Мощный неизвестный вирус

[ScorpiOz 0]

Всем привет!

 

Прошу помочь! ситуация такая:

Несколько пк в лок сети инфицировано вирусом который у нас не получается удалить.

Признаки заражения (как мы поняли): 

- для всех word документов создается куча файлов с одноименным названием документа и приставкой вначале ~ (временные копии документа при редактировании), которые не удаляются автоматически (как должны). Создается их бесконечное кол-во. Документы хранятся на дисках системы.

- работаем с гугл диском который через приложение гугл интегрирован в систему (там тоже самое)

- очень тупит пк, долго загружается, долго перезагружается прям до 10 мин доходит

- вкладки в браузерах бывает вообще не загружаются, либо с помощью скрипта на всех сайтах накладывается фрейм с таким же видом страницы (либо измененным!) который подменяет весь контент, читает пароли, т.д.

- про странные процессы и службы я вообще молчу...

 

Что уже делали для лечения?

Проверяли утилитами AVZ, DoctorWeb, Malwarebytes Anti-Malware, HitmanPro, Kasperskiy Virus removul tool (и прочие), что-то еще... из под инфицированной системы ничего не находит! Если загружаться с DVD-R - то картина при сканировании не активной системы совсем другая. AVZ находит кучу подозрительных файлов и несколько из них он идентифицирует как 

- Win32.Jorik.kbot.j

- Backdoor.Win32.Agent.angl

- Trojan.downloader.win32

- и чето-там.alphabet.gen

 

Пробовали загружаться из под Linux (ubuntu, kali) - вирус проявляет себя и там аналогично винде... При сканировании линуксовыми утилитами (calmav, chkrootkit, rkhunter, lynis,..) они выявляют разные системные аномалии, пишут что эти аномалии присущи руткитам, но ничего конкретного найти не могут.

 

Я не специалист и не претендую на высшую степень истины, но кое что знаю.. и как я понял вирус использует свойства оперативную память для хранения своих файлов, резервирует области там с помощью процессора.. потому что low lewel format жесткого диска не помогает...

 

С помощью одной из утилит Intel для анализа процессора удалось определить что у процессора установлена не родная микропрограмма (microcode), и обновить микропрограмму на указанную на сайте Intel (родную) не получается. Может ли вирус внедрять свой код в предустановленное производителем ПО оборудования??

 

Выкладываю логи, просканирован планшетный ПК HP ElitePad 900, который часто бывал в wi-fi сети, к которой подключены ПК локальной сети, с которой я начинал. Если нужно отсканирую один из ПК лок сети.

 

Не знаю связано ли это с вирусом, или как это реализуется, но с моей карты сбербанка ежемесячно! уже почти год списывается рандомная сумма денег до 1000 руб. - в Сбербанк онлайн этой операции не видно, в отделении сбербанка мне сказали что они не могут посмотреть что это за операция, отключить тоже не могут! Это какая-то подписка что-ли... посмотреть кто, где и когда оформил эту подписку они тоже не могут -единственный выход как они сказали - перевыпустить карту... а я узнаю о том что в этом месяце зарплату хакеру я заплатил только лишь из вот таких смс:

EMC8711 18.10.16 12:53 покупка 554р RBKM*GOOGLEAPPS.SOF Баланс:... 

 

Помогите пожалуйста разобраться с этим гадом!)

 

 

 

 

 

 

 

CollectionLog-2016.11.25-06.31.zip

[mike 1 1 095]

Этот компьютер чистый. Похоже заражен другой компьютер в локальной сети, который просто спамит в общие ресурсы. 

[ScorpiOz 0]

Этот компьютер чистый. Похоже заражен другой компьютер в локальной сети, который просто спамит в общие ресурсы. 

 

 

Этот компьютер чистый. Похоже заражен другой компьютер в локальной сети, который просто спамит в общие ресурсы. 

ОК, давайте посмотрим следующий компьютер... 

 

CollectionLog-2016.11.29-01.46.zip

[mike 1 1 095]

1 компьютер - 1 тема.

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ScorpiOz 0]

Добрый день!

АVZ не может установиться свои драйвера (проверка антируткит не выполняется).
Вирус инфо пишет что ничего нет, но там ничего фактически и не проверено.

http://virusinfo.info/virusdetector/report.php?md5=27039D7B6386AD48CBD400BCAF97B5F1

http://virusinfo.info/showthread.php?t=206917

 

Файс сам авз отчета тяжелый 27мб.. прикрепляю ссылкой на маил диск:

https://cloud.mail.ru/public/3MQn/FqV7rPQhS

 

https://cloud.mail.ru/public/9rgt/eGNURiNoM

 

Все утилиты запускал от имени администратора. Система ведет себя странно, появляются новые непонятные устройста постоянно, неизвестные тоже появляются.

https://cloud.mail.ru/public/AnmV/hfmFrZc6A

 

При том что систему переставил с фирменной флешки для восстановления HP где ставяться сразу автоматически
все дрова для устройства. Любопытно,

 

но при этом утилиты sysinternals suit помогают увидеть (качал с сайта microsoft:
- process manageк при проверка через вирус тотал находит несколько троянов.

 

- в утилите Winobj.exe везде побитые какие-то раздылы (на сайте microsoft в инструкции к утилите в примерах её использования у людей почему-то нормально все.. тут нет:
https://cloud.mail.ru/public/8dvy/ksStCN88H

 

Как вам нравиться зашифрованный bcd файл к которому и система и администратор имеют права только синхронизации?)

А как Вам нравиться такое? (У Вас вообще недоступа к просмотру информации по этому объекту) https://cloud.mail.ru/public/HUYz/HCrBaFJrw

 

А вот этот выделенный объект (к нему тоже доступа нет) определяется как раз как троян.
https://cloud.mail.ru/public/McE5/E9voo9GDj
 

Утилита Autoruns для просмотра полного списка автозагрузки также это видит, вот её отчеты:
https://www.virustotal.com/en/file/e54d0887746415d21b7d63e74ac910195fa5dad806cf7ee9e7d408ce6774de8f/analysis/

https://www.virustotal.com/en/file/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237/analysis/

 

Помогите избавиться от нечести, составить скрипт для AVZ или еще что.. чтобы она с полными правами могла все сделать.. или может что другое.

Файл от перескана система самой первой утилитой:
https://cloud.mail.ru/public/8pXp/ECR8XM8gD

AdwCleanerS0.txt

report2.log

[ScorpiOz 0]

1 компьютер - 1 тема.

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Предыдущее сообщение было адресовано Вам, помогите пожалуйста. Если есть другие люди кто может помочь... будем очень признательны за помощь.. успешное решение этого вопроса будет в любом случае вознаграждено благодарностью.. при чем не только в карму).. и на словах, мы готовы материально отблагодарить откликнувшихся специалистов. Спасибо за понимание, Друзья.

[mike 1 1 095]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ScorpiOz 0]

Прикрепляю, мне удалось установить драйвер avzpm при загрузке системы в режиме без обязательной проверки подписи драйверов.

отчет не сформирован еще:

http://virusinfo.info/virusdetector/report.php?md5=76CDB2BAD9582D23C1F6F4D868218D6C

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

посмотрите пожалуйста результаты

Addition.txt

FRST.txt

[mike 1 1 095]

Этот компьютер тоже в порядке, единственное не установлен антивирус. Заражен другой компьютер в локальной сети, который просто спамит в общие ресурсы.