28 ответов в этой теме

[Woop]

Здравствуйте!

Все началось недавно, при работате с браузером и при его закрытии, возникал звук ошибки в Windows XP SP2. Оказалось что размножается процесс браузера (Opera.exe), от имени пользователя SYSTEM скриншот.

 Безымянный 4.JPG   52,55К   2 Скачано раз

Их количество может достигать 15 или даже больше, если не завершать процессы через диспетчер задач.

Вчера провел проверку Malwarebytes Anti-Malware, перед этим выполня скрипт в AVZ, вот он:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('StarWindServiceAE.sys','');
DeleteFile('StarWindServiceAE.sys');
DeleteService('StarWindServiceAE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(13);
RebootWindows(true);
end.

Malwarebytes Anti-Malware нашел несколько зараженных файлов и 8 ключей реестра, я исправил это, потребовалась перезагрузка. После перезагрузки, вылезло окно с иероглифами скриншот.

 SAM_4385.JPG   230,79К   2 Скачано раз).

Поискал в интернете в чем может быть проблема, там говорилось про локальную политику безопасности. Но при её запуске выходит окно с ошибкой скриншот.

 Безымянный 1.JPG   278,72К   9 Скачано раз

настройки

 Безымянный 2.JPG   248,08К   3 Скачано раз

Ветка в реестре неполная скриншот.

 Безымянный 3.JPG   103,18К   7 Скачано раз

при попытке изменения ошибка.

Зашел к вам, создал необходимые логи, при запуске HJ выходить сообщение скриншот.
 Безымянный.JPG   311,05К   12 Скачано раз

Процессы Opera.exe так и размножаются, только они. Прилагаю самый полный набор логов. Прихватил и логи последней проверки Доктором Вебом и AVZ. В логах AVZ есть файлы карантина (10 мая 2012г), перед удаление вирусов и ветвей реестра. И после (12 мая 2012г).

Помогите если можете!

Прикрепленные файлы:

•  test.zip   384,03К   0 Скачано раз
•  GZ-6314EAD3D42A_Сергей Ткаченко_120512_121602.zip   6,45Мб   3 Скачано раз
•  avz.zip   510,09К   4 Скачано раз
•  drweb32w.zip   167,33К   3 Скачано раз
•  hijackthis.zip   6,01К   5 Скачано раз
•  Report.zip   7,35К   4 Скачано раз
•  test.zip   384,03К   3 Скачано раз

Сообщение было изменено Woop: 12 Май 2012 - 09:34

[Dr.Robot]

Если Вы подозреваете у себя на компьютере вирусную активность и хотите обратиться в раздел "Помощь по лечению", Вам необходимо кроме описания проблемы приложить к письму логи работы 3 программ - сканера Drweb (или Cureit), Hijackthis и RkU. Где найти эти программы и как сделать логи, описано ниже. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
Инструкция

[mrbelyash]

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

[Woop]

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

Кхм, вы не могли бы ответить попроще, или сказать что именно нужно сделать?

[mrbelyash]

В HJ выделить эту строчку и нажать Fix checked
После повторить лог HJ

[Ko6Ra]

Окно с иероглифами сейчас появляется?
Если да, то запустить вот это http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe

[Woop]

В HJ выделить эту строчку и нажать Fix checked
После повторить лог HJ

Это строчка должна убраться? Она не убралась, вот логи:

Прикрепленные файлы:

•  hijackthis.log   15,76К   8 Скачано раз

[Woop]

Окно с иероглифами сейчас появляется?
Если да, то запустить вот это http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe

Скачал, запустил, перезагрузил. Сбросилось картинка раб. стола Иероглифы пропали. Повторил лог HJ. Строчка так и есть. Про размножение понаблюдаю. И в старых логах HJ.

C:\Program Files\Opera\opera.exe
C:\Program Files\Opera\Opera.exe

Как может один и тот же файл запускаться, только один с заглавной буквы? И появилась папка в моем компьютере, называется Web Folders, группа "другие".

 Безымянный 5.JPG   44,66К   1 Скачано раз

Прикрепленные файлы:

•  hijackthis.log   21,02К   5 Скачано раз

Сообщение было изменено Woop: 12 Май 2012 - 16:58

[Woop]

И как восстановить реестр? Предложенный способ не может быть принят, http://support.microsoft.com/kb/870910. Так как ветвь кончается на Microsoft, и не удаляется.

[Woop]

5. запускаем Regedit и чистим от следов трояна. В ветка HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon парметр userinit должен содержать только строку c:\windows\system32\userinit.exe
http://www.ancher.ru/content/26-05-2009/sdra64exe-kak-udalit-troian
sdra64.exe - по классификации DrWeb Trojan.PWS.Panda.114
Курейт его не видит..

Не исправляет, блочится. Скриншот  Скрин.JPG   182,12К   0 Скачано раз
Можно ли загрузиться с LiveUSB Доктора? И исправить это вмешательство?

[mrbelyash]

RKU
GMER
Xuetr

Убить файл, процесс,потом исправить реестр

Да и SP2 уже не актуально

[userr]

Да и SP2 уже не актуально

это слишком мягко сказано...

Woop,
----------
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
--------------
на такой заплесневелой древности любые сюрпризы могут быть
как сделать лог gmer см http://wiki.drweb.com/index.php/HijackThis
c:\windows\gdrv.sys -- такой файл есть? можете его скопировать в другое место и проверить на http://www.virustotal.com/ ?

[Woop]

RKU
GMER
Xuetr

Убить файл, процесс,потом исправить реестр

Да и SP2 уже не актуально

Файл сам уже на ноликах, и его папка. Но реестр не меняется, завтра загружусь с USB.

Сообщение было изменено Woop: 12 Май 2012 - 21:37

[mrbelyash]

В гмере не можете изменить ключ реестра?
удаленный доступ дадите?

[Woop]

Сделал лог Gmer'om, есть странные вещи.

Прикрепленные файлы:

•  Gmer.log   61,35К   6 Скачано раз

[Woop]

В Гмере открылась ветвь локалных политик

Прикрепленные файлы:

•  reg.JPG   99К   6 Скачано раз

[lazarevee]

http://systemexplorer.net/download.php - интересная программа для проверки безопасности

[lazarevee]

SystemRoot\System32\Drivers\a1s8fviu.SYS - проверьте этот файл на вирустотале.

[Woop]

SystemRoot\System32\Drivers\a1s8fviu.SYS - проверьте этот файл на вирустотале.

Такого файла у меня не существует, проверил, если нужно вот результаты: http://systemexplorer.net/scanresults.php?sid=EfGniC32bbp

Сообщение было изменено Woop: 13 Май 2012 - 20:00

[Woop]

Проверил, чисто. В процессах это размножающая опера запускается с ключом. Раньше было сразу ответвеление от процесса SYSTEM и ветвь этих размножившихся процессов, думаю после восстановления политик уйдет. Подробно скриншоты:

 Opera 1.JPG   190,7К   8 Скачано раз

Слева сведения размножившегося, справа запущеного мной.

 Opera 2.JPG   82,13К   9 Скачано раз