15 ответов в этой теме

[userr09]

Здравствуйте.

Предыстория - Win7 x86, KIS2013, скачали и запустили какой-то exe-самораспаковщик с якобы нужной книгой, он что-то рапаковал, KIS заверещал и написал "борьба с активным заражением". Какое-то время он что-то пытался удалить, параллельно установился и запустился какой-то китайский USBrowser с иероглифами.

Каспер предложил перезагрузиться, после загрузки ничего не изменилось - левый браузер на месте, все яростно тормозит, каспер не может начать проверку.

Благо второй системой стоит Win_XP, загрузился в нее, скачал CureIt! и запустил оттуда проверку. Нашло много всего. Загружаюсь в Win7 - вроде все ок. Браузера нет, тормозов нет. Правда стало появляться окно с ошибкой файла подкачки:

 

 

Проверил каспером полной проверкой, все ок, угроз нет. После пары перезагрузок система вдруг стала очень долго загружаться - перед окном приветствия минут по мять черного экрана с курсором.

Опять из под Win_XP той же утилитой проверяю - находит два дубля одного файла AdAntiHS.exe в разных местах:

 

K:\Users\user\AppData\Roaming\AdAnti
K:\Documents and Settings\user\AppData\Roaming\AdAnti

 

Удаляет, захожу в семерку нормально, вроде все хорошо, но через одну-две минуты на тех же самых местах появляются те же самые файлы (это я уже опытным путем выяснил).

Скачиваю Live-CD с Вэбом, гружусь с него и полночи тотальной проверки. Вроде что-то нашел, много левого (типа кейгенам к старым прогам, которые лежат у меня уже лет пять).

Гружу Win7 и все опять по кругу. Каспер в упор не видит эти AdAnti.

Снес каспера поставил Аваст, опять полная проверка перед загрузкой на всю ночь, тоже что-то находит, но загружаемся и через две минуты файлы на месте:

 

 

 

Убираю Аваст, ставлю ДрВэб с триалом на три месяца. Также проверка тотальная на ночь, но по окончании я увидел темный экран с курсором, перезагрузка резетом. В логе всего три записи - два Adantihs и один почищенный файл host. Хост был дописан мною также лет пять назад (там добавлены серверы проверки лицензий ФШ и т.п.). Он не при делах был. Т.к. и с чистым хостом все точно так же - после перезагрузки файлы восстанавливаются.

 

С Вэбом дальше так, после тотальной проверки и и загрузки он выдал такое предупреждение:

 

 

Ок, создали правило. Теперь такое больше не вылезает. Но продолжается следующее - перезагружаемся, проходит пара минут, доктор обнаруживает заразу и предлагает лечить с перезагрузкой:

 

 

 

И так по кругу - загружаемся, находит adantish, удаляет, перезагружаемся и опять по кругу.

 

Логи в аттаче. А лог DrWeb SysInfo не поместился (вес больше 10), поэтому тут - http://dropmefiles.com/NSK3U

 

Люди добрые, помогите, чем можете! ) Был бы очень признателен.

Прикрепленные файлы:

•  events.rar   421байт   0 Скачано раз
•  hijackthis.log   9,01К   5 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Dmitry_rus]

Проверяйте программы, которые недавно устанавливали. Удалите AdAntiHS.exe из автозагрузки (msconfig).

[userr09]

Все, что ставилось недавно, удалено сразу было. Из автозагрузки его удаляет Доктор. Но после перезагрузки там все вновь появляется.

[Dmitry_rus]

Следовательно, у вас что-то работает "на горячую". Список процессов - в студию. Если есть одноименный процесс - убить его в дисп. задач. Рестартует? Проверить планировщик заданий.

Сообщение было изменено Dmitry_rus: 04 Октябрь 2016 - 19:32

[userr09]

Забыл добавить - в msconfig лишнего не было никогда. Он из других мест грузится. В планировщике вроде левого нет.

Доктор находит (щас уже минут 15 после загрузки), пишет "Обезвредить с перезагрузкой", но после перезагрузки все вновь на своих местах -

K:\Users\user\AppData\Roaming\AdAnti
K:\Documents and Settings\user\AppData\Roaming\AdAnti

 

 

Список процессов (не знаю, как лог сделать). В них чего-то явно левого не наблюдаю.

 

Сообщение было изменено userr09: 04 Октябрь 2016 - 20:40

[Dmitry_rus]

Проверьте ЛС.

[VVS]

Лог авторанса (https://technet.microsoft.com/ru-ru/sysinternals/bb963902) с включенной проверкой подписей и проверкой на вирустотале.

[userr09]

Лог в архиве. Правильно я там кнопки нажал?

 

 S.rar   53,59К   3 Скачано раз

 

Проверил AVZ, написало угроз 0, подозрений 1. Подозрение как раз по искомому файлу. Но только лишь подозрение:

 

 

 

А в это время ДокторВэб крутит все ту же шарманку:

 

[VVS]

Лог в архиве. Правильно я там кнопки нажал?

Завтра посмотрю.

Сообщение было изменено VVS: 04 Октябрь 2016 - 22:48

[provayder]

Лог в архиве. Правильно я там кнопки нажал?

 

S.rar

 

Проверил AVZ, написало угроз 0, подозрений 1. Подозрение как раз по искомому файлу. Но только лишь подозрение:

 

 

 

А в это время ДокторВэб крутит все ту же шарманку:

 

прицеп битый получился. Пере соберите пожалуйста лог авторанса и прикрепите еще раз к сообщению

[Dmitry_rus]

http://www.freedrweb.com/livedisk/

Сделать CD/DVD/USB-диск, загрузиться с него, просканировать систему.

[userr09]

Dmitry_rus,

 

Скачиваю Live-CD с Вэбом, гружусь с него и полночи тотальной проверки.

 

 

provayder, вот в зипе, без сжатия:

 

 S.zip   6,41Мб   9 Скачано раз

[Dmitry_rus]

Как вариант: загрузить вашу XP, запустить редактор реестра, подгрузить в него кусты реестра w7, исследовать их на предмет adantihs. Почему именно так? Потому что руткит может скрывать свое присутствие в системе, в т.ч. и в реестре.

http://accross.su/blog/view/52

Кстати, видел в списке процессов srvany. Это утилита, дающая возможность запускать программы, как сервисы (службы). Ее применение вызвано какой-то необходимостью? Проверьте на всякий случай список служб, в т.ч. в подключенном реестре (см. выше).

[userr09]

Во, щас пропало и с системного диска и из реестра. Уже несколько раз перезагрузился. Все чисто.

 

Что перед этим было.

Параллельно на вирусинфо в такой же теме сидел. После отправки логов hijackthis (и virusinfo_syscure, virusinfo_syscheck через AVZ), мне предложили выполнить такой скрипт через тот же AVZ:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 StopService('RTDKDXAZ');
 QuarantineFileF('K:\Users\user\AppData\Roaming\AdAnti', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*', true, '', 0 , 0);
 QuarantineFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '');
 QuarantineFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '');
 DeleteFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '32');
 DeleteFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '32');
 DeleteService('RTDKDXAZ');
 DeleteFileMask('k:\users\user\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('K:\Users\user\AppData\Roaming\AdAnti', '*', true);
 DeleteDirectory('k:\users\user\appdata\local\hostinstaller');
 DeleteDirectory('K:\Users\user\AppData\Roaming\AdAnti');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполнив его, комп перезагрузился. Пока готовил отправку папки с карантином, Др.Вэб снова показал окно об обезвреживании угроз с перезагрузкой. Отправив карантин, перезагрузился.

Зашел в реестр и снес две ветки с упоминанием AdAntiHS (они всегда в одном месте появлялись). Проверил системный диск поиском - нашлось лишь две пустых папки из-под AdAntiHS. Удалил и их. Перезагрузился. Еще раз проверил - все, нет ни AdAntiHS, ни его папок. В реестре тоже стало чисто.

Несколько раз перезагрузился, пока все по прежнему - больше AdAntiHS не появляется ни в системном разделе, ни в реестре.

Буду смотреть дальше.

Сообщение было изменено userr09: 05 Октябрь 2016 - 03:32

[Dmitry_rus]

Проблема ТС решена, тема закрыта.