмотрим . Правда я завтра работаю допоздна , но может сюда заглянет GrandFather - известный борец с вирусами , он тебе поможет . Ещё вариант - обратится на http://virusinfo.info/forumdisplay.php?f=46 . И там тебе помогут . Тоже будешь логи делать , куда же без них , если зараза свежая .
     

    Вложения:

    • HiJackThis.zip
      Размер файла:
      298,2 КБ
      Просмотров:
      8
  3. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Avira не смогла попасть на свой сайт за описанием вирусов, но обновиться таки смогла. И сразу пару бяк отловила. Но проверка ещё продолжается. Может это и не всё....
     
  4. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Слышал , что Avira в лечении активного заражения несильна , как в общем то и все остальные . Так что потом всё же по указанному мной адресу отправляйся , для дальнейшего долечивания .
     
  5. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Uri, AVZ умеет восстанавливать поврежденный функционал (Файл - Восстановление системы) и много чего еще :) Долечиваться - зло. Система уже безвозвратно потеряна, т.к. был утерян контроль. Переустановить лучше сейчас спокойно, а не через пол года вынужденно да еще данные потерять :)
     
  6. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Ответ неверный . С помощью специалистов с Вирусинфо проблемы решаемы . Если установленных программ мало , то конечно можно переустановить . Но я бы на своей системе лечился .
    Несведующему туда не стоит лезть , а то наремонтируешь . Его задача - делать логи .
     
  7. Devil Местный

    Регистрация:
    7 мар 2007
    Сообщения:
    6.224
    Симпатии:
    1.411
    Провайдер:
    Билайн
    Lestok ня :)
    Я то же проверял браузеры, посмотри, если что у меня.
     

    Вложения:

    • hijackthis.rar
      Размер файла:
      1,9 КБ
      Просмотров:
      5
  8. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    На virusinfo.info не пускают. Равно как и на virusscan.jotti.org. Равно как и на virustotal.com. А вот на virscan.org попасть удалось. Проверяю те файлы, что мне показались странными. Лог прикладываю.
     

    Вложения:

  9. Predtecha Администратор Команда форума

    Регистрация:
    28 июл 2007
    Сообщения:
    2.739
    Симпатии:
    1.219
    Провайдер:
    МТС
    Очень интересные приложения. Бывает что userinit.exe подменяется на файл вируса. Остальные вообще не по теме.
     
  10. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    В принципе у тебя по этому логу всё нормально , если только попробовать отослать на проверку файлик C:\Windows\system32\DllHost.exe по адресу
    http://www.virustotal.com/ru/ - там проверится 42 кажется антивирусами . Надо ещё делать логи AVZ для более подробного анализа . Но с этим лучше на Помогите! - VirusInfo - быстрее будет . Меня завтра целый день не будет , посмотреть не смогу . Выкладываю на всякий случай AVZ со свежими базами на FTP Гаранты . ftp://10.64.100.100/uploads/Antivirus_Utilites/AVZ4.34.rar
    P.S. Вышла новая версия - 4.35 ftp://10.64.100.100/uploads/Antivirus_Utilites/AVZ4.35.rar
     
    1 человеку нравится это.
  11. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Lestok, специалисты вирусинфо не боги. Если логи чисты - ты уверен, что это истина? Вспоминаю появление порно-банера и двухнедельное молчание этих специалистов на форуме. А не, сначала они наезжали на народ, чтоб не спамили чистыми логами.
    Надеюсь ты на том форуме читал тему про вирус на сайте мега крутого сообщества по компьютерной безопасности?

    Наоборот. Там все именно для таких. Сведущие должны в реестре править :wink:

    З.Ы. Объясните мне сирому, как можно вылечить вирус?:lol:
     
  12. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Uri, У тебя вирусы . Запускаешь опять HiJackThis , сканируешь , ставишь галки в строках
    F2 - REG:system.ini: UserInit:biggrin::\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\6a65d128.exe,D:\WINDOWS\system32\cixtjv.exe,
    O24 - Desktop Component 0: (no name) - (no file) и
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)


    и жмешь кнопку Fix checked .
    Удаляешь из D:\WINDOWS\system32 файлы 6a65d128.exe и cixtjv.exe , запакуй их в архив , потом узнаем , какие это вирусы . Если умеешь , найди и удали в реестре ключи с названиями этих файлов . Перезагрузись . По идее большинство функций после этого восстановится . Затем на Вирусинфо проверятся .

    Идеальных людей не бывает .
     
  13. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Спасибо за советы, но....
    Я же уже написал, что меня пока не пускают ни на virustotal.com, ни на virusinfo.info.
    А 6a65d128.exe и cixtjv.exe Уже убиты Авирой. После того перегрузился. Сейчас прибью ссылки на них в реестре.
     
  14. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Сделай , что я написал , у тебя есть неправильная запись в реестре -
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    "Userinit" D:\WINDOWS\system32\6a65d128.exe,D:\WINDOWS\system32\cixtjv.exe,
    Должна быть "Userinit" D:\WINDOWS\system32\userinit.exe,(с запятой ) - можешь исправить вручную , но hijackthis сделает быстрее и правильнее чем ты .
    Всё , я спать .
     
  15. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Уже не быстрее, потому как вручную я уже поправил. А вот насчёт правильнее.... Я засомневался, что он прибьёт все 3, а не только 6a65d128.exe и cixtjv.exe. Потому и убрал их вручную. Но самих файлов уже не было. А на антивирусные сайты всё ещё не пускают....
    Спасибо.
     
  16. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Посмотри hosts (Windows\System32\drivers\etc\).
     
  17. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Смотрел в первую очередь. Чист.
    Почти все глюки ушли, нет лишнего "хрюканья" винтом. Загрузка стала проходить с обычной скоростью. Но вот не пускают на некоторые сайты..... Даже по IP не могу пропинговать.
    AVZ выдал ещё несколько подозрений. Проверяю.... cmdow.exe уже вычислил. 14 из 36 антивирусов говорят, что это троян.
     
  18. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Запланированные задания в планировщике виндовом проверь.
     
  19. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Отключен.
    AVZ, кроме прочего, выдал "Обнаружен статический маршрут к сайту производителя антивируса". А прочее - это типа "Функция NtEnumerateKey (47) перехвачена (805735B4->F752ECA2), перехватчик spnt.sys". Хотя у меня нет spnt.sys.
    Попробовал удалить статические маршруты средствами AVZ. Перезагружаюсь....
     
  20. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Вот и всё. Всем СПАСИБО. После удаления 3 заразных файлов и выполнения пункта "20. Настройки TCP/IP: удалить статические маршруты" (в восстановлении настроек системы AVZ) всё заработало.
    P.S. А как можно было "вручную" (без AVZ) посмотреть и отредактировать эти "статические маршруты"? Как до них добраться средствами ОС?
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)