Не могу определить вирус... да и вирус ли это?

Vodnik · 21.12.2011, 02:23

Здравствуйте!
Кратко описать не получится, очень много проявлений.

Исчезли обои рабочего стола.
Браузер Chrome при запуске сообщает, что "Вы запустили браузер с неподдерживаемой опцией командной строки -no--sandbox. Безопасность и быстродействие могут быть снижены."
Браузер MSIE иногда после клика по ссылке:
- просто закрываются все окна MSIE;
- вдруг тормозит с загрузкой;
- ничего не происходит (хотя ссылки хорошо знакомые, 1000 раз проверенные);
- перезагружает страницу с сообщением типа: "Страница была восстановлена, потому что сервер потребовал перезагрузку" (обычно при запросе пароля на веб-странице).
Некоторые проверенные странички (напр., www.ya.ru) иногда отображаются с ошибками.
Многие инсталляционные программы сообщают об ошибке и закрываются.
После подключения к корпоративной сети :
- слетели права администратора;
- пропал доступ к Microsoft Exchange.
Штатный антивирус - Trend Micro OfficeScan, ничего не находит. Сделал загружаемую флешку с Касперским - нашёл и убил несколькюо вирусов во временных файлах интернета и в кэше Явы, больше нигде. Проверил ещё и Dr. Web CureIt - ничего.

Корпоративные сисадмины пытались восстановить мне доступ к Exchange, вернуть права - но при попытке добавить меня в группу администраторов возникает ошибка, кажется, связанная с доступом к домену (хотя на домене я успешно регистрируюсь). Сдались, приговор: переинсталляция системы.

Прогнал AVZ (антивирус отключить не могу, сорри - защищён паролем), логи здесь:
http://vodnik.narod.ru/temp/avz.rar

Посоветуйте, что делать?

Vvvyg · 21.12.2011, 02:27

Vodnik, есть вирус, ждите скрипт.

Angel-iz-Ada · 21.12.2011, 02:27

Сделайте лог uVS

Vvvyg · 21.12.2011, 02:32

Vodnik, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":

Код:

begin
SearchRootkit(true, true);
 DeleteService('mkdrv');
 DeleteFile('C:\WINDOWS\kkhyu.sys');
 DeleteFile('c:\windows\apppatch\kgwgwk.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

Vodnik · 21.12.2011, 12:00

Цитата:

Сообщение от Vvvyg

Vodnik, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":

Код:

begin
SearchRootkit(true, true);
 DeleteService('mkdrv');
 DeleteFile('C:\WINDOWS\kkhyu.sys');
 DeleteFile('c:\windows\apppatch\kgwgwk.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

Спасибо, выполнил, лог здесь: http://www.vodnik.narod.ru/temp/virusinfo_syscheck.zip
Результат пока не ясен, тестирую.

Vvvyg · 21.12.2011, 12:07

Vodnik, Вирусов уже нет, надо реестр от хвостов почистить. Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('c:\windows\apppatch\kgwgwk.exe');
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
RebootWindows(False);
end.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

// Загружает актуальную версию следующего скрипта и выполняет его:

{  Скрипт AVZ для обнаружения наиболее часто используемых уязвимостей. Версия 1.37
		Автор: Андрей Кондауров, участник форума defendium.info (AndreyKa)
	Скрипт может свободно распространяться, при условии сохранения данного комментария
		Постоянный адрес скрипта: http://dataforce.ru/~kad/ScanVuln.txt}
begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player. Если уязвимостей не будет найдено, то AVZ просто закроется.

Vodnik · 21.12.2011, 13:40

Цитата:

Сообщение от Vvvyg

Vodnik, Вирусов уже нет, надо реестр от хвостов почистить.

Уважаемый Vvvyg! Вы мне очень помогли!

Уже после выполнения первого скрипта заработал доступ к Exchange и сисадмин смог вернуть мне админские права!

После второго установились обновления Windows.

Третий нашёл уязвимости (см. ниже). Сейчас буду устранять. Подскажите, как называется зараза, которую я подцепил и что она делает?

Поиск критических уязвимостей
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Уязвимости в Adobe Flash Player для Internet Explorer
http://fpdownload.macromedia.com/pub/flashplayer/current/licensing/win/install_flash_player_11_active_x_32bit.exe

Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://fpdownload.macromedia.com/pub/flashplayer/current/licensing/win/install_flash_player_11_plugin_32bit.exe

Установите Adobe Reader X (10.1) или удалите старый.
http://get.adobe.com/reader/otherversions

Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual.jsp

Обнаружено уязвимостей: 4

Vvvyg · 21.12.2011, 15:04

Цитата:

Сообщение от Vodnik

Подскажите, как называется зараза, которую я подцепил и что она делает?

Их две было. Который в драйвере - Trojan-Banker.Win32.Qhost.mrj, описания нет, но по названию можно понять, что делает. Который в .exe-файле - даже и не знаю точно, по virustotal сведений нет.

21.12.2011, 02:23	#1 (ссылка)
Vodnik Новичок Регистрация: 21.12.2011 Сообщений: 12 Репутация: 0	Не могу определить вирус... да и вирус ли это? Здравствуйте! Кратко описать не получится, очень много проявлений. Исчезли обои рабочего стола. Браузер Chrome при запуске сообщает, что "Вы запустили браузер с неподдерживаемой опцией командной строки -no--sandbox. Безопасность и быстродействие могут быть снижены." Браузер MSIE иногда после клика по ссылке: - просто закрываются все окна MSIE; - вдруг тормозит с загрузкой; - ничего не происходит (хотя ссылки хорошо знакомые, 1000 раз проверенные); - перезагружает страницу с сообщением типа: "Страница была восстановлена, потому что сервер потребовал перезагрузку" (обычно при запросе пароля на веб-странице). Некоторые проверенные странички (напр., www.ya.ru) иногда отображаются с ошибками. Многие инсталляционные программы сообщают об ошибке и закрываются. После подключения к корпоративной сети : - слетели права администратора; - пропал доступ к Microsoft Exchange. Штатный антивирус - Trend Micro OfficeScan, ничего не находит. Сделал загружаемую флешку с Касперским - нашёл и убил несколькюо вирусов во временных файлах интернета и в кэше Явы, больше нигде. Проверил ещё и Dr. Web CureIt - ничего. Корпоративные сисадмины пытались восстановить мне доступ к Exchange, вернуть права - но при попытке добавить меня в группу администраторов возникает ошибка, кажется, связанная с доступом к домену (хотя на домене я успешно регистрируюсь). Сдались, приговор: переинсталляция системы. Прогнал AVZ (антивирус отключить не могу, сорри - защищён паролем), логи здесь: http://vodnik.narod.ru/temp/avz.rar Посоветуйте, что делать?

21.12.2011, 02:32	#4 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Vodnik, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить": Код: begin SearchRootkit(true, true); DeleteService('mkdrv'); DeleteFile('C:\WINDOWS\kkhyu.sys'); DeleteFile('c:\windows\apppatch\kgwgwk.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(8); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится! Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите определить проблему, может вирус	CeBePIII	Безопасность	18	09.07.2011 01:52
Помогите определить вирус. Авто открытие сайта в браузерах.	Elected	Безопасность	20	28.03.2011 15:23
Помогите определить и вылечить вирус.	Vayleant	Безопасность	15	22.03.2011 23:34
не могу удалить вирус	laxirous	Безопасность	0	02.03.2010 13:22
Не могу удалить вирус	Максим Алексеенко	Безопасность	11	24.09.2009 16:28

21.12.2011, 02:27	#2 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Vodnik, есть вирус, ждите скрипт.

21.12.2011, 02:27	#3 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Сделайте лог uVS

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads