Jump to content

Помогите одолеть вирус


Recommended Posts

Вирус проявляется как процесс cmd.exe. Тормозит брандмауэр, открывает доступ к удаленному рабочему столу, роняет консоль mmc.

Nod его не видит. Попытки закрыть доступ к cmd.exe либо переименовать его ни к чему не приводят. Такое чувство, что запускается по расписанию, но в планировщике его нет.

Время от времени появляются такие процессы, как net1.exe и wscript.exe.

Переустановкой системы с форматом системного диска НЕ ЛЕЧЕТСЯ.

Жажду помощи знающих...

Link to comment
Share on other sites

выкинь нод, выкинь сразу установочный диск.

 

nod32 в последнее время вообще стал отстойным антивирусом, выкинул егог полтора года назад - и забыл про вирусы... Ну и UVS поюзай - помогает однако. И Comodo поставь - тогда сразу увидишь, что за процессы полезли в сеть без твоего разрешения.

Link to comment
Share on other sites

Если диск отформатировали полностью - значит проблема либо не в вирусе, либо в дистрибутиве. Можно попробовать с другого установочника с форматированием всего диска.
Link to comment
Share on other sites

возможно вирус сидит на других логических (физических) дисках в системных каталогах, например в корзине или в "System Volume Information". Их тоже можно поудалять перед установкой чистой винды. Ну, и диск установочный конечно поменять. Очень желательно использовать НЕ сборки (куда натыкано уже много стороннего софта), а поставить чистую ОС, потом обновиться и поставить антивирус. у меня стоит comodo - фриварный, проблем нет уже около года, до этого был платный каспер - большой разницы в качестве работы не заметил. после установки проверить свои пользовательские данные на наличие вирусов.
Link to comment
Share on other sites

Прикольная система.

 

в AVZ - файл - выполнить скрипт, туда скопировать строки же, нажать выполнить.

скрипт будет отрабатываться, после чего комп перезагрузится.

скрипт может отрабатываться до 10мин, это нормально.

 

после перезагрузки опять файл - сканирование системы.

 

непосредственно вирус (можно самостоятельно потом будет глянуть в логе эту строчку)

C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys

учитывая что он работает на уровне ядра системы поэтому не удивительно

1. его не видят антивирусы

2. он их блокирует

3. не видно файлов вируса

4. не видно в заданиях самих заданий.

удачи.

 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys');
 BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys');
 DeleteFile('C:\WINDOWS\System32\f.exe');
 BC_DeleteFile('C:\WINDOWS\System32\f.exe');
 DeleteFile('C:\WINDOWS\System32\g.exe');
 BC_DeleteFile('C:\WINDOWS\System32\g.exe');
 DeleteFile('C:\WINDOWS\System32\h.exe');
 BC_DeleteFile('C:\WINDOWS\System32\h.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

PS: в следующие сканирования системы просьба выполнять с минимальным количеством запущенных приложений.

Link to comment
Share on other sites

Сделал. Ожил NOD, вспомнил, что должен вирусы ловить. Avz обнаружил (НАКОНЕЦ-ТО) 5 отладчиков системного процесса. Пока все работает, правда вирус пожрал мне NETFramework...

В прикреплении два исследования системы.

Безопасный режим.htm

Нормальный режим.htm

Link to comment
Share on other sites

Подождал, посмотрел. Опять старая картина. Куча процессов cmd и net1. Опять открыт доступ к удаленному рабочему столу. Делаю исследование системы (файл в приложении, специально делал его не удаляя процессы), того файла в ядре нет. Значит, запускает что-то другое...

ЗЫ Может уже легче винду снести?

avz_sysinfo.htm

Link to comment
Share on other sites

странно что находят вирусы в папках темп. Первым делом что делаю с компом - запускаюсь с системного CD и сношу все в темповых и кэшевских папках. И на 75% сразу исчезают вирусы. Попробуй все же uvs - он находит в реестре левые записи.
Link to comment
Share on other sites

Подождал, посмотрел. Опять старая картина.

 

как долго ждать? перегружался?

по логу сейчас ничего подозрительного нет.

учитывая настройку системы, может установленные программы делают изменения системы под себя?

Link to comment
Share on other sites

Ситуация следующая. Все сносим, ставим стерильную систему. Сразу же в gpedit вырубаем автозагрузку со всех носителей от греха подальше, отрубаем выполнение любых командных сценариев, отрубаем доступ к выполнению wscript, вырубаем удаленный рабочий стол. Разворачиваем необходимые проги. Врубаем обе сетевые карты. Врубаем ноду фаервол и общий доступ в интернет. Ждем. Последний раз ждал полтора дня. После чего в реестре (вот бы как-нибудь запретить вносить изменения в реестр) появляются три одинаковых ключа (один в HK_CU, второй HK_U, третий в в HKLM в автозагрузке) с названием shell. В них прописан командный сценарий на отключений sharedaccess через net1 и логина на какой-то левый сайт. После чего на диске С появляется файл 1.vbs и 1.bat, в котором прописано исполнение первого через wscript. Его нод определяет как вирус, но только если ткнуть в него пальцем, если делаем сканирование он его пропускает. AVZ отладчики системного процесса не находит, вирус не видит, и вообще считает, что система чистая и максимально защищена. В модуле ядра ничего левого нет. Теоретически, я понимаю, что что-то должно всю эту цепочку запускать, но абсолютно не понятно что.

Может, есть смысл сразу же после установки системы создавать учетку гостя и работать под ней, а в админа заходить только по крайней нужде?

Из программ подняты:

SQLServer, на котором крутиться база системы электронного документооборота

Сама система документооборота

Нод

lanwork

локальный сервер обновлений ДубльГис (чья служба постоянно виснет при запуске)

Комплексная бухгалтерская система СТЭК (она поднимает службу ibservice, на которую ругается AVZ)

Ни одна из них не может так под себя систему менять.

Link to comment
Share on other sites

пароль админа оставался прежним?

 

посмотреть логи по карточкам можешь?

вполне возможно тебя кто то атакует извне

или завирусованна рабочая станция

Link to comment
Share on other sites

Ситуация следующая.

 

прогуглил

нашел только

http://virusinfo.info/showthread.php?t=104140&highlight=Autorun

но сам факт возникновения подобного на чистой системе для меня остается загадкой.

поставить перед сервером нат, чтобы исключить атаки с инета.

Link to comment
Share on other sites

"Наши победили"(с)

Оказывается червяк лез на шлюзовую банку лез откуда-то из внутренней сети. Ситуация решилась установкой вместо шлюза роутера и проброски необходимых портов до сервака. 5 дней - полет нормальный. Изо всех сил надеюсь, что проблема решилась насовсем.

Всем спасибо за советы и подсказки.

Тему можно закрывать.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...