Подозрение на KeyLogger и RootKit
 

Доброй ночи! Я к вам снова с криком о помощи. Новые пароли с моей почты сегодня же снесли повторно, пришлось восстанавливать снова. Т.е. я так понимаю, у меня поселился перехватчик клавы или просто сперли wand.dat? Avira и Outpost молчат, как рыбы, Malwarebytes' Anti-Malware тоже ничего не нашла, Avz на кое-что среагировал. Вот лог:

сделайте логи по правилам.

Это не те логи.

valenta744, Нужно прикрепить пару файлов от логов AVZ

1. virusinfo_syscure.zip
2. virusinfo_syscheck.zip

Спасибо, разобралась, как их делать. В безопасном режиме проверяла Dr.Web - ничего, Malwarebytes' Anti-Malware - результат Rootkit.Agent.H и Trojan.KillAV, SUPERAntiSpyware Free Edition - ничего, Virus Removal Tool - ничего, кроме некритических обнаружений кучи уязвимостей.
Собственно логи AVZ:

Еще Malwarebytes' Anti-Malware постоянно высвечивает сегодня: ip 212.113.36.14 обнаружено заражение. Иногда другие. Что это вообще значит? Ссылка, на которую я перехожу, содержит в себе вредоносный код? А если никакие страницы не открываю, а сообщение о блокировке ip появляется, то тогда как - через порты заражают?
И еще, в последнее время ни Avira, ни Outpost вообще ничего не обнаруживают.
Еще неделю назад отключала службу терминалов и планировщик заданий, теперь смотрю, опять включены.
А что за программка KeyScrambler, стоит устанавливать, а то уже одну установила, еле избавилась :)

Сегодня попытаюсь обновить Windows, может какие-то дыры закроются. Переустанавливать все еще не хочу, пытаюсь бороться с вирусами до последнего, заодно чему-то научусь, пригодится на будущее. Жаль времени на все мало.

Так-с, винду обновила. Что дальше делать, не знаю. Кроме всего возникла попутная проблема (еще до обновления). Флешки не открываются и не удается отформатировать ни стандартно, ни через проги для флешек. На другом компе эти же 2 флешки открываются. В чем может быть проблема? Может я какие-то службы нужные поотключала?

Деинсталируйте AVPTool.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Делаю консоль восстановления, высветилось окно
disclaimer of warranty on software
Консоль не создан?
Или все так и должно быть. Я не увидела там надписи, что консоль восстановления создан.

В появившемся окне

"disclaimer of warranty on software

the following websites are not in any way affiliated to combofix
if you have purchased anything from them, i suggest you instruct your financiers to cancel the transaction
A guide on proper combofix usage may be found at http...
Combofix is meant for private use. It should never be used in an unsupervised environment. If infections are found, it will automatically reboot the machine to complete the removal process. Please ensure all opened windows are closed before proceeding.
This software is provided "as is", without warranty of any kind. All implied warranties are expressly disclaimed. If you do not agree to the above terms, please click NO to exit"

нажала NO для выхода, а другое окно "Список автозамены" пустое так и сталось висеть. Пожалуйста, подскажите, что делать дальше.

Можно ли уже запускать ComboFix?
И еще вопрос. Интернет и локалку можно отключить на время, пока ComboFix будет сканировать систему?

перевод от промта
Надо было нажать на ДА.

Просто перед тем, как запустить ComboFix, мне нужно позакрывать все окна, программы и Оперу. Вроде в правилах там сказано, нажать нет, все закрыть потом запустить ComboFix и не трогать мышку. А переводчиком я воспользовалась конечно, вот оттуда и не поняла, создан ли консоль и можно ли продолжать.
Ладно, пошла мучать комп

Вот, что вышло после ComboFix и Gmer

Что с проблемами?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Проблемы есть, процессор все время грузится, комп тормозит, Опера виснет и скорость инета падает.
Сделала ComboFix /Uninstall, он не деинсталируется, высветилось окно
CD-emulation!!
CD-emulation drivers are running on this machine.
ComboFix needs to temporarlly disable them

А перед этим показал, что у меня где-то опять запущен этот долбаный CyberDefender. Как от него избавиться, скачала на свою голову "антишпиончик" :) Хотя проблемы в общем-то до него еще начались.

Нажала OK, комп перегрузился, ComboFix деинсталировался. Но я так понимаю, что CyberDefender где-то висит.
OTCleanIt - тоже сделала

AVZ нашел, что с этим делать, подскажите :help: файлы в карантине.
C:\Program Files\Agnitum\Outpost Security Suite Pro\op_install.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\System Volume Information\_restore{A9896464-92E6-41BD-B067-A15445599C8C}\RP2\A0000199.pif - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
Файл успешно помещен в карантин (C:\System Volume Information\_restore{A9896464-92E6-41BD-B067-A15445599C8C}\RP2\A0000199.pif)
C:\System Volume Information\_restore{A9896464-92E6-41BD-B067-A15445599C8C}\RP3\A0001372.pif - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
Файл успешно помещен в карантин (C:\System Volume Information\_restore{A9896464-92E6-41BD-B067-A15445599C8C}\RP3\A0001372.pif)

И вот еще:

X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
X700XEEK6 Mustang\X700XEEK6 Mustang.TFS MailBomb detected !
USDplusCAP-3seria.avi MailBomb detected !

А этот MailBomb что делает? Определенного ничего не нашла. То ли спам рассылает, то ли как раз пароли тырит?

Что это еще за чудо? AnVir показал опасными файлы Avira на 28%, я проверила avguard.exe и avmailc.exe(MailGuard) на VirusTotal, показало заражение Heuristic.BehavesLike.Win32.Dropper.H. (Generic Dropper.h (McAfee), он же Trojan.BAT.KillAV.cr?) Что с ним делать? Удалить Авиру что ли?

В папке Авиры есть файл SysDir, в ключах реестра нашла 2 ключа, в которых прописано "%SysDir%\windrv32.exe" (нашла на сайте Касперского в описании червя Email-Worm.Win32.Mydoom.t), эти 2 ключа удалила, Авира вроде работает :).

Снесла Оутпост, поставила версию 7 beta, он мне нашел троян BZub. А старый молчал, как рыба. А сейчас вижу снова окна с блокировкой атак. Все-таки был заражен и Оутпост?

Нет, что-то все-таки не то с компом явно, жутко тормозит и виснет. На virusinfo сказали, что ничего подозрительного нет. Сейчас выложу новые логи. Помогите, пожалуйста, разобраться.

Добрый день! Люди знающие, ну ответьте мне хоть что-то, чтоб я знала. Вы молчите, потому что в логах ничего подозрительного нет? И то, что каждый день сама удаляю по 1-3 троянчика, это не подозрительно? Значит, где-то в системе дыры? Или я слишком переживаю по этому поводу? Может это обычное дело, что постоянно вирусы цепляются?

В логах у вас я ничего не нахожу.

iskander-k, спасибо, успокоили. Значит буду просто "по мере поступления" трояны отлавливать потихоньку. :)
А вы не знаете, какая может быть причина подвисания 2-х разных Опер, одна Opera AC Mod, другая Portable. Обе виснут как минимум раз в час минут на 2-5, ничего нажать нельзя. Куки, историю, кэш чищу часто.

Может сканер-монитор антивируса в этот момент проверяет их директорию. В диспетчере задач посмотрите что берёт ресурсы в это время .

До недавнего времени такого не было. Восстанавливаю по памяти ход событий. Все было нормально и без вирусов и атак даже. Завела страничку вконтакте. Начала там сидеть регулярно каждый день пару месяцев. Стала подвисать та опера, в которой контакт открыт, при нажатии правой кнопки мыши (типа открыть на фоновой). Постепенно начали появляться и отлавливаться вирусы, трояны, пошли атаки. Потом и в другой Опере (Mod) племяшка начала открывать свои приложения вконтакте. Через месяц где-то и эта зависать начала, не важно, открыт контакт или нет. Вот такая думаю история проблемы.
А в процессах я не очень, не все могу распознать, в основном догадками или поиском по гуглу. Одно при осмотре диспетчера смутило, так и должно быть, что запущено по штук 5-6 процессов svchost.exe одновременно?

вконтакте - это рассадник заразы. неудивительно что у вас постоянно проблемы.
Это нормально. Главное чтобы имя процесса было настоящее svchost.exe, а не изменённое к примеру svchosts.exe swchost.exe .

iskander-k, спасибо огромное за помощь! И всем участвующим в лечении моего ноута спасибо! На вашем форуме очень много полезной информации узнала о методах борьбы с заразой, особенно, какие программы использовать и как правильно использовать. И много чего с вашей помощью отловила. По крайней мере, пароли за это время от почты больше не тырили. :) И основные проблемы решились! Вопрос можно считать закрытым. И еще раз - СПАСИБО! Тему я сама должна закрыть?

Нет, тема отмечается решённой, что вы правильно сделали. Спасибо. :)