Система скривела после заражения Винблокером

[Steel Rain]

Всем доброго времени суток.

 

Товарищ поймал себе на ноут вирь который просит sms отправить для разблокировки винды. Собственно эту заразу ему убить удалось, но дальше началось самое интересное. Ну, стандартно, не отображаются скрытые и системные файлы, Диспетчер задач не доступен и т.п.

Касперского вирь заблочил сразу. В общем мне удалось после пары прогонов AVZ установить KIS 2010 с последним обновлением он ничего не находит. Пробовал лечить DrWeb'ом, утилитой автономной Касперского даже попробовал восстановление системы сделать с диска. В общем что имею сейчас после восстановления системы она начинает работать относительно нормально, но до первой перезагрузки. После перезагрузки пропадают все сетевые подключения, служба WindowsInstaller не работает, KIS запускается, с грехом пополам, минут через 30 после загрузки системы и панель задач ведет себя ооочень странно. То появляется, то исчезает. Меняются местами панели инструментов и, собственно, значки открытых в данный момент окон на ней не отображаются.

Смотрел утилиткой autoruns не нашел ничего подозрительного в автозапуске, ну то что не понравилось и не нужно для базовой работы системы поотключал. processxp ничего плохого не показывает. Как эта дрянь работает и откуда запускается не могу разобраться. Помогите люди добрые. Заранее благодарен.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[vit9696]

http://kasperskyclub.ru/ainmenu-31/382--- - это?

http://support.kaspersky.ru/viruses/common?qid=208636874 - решение.

[Steel Rain]

Каким именно вирусом был заражён комп я не знаю, но уверен что не этим. Там было что то с кодеком связано. Типа попросили кодек загрузить для показа контента на сайте. А потом через некоторое время появляется окошко практически на весь экран с просьбой отправить sms.

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.

Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Steel Rain]

После проверки ComboFix система ушла в циклический перезагруз, лог получить не удалось. Восстановил систему с диска и до перезагрузки запустил ComboFix сейчас попробую перезагрузить и прогнать ещё раз. Вот первый лог:

ComboFix.txt

[thyrex]

Есть подозрение, что пострадали системные файлы

 

Идеальным вариантом будет этот: установите SP3 (может потребоваться активация) + все новые заплатки

[Steel Rain]

Дело то в том, что до установки SP3 хотелось бы заразу эту вычистить сначала. Думаю что если этого не сделать, установка не поможет. Я делал восстановление системы с установочного диска уже несколько раз. Все работает нормально до первой перезагрузки, а потом что то опять все ломает.

Вот закончилась вторая проверка, которую после перезагрузки запустил уже на скривевшей системе. Прилагаю лог.

 

Больше всего меня смущает следующий момент: AVZ при проверке каждый раз пишет

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBack=00145A9F

DisableCallBack=OK

это проскакивает при каждом запуске

 

Раньше ещё появлялось сообщение о внедрении в код kernel32.dll с байта 15, передача управления другому модулю, дословно, к сожалению, воспроизвести не могу.

 

Да, и вот ещё что, на здоровой системе обычно AVZ красным пишет о восстановлении функций kist, кажется. Ну драйвер klif.sys и т.п. На этом зараженном ноуте ничего подобного нет при проверке.

ComboFix.txt

Изменено 14 ноября, 2009 пользователем Steel Rain

[akoK]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

Ну драйвер klif.sys и т.п

 

Это драйвер одного из продуктов Касперского.

[Steel Rain]

Собственно ничего не изменилось. Если не сказать стало хуже. Панель задач вообще свернулась в серенькую полосочку внизу экрана и никоим образом оттуда не выцарапывается. Все сетевые подключения так же не активны, вернее даже будет сказать невидимы. WindowsInstaller заблокирован, т.е. не могу ни поставить ни удалить антивирь. Хорошо что перед всеми манипуляциями снес KIS, а то бы опять пришлось восстанавливастья с диска

Изменено 15 ноября, 2009 пользователем Steel Rain