15 ответов в этой теме

[shebazoid]

такая же беда, но со своими особенностями.
проблема проявилась в районе 17-25 ноября.
в офисе сразу три компьютера начинают показывать порнобаннер, состоящий из трех забавных картинок.

в остальном на компьютерах все по-разному, мне интересно разобраться с самым запущенным случаем.

проблема возникла, когда попросили вылечить от обычного серого смс-окошка (обычный Winlock) Запустил Касперского. Обновил базы.
Для полной уверенности решил все дополнительно перепроверить Curelt'ом. С него все и началось - стало вылетать порноокно.
Отключился интернета, но поздно.
интернет не работает.
командная строка отключена.
восстановление системы отключено.
диспетчер задач отключен.
реестр недоступен.
безопасный режим не загружается.
в свойствах папки стоят флажки на скрытии файлов и папок, защищенных файлов. снять эти флажки невозможно.
Hijack не запускается.
ATF-Cleaner не запускается.
SDFix не запускается.
AVZ не запускается.
Windows Commander, TotalCommander, FAR не запускаются
при запуске ComboFix вылезает баннер. сама программа не загружается.
при запуске Curelt! вылезает баннер. сама программа не загружается.
зашел через LiveCD, прогнал Curelt'ом. Нашелся руткит-троянец BackDoor.Tdss.565, который заразил файл atapi.sys. Пришлось удалить его, и через ЛивСД скопировать с чистого компьютера (т.к. без atapi.sys Виндоус не грузится).

да, еще закономерность))
предположим, вылетает порноокошко. Вставляю любую флешку- порноокошко пропадает. Пробую открыть Curelt!-появляется порнобаннер. вынимаю флешку - порнобаннер пропадает.

Завел нового пользователя. Пробовал зайти через него. Порноокошко само не появляется, пока не пробую запустить антивирус.
Касперский-Интернет-Секьюрити 7 все время работает, но ничего не находит.
Иногда Касперский отмечает файлы, которые просятся в rundll32.exe
среди них- HHkZD.dll, MSCTF.dll, BwVwC.dll, qdgzy.dll, ws2_32.dll которые, как утверждает Касперский, сидят в с:/windows/system32
Однако их не вижу, вероятно они скрытые.
да, кстати, поиск тоже не работает..

Скажите, с чего начать хотя бы?
p.s.: единственное что запустилось- это Gmer. единственный лог, который удалось сделать.

Прикрепленные файлы:

•  gmer.log   172,67К   122 Скачано раз

Сообщение было изменено shebazoid: 07 Декабрь 2009 - 14:51

[v.martyanov]

Ну выцепить GMERом подозрительные файлы и отправить на анализ.

[fflc]

Иногда Касперский отмечает файлы, которые просятся в rundll32.exe
среди них- HHkZD.dll, MSCTF.dll, BwVwC.dll, qdgzy.dll, ws2_32.dll которые, как утверждает Касперский, сидят в с:/windows/system32
Однако их не вижу, вероятно они скрытые.
да, кстати, поиск тоже не работает..

Не рекомендую выполнять "советы" от fflc , система может и сдохнуть.

[YVS]

Hijack не запускается.
ATF-Cleaner не запускается.
SDFix не запускается.
AVZ не запускается.

Чем-то мотивируют?

[shebazoid]

YVS, ничем не мотивируют.
Просто при запуске программы ничего не происходит. Не открывается файл - не вылетает никаких окошек- вообще ничего.

v.martyanov
Заранее извините за глупый вопрос..) После составления логов GMERом каким образом цепляются подозрительные файлы? Это визуально заметно как-нибудь, или я сам должен это определять?

Сообщение было изменено shebazoid: 30 Ноябрь 2009 - 16:07

[YVS]

ничем не мотивируют.
Просто при запуске программы ничего не происходит. Не открывается файл.

А если переименовать?

[shebazoid]

после переименования тоже ничего не происходит.
да, кстати- ПринтСкрин тоже не работает... более того- Пэинт не открывается.

перезагрузил компьютер.
полезли ошибки:

1.Ошибка файла wscntfy.exe. Инструкция по адресу "0х007ae002" обратилась к памяти по адресу "0х060а0400". память не может быть "read".
2.Ошибка файла rundll32.exe. Приложение или библиотека c://windows/system32/HHkZD.dll не является образом программы для Windows NT. проверьте наличие установочного диска.
3.Ошибка файла rundll32.exe. Приложение или библиотека c://windows/system32/uxcheme.dll не является образом программы для Windows NT. проверьте наличие установочного диска.
4.Ошибка файла rundll32.exe. Приложение или библиотека c://windows/system32/MSCTF.dll не является образом программы для Windows NT. проверьте наличие установочного диска.

Одновременно с этим КИС 7 выдает окошки:
1. Попытка загрузки нового или измененного модуля msimg32.dll в c://windows/system32/wuauclt.exe
2. Попытка загрузки нового или измененного модуля cumIG.dll в c://windows/system32/rundll32.exe
3. Попытка загрузки нового или измененного модуля YYdhe.dll в c://windows/system32/rundll32.exe
4. Попытка загрузки нового или измененного модуля SajGg.dll в c://windows/system32/rundll32.exe
5. Попытка загрузки нового или измененного модуля guBpG.dll в c://windows/system32/rundll32.exe
6. Попытка загрузки нового или измененного модуля netcfgx.dll в c://windows/system32/rundll32.exe
Дальше названия файлов не меняются, но ошибки возникают постоянно.
Попробовал отключить Касперского- ошибки пропали, появилось уже привычное порноокошко.


может, попробовать через ЛивСД найти эти файлы и через скрипт Антивирусом Зайцева почистить? Попробую.

[mrbelyash]

v.martyanov
Заранее извините за глупый вопрос..) После составления логов GMERом каким образом цепляются подозрительные файлы? Это визуально заметно как-нибудь, или я сам должен это определять?

Если Вы про то как найти эти файлы,то
http://wiki.drweb.com/index.php/Скрытые_процессы

[shebazoid]

Если Вы про то как найти эти файлы,то
http://wiki.drweb.com/index.php/Скрытые_процессы

спасибо за ссылку, познавательно, раньше об этом не знал.

но сегодня уже не могу зайти в Gmer(
сейчас пишу ливсд.

продолжение следует)

[userr]

shebazoid

сейчас пишу ливсд.

ну так отлично, из-под livecd ещё проще достать любые файлы с диска

[Borka]

kvad
Тема разделена: http://forum.drweb.com/index.php?showtopic=285886

[VSESLAV]

СМС М20920007 НА НОМЕР 3649(РОСИЯ) ИЛИ 4171(УКРАИНА) СМС СТОИТ 30 ГРН. БАНЕР ПРОПИСЫВАЕТСЯ ПОД ВСЕ ИСПОЛНЯЕМЫЕ ФАЙЛЫ, ЧТО НЕ ДАЕЬ ВОЗМОЖНОСТИ ЗАПУСТИТЬ АНТИВИРУС
ТАБЛЕТКА: ОТВЕТНЫЙ КОД КОТОРЫЙ НАДО ВЕСТИ 486686664 ИЛИ 487786665, ПРОБОВАЛ 486686664 НА УКРАИНУ, ПОСЛЕ ПЕРЕЗАГРУЗКИ БАНЕР СМЫЛСЯ

[mrbelyash]

СМС М20920007 НА НОМЕР 3649(РОСИЯ) ИЛИ 4171(УКРАИНА) СМС СТОИТ 30 ГРН. БАНЕР ПРОПИСЫВАЕТСЯ ПОД ВСЕ ИСПОЛНЯЕМЫЕ ФАЙЛЫ, ЧТО НЕ ДАЕЬ ВОЗМОЖНОСТИ ЗАПУСТИТЬ АНТИВИРУС
ТАБЛЕТКА: ОТВЕТНЫЙ КОД КОТОРЫЙ НАДО ВЕСТИ 486686664 ИЛИ 487786665, ПРОБОВАЛ 486686664 НА УКРАИНУ, ПОСЛЕ ПЕРЕЗАГРУЗКИ БАНЕР СМЫЛСЯ

Мы не договариваемся с террористами

[shebazoid]

из-под ливсд вычистил Temp (там сидели dll-овские файлы типа BYegy.dll, DgGLd.dll, YYdhe.dll, EsxzT.dll и т.д.)

заменил системные файлы, которые выводили ошибки (ws2_32.dll, MSCTF.dll, uxtheme.dll, hotplug.dll) на аналогичные файлы из папки i386. Удалил скрытый файл HHkZD.dll) . Измененные файлы сохранил в архив (delfiles.zip) вместе со скрытым HHkZD.dll.
Перезагрузил компьютер- Касперский продолжил указывать на ошибки, связанные с обращением к файлу rundll32.exe
заменил и его из той же папки.

После проделанных манипуляций я смог запускать AVZ, hijack, gmer, atf-cleaner.

1. Сделал лог hijack'ом. (hijacklog1.txt)

2. Проверил AVZ'ом. ( указал на блокировки:
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\HHkZD.dll"
>>> Обратите внимание - заблокирован диспетчер задач
>>> Обратите внимание - заблокирован редактор реестра
>> Блокировка редактора реестра
>> Блокировка диспетчера задач
>> Заблокированы настройки системы System Restore)
Записал лог avz_log.txt. AVZ поместил файлы в карантин (avzvirus.zip)

3. Запустил ATF-cleaner. какие-то файлы из Temp'а и корзины удалил.

4. Запустил ComboFix. Он что-то докачивал с сайта микрософта, что-то фиксил. Сделал лог. (combofixlog.txt)
Перезагрузился. Разблокировался regedit, диспетчер задач, стало можно просматривать службы. Практически все нормально.

НО.

при открытии Cureit! экран начинает отображаться в 16цветовой палитре, размером 640х480. При начале проверки выскакивает ошибка:

The procedure entry point SMapLS_IP_EBP_12 could not be located in the dynamic link library KERNEL32.dll

При нажатии ОК вылетаю из программы, но выпрыгиваю сразу в 32битную цветовую гамму и 1280х1024 разрешение экрана.
Второй момент- не могу выйти в интернет. Несмотря на то, что раздача ipшников в офисе динамическая (и, соответственно, стоит автоматическое получение ip и DNS на компьютере, ipconfig показывает, что
ip-адрес 192.168.1.2
маска 255.255.255.0
шлюз 192.168.1.1

Сделал hijack'ом еще один лог (hijacklog2.txt)



Как мне заставить нормально запускать ДокторВеб и интернет?) никто не сталкивался с чем-то подобным?

Прикрепленные файлы:

•  hijacklog1.txt   8,11К   72 Скачано раз
•  avz_log.txt   13,5К   129 Скачано раз
•  combofixlog.txt   18,06К   97 Скачано раз
•  hijacklog2.txt   7,18К   49 Скачано раз

Сообщение было изменено userr: 03 Декабрь 2009 - 13:52
нельзя постить (возможные) вирусы! Замечание.

[mrbelyash]

Смотрю по диагонали..если что поправляйте.

O20 - AppInit_DLLs: C:\WINDOWS\system32\HHkZD.dll -что это?проверяли на вирустотал?
,-------------------
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe
В корзине Гмером можно поискать такую папку,файл?
------------
Это все уже в вирлабе доктора?
Файл успешно помещен в карантин (C:\WINDOWS\system32\GDI32.dll)
Файл успешно помещен в карантин (C:\WINDOWS\system32\DLAAPI_W.DLL)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLACResW.dll)
Файл успешно помещен в карантин (C:\WINDOWS\system32\VxBlock.dll)
Файл успешно помещен в карантин (C:\WINDOWS\system32\hccutils.DLL)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLABOIOM.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLADResN.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLAIFS_M.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLAOPIOM.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLAPoolM.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLAUDF_M.SYS)
Файл успешно помещен в карантин (C:\WINDOWS\System32\DLA\DLAUDFAM.SYS)
тикеты
---------------
Лог Gmer.Rku.CureIT
------------------------------
C:\WINDOWS\SYSTEM32\kernel32.dll -легальный ? можете его проверить?(в помощи по лечении есть утилита)...
------------------
Какие из современных игр есть на машине?
-----------
когда курилку качали?

Сообщение было изменено mrbelyash: 03 Декабрь 2009 - 14:32

[shebazoid]

mrbelyash
Файл O20 - AppInit_DLLs: C:\WINDOWS\system32\HHkZD.dll определяется Касперским 2010 как Trojan.Win32.Agent2.clyq, онлайн-DrWeb'ом как Trojan.Siggen.451
этот файл удален.
-------------------

Это все уже в вирлабе доктора?

ээм.. не могу ответить.. все помещено программой AVZ в AVZ-карантин.. Это нужно переслать в вирусную лабораторию Доктора Веба, я правильно понял?
-------------------
сделаю лог Gmer'ом и RKU
-------------------
Cureit! от 30.11.2009, сейчас новый скачиваю.
-------------------
C:\WINDOWS\SYSTEM32\kernel32.dll проверю
-------------------
компьютер чужой, какие игры установлены внимание не обращал, но они точно есть.