Встречаем - БИРУС!??
 

Прежде, чем смеяться, просьба прочитать )))

26 окт 11 во время работы в Chrome неожиданно система зависла. Спас только Reset. После перезагрузки первое, что увидел нечто вроде «CMOS checksum failure». Предлагалось нажать F1 для продолжения или DEL для входа в биос. Выбрал F1, хотя очень удивился – впервые за почти 20 лет. При дальнейшей загрузке сообщалось о проблеме с MBR.

Установил дистрибутив Win 7 (x64, лицензия) и выбрал восстановление последней точки системы, и комп сообщил, что всё прошло удачно. Но загрузка опять не прошла из-за MBR. Повторил восстановление с дистрибутива на предмет MBR. После чего система загрузилась. Outpost Firewall 7.5.1 (лицензия) оказался неработоспособным, так же как и trial версия NOD 32 5.0.93.15. Пришлось переустанавливать. Проверка нодом выявила 6 штук HTML/ScrInject.B.Gen, которые антивирус обнаружил в 11 тыс. файлов мусора, но не смог удалить – блокировка (пришлось вручную). Во время «ручной» работы выяснил, что перестала работать клавиша F8 выбора варианта загрузки системы. Попытка восстановить параметры загрузки с помощью Safeboot7.reg (Касперского) выдала ссобщение, что «..не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами».

Кроме того появилась странная вещь – двойной старт при загрузке. Включение питания – начало стандартного тестирования – и через 3-5 сек. окошко дисплея платы останавливается на F6. После чего без вмешательства извне компьютер выключается и опять включается успешно проходя все стадии биоса и загружая систему. Управление которой ушло в другие руки ) CCleaner’ом почистил систему и решил проверять её разным софтом.

Проверка в самых жёстких режимах (по несколько попыток за 5 дней):
1. DrWeb Cure It ничего не обнаружил.
2. TDSSKiller Касперского – ничего.
3. setup_11.0.0.1245.x01_2011_10_30 Касперского (почти 100Мб) – ничего.
4. Rootkit Unhooker не запустился.
5. Bootkit Remover version 1.2 сообщил об изменениях в MBR, но вылечить ничего не сумел – блокировался системой.
6. Tuluka_v1.0.394.77 сообщала, что «Загрузка драйвера была заблокирована».
7. RootRepeal и Vba32arkit к сожалению работают только в х86 системах.
8. GMER 1.0.15.15011 выдал пару собщений “C:\Windows\System32\Config\system не удаётся найти указанный файл» после чего всё-таки кое-как смог отсканировать систему и выдал четыре похожих записи, нечто вроде этой.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3FB70834-F0A7-F953-C0F3-C299E37F8BD9}]
"habdndakockdhean"=hex:6e,62,6d,62,69,6e,64,6b,62,69,65,6f,6c,65,6a,66,65,6f,6a,62,6b,68,6b,6d,6d,66 ,6e,62,6f,6a,6a,66,6c,6d,70,6c,66,63,70,6d,67,64,6d,62,64,69,6b,69,68,68,64,6d,62,6c,6b,6b,61,63,67, 68,00,00"jabdndakockdheanmbce"=hex:66,61,67,70,67,69,69,6f,6f,63,70,6a,00,00 "pajbcngmbpfenmeaodfilhcamhldpbkp"=hex:64,61,67,70,6b,69,66,6e,00,00
Но больше ничего не смог сделать. Попытка удалить записи вручную привела к сообщению, что система не может найти эти записи. Хотя regedit их чётко показывает.

Нашёл в Сети интересные ссылки. Сначала на Хабре http://t.co/qNIpqhFr. Затем http://t.co/eTf59gby и http://t.co/Cd6xl2E0 . Почитал тут http://forum.ixbt.com/topic.cgi?id=77:12198-12 и здесь http://www.rom.by/blog/Novaja_rubrik...irusostroenija . После чего поздравил сам себя и Award с БИРУСОМ )))

Четыре попытки перешить биос EVGA X58 SLI со всеми положенными приёмами завершились одинаково. После окончания автоматической работы CD-ROM’а (из образа с сайта производителя) сообщалось об удачном окончании операции. Но тут же после перезагрузки, опять ошибка «CMOS checksum failure». Затем по клавише F1 загрузка системы. И после этого «нормальный» старт системы. После выключения питания снова двойной старт с паузой на отметке F6 дисплея платы и … круг замкнулся (((

В итоге вспомнил про старый добрый OSZone.net. Постарался без ошибок выполнить все инструкции для создания логов, которые чего-то там нарыли. Прикрепляю.
Попытка лечения AVZ дала следующие результаты:
А) загрузка драйвера расширенного мониторинга процессов приводит к нулевому результату;
Б) лечение стандартным скриптом №1 неизменно приводит к зависанию программы при выгруженном файерволе и антивирусе;
В) Включение AVZ Guard выдаёт Ошибка AVZ Guard: C000036B.
Что скажете? Есть ли возможность помочь? Буду весьма признателен за любую поддержку.

Сейчас посмотрю логи

Спасибо. Не ожидал, что меня прочитают так быстро. Забыл отметить, что батарейку в плате менял. И выполнил все прочие танцы с бубном. ))

А батарейку биоса на всякий случай проверяли ? При прошивке через утилиты прошивается-меняется не вся информация в БИОС.
Если БИОС заражена есть шанс избавиться от лишней инфо в биос прошивкой чипа на отдельном программаторе. В этом случае будет заменена вся информация в чипе.

Не все возможности АВЗ корректно работают на win 7.

Скачайте GMER и запустите

• Начнется экспресс-проверка. При появлении окна, с сообщением о деятельности руткита, нажмите No
• После завершения экспресс-проверки в правой части окна программы из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна, с сообщением о деятельности руткита, нажмите OK
• После окончания проверки сохраните лог (нажмите на кнопку Save) и прикрепите к сообщению

+ к посту выше

На чистой машине

1. Скачайте образ Alkid Live CD, запишите образ на болванку
2. Скачайте TDSSkiller, и запишите на флешку

На проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr
5. Запакуйте папку c:\log с паролем virus и прикрепите к сообщению

Всем ещё раз спасибо.
Последовательно. GMER. По ссылке не грузится. Нашёл здесь softodrom
Жду окончания проверки.

S.R

GMER
* экспресс-проверка после запуска ничего не выявила; окна о деятельности руткита не было
* после сканирования окна о деятельности руткита не было
* log файл прилагаю


iskander-k
Для Вашего поручения потребуется время. Постараюсь как можно быстрее.

Грузится..(проверил)
По этому логу чисто.

Из многих попыток и картинок





делаю вывод, что меня просто что-то не пускает на сайт GMER напрямую. Что уж - не знаю.


Странно, что лог GMER'a чистый, так как найденные им проблемные разделы реестра невозможно удалить никакими средствами :not-me: Привожу скрин одного раздела.





Три попытки закачать Alkid Live CD пока потерпели неудачу (то антивирус заругается, то из-за слишком быстрой закачки сервер рвёт связь), качается четвёртый вариант.
Нахожусь в полном недоумении со всей этой историей.

Выполните лог гмер по этим правилам.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется),

-> альтернативная ссылка с депозита Скачать

Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista и Windows 7запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.


Если доступен депозит - Скачать Alkid Live CD

Делаю очень внимательно по пунктам (педантично, без спешки).

1. Загрузил Ваш файл 63s3isi9.exe с депозита. Хотя с помощью анонимайзера смог скачать оригинал с сайта разработчика и им и пользовался до этого.

2. Жму правой кнопкой мыши и запускаю от имени администратора. Из отдельной папки в корневом каталоге (диск С). Экспресс-проверка не выдаёт никакого окна о деятельности руткита. Может проблема в Win 7 Pro x64??

3. После завершения экспресс-проверки в правой части окна программы пункты о которых Вы пишете - затемнены. Поэтому нет возможности ставить/убирать метки в них.
Никакого нового сообщения (о деятельности руткита) после окончания работы по кнопке Scan не появляется. Высвечиваются только проблемные записи в реестре (картинку уже приводил).



4. Новый лог-файл, полученный в результате работы "Вашего" GMER'a прилагаю.

5. Через 30 минут (если не будет неожиданностей) докачается образ алкида стандарт (ожидаю майский 2011) .

6. Как уже сообщал в первом посте система, к примеру, блокирует драйвера того же Tuluka (о чём честно сообщает в стандартном окне). А также работу некоторых других антируткитов.

За 1 секунду после почти 4 часов скачивания опять произошёл обрыв. Паранойя :o



Никогда такого не было. Предприму ещё одну попытку. Чистого компа сейчас нет под рукой.

На x64 системах gmer запускать бессмысленно

Но должен же быть какой-нибудь выход? Раз вирусописАтели нашли вход :) Только выбросить комп в окошко не предлагать ))

Попробуйте скачать Alkid Live CD с торрентов.

Спасибо огромное, всё получилось. Пошагово выполнил все инструкции. Однако есть нюансы.

Не знаю имеет ли это значение, но подробно расскажу на всякий случай.У меня установлено 2 физических диска. Сначала был один и назывался диском С. На нём стояла Win XP х86. После выхода Win 7 под неё был приобретён ещё один, новый диск. После установки в систему он стал называться диском D.

Когда же была установлена Win 7 Pro x64 она, как водится, переименовала "свой" диск в диск С. А первый, соответственно, в диск D. Со временем Win XP была полностью удалена. Хотя при загрузках помимо Win 7 диски так и опознаются по старинке. Старичок - как С, а поновее - как D (где сейчас командует семёрка). Что произошло и на этот раз, при работе с Alkid Live CD. Поэтому программу TDSSKiller запускал 2 раза для каждого диска в отдельности и получил 2 лога.

В папке log_C содержится результаты сканирования диска, на котором сейчас установлена Win 7 (тот, что поновее, в среде Live CD обозначенный как диск D).
В папке log_D содержатся результаты сканирования диска, на котором первоначально была Win XP (тот, что постарее, в среде Live CD обозначенный как диск С).
Очень рассчитываю, что объяснил не очень путанно. И это вообще пригодится.

Архив логов прилагаю.

Хочу добавить, что имеется созданный стандартными средствами семёрки архив (образ) системы от 10 окт 11 (за пару недель до вируса). Но его пока никак не использовал. Так как не вижу смысла; если заражены и биос, и MBR. И ещё хотелось бы узнать. А нельзя ли как-нибудь пропатчить биос, просто удалив из него вредоносные записи? Вроде бы есть какие-то программы для таких манипуляций. Хотя мой уровень подготовки лишь на планке обычного пользователя.

Ещё заметка. М-дя... :cool:

http://onthar.in/news/razvitie-neulo...-rutkita-tdl4/

Запрос на анализ MBR отправил. Подождем результатов

Принято. Даже морально поддержка помогает.

Запустил вот этот инструмент на сканирование. Comiodo Essentials, версия 1.7 beta. Пока 0 угроз. :lol:
http://onthar.in/files/antivirus-fil...ng-essentials/

Чтобы не заморачиваться с регистрацией качал отсюда. Если кто-то заинтересуется.
http://enterprise.comodo.com/securit...s/download.php

Одним словом перебираю все возможные варианты.

По логу постороннего вроде не видно.
Подождем результатов анализа.

вы так и не ответили...

MBR не заражена. Остается только найти способ проверить bios.

Пост №3 содержит ответ на этот вопрос, Вы просто пропустили. Да, батарейку заменил, даже не проверяя старую.


Приятная новость. ЗдОрово, если этой действительно так. Тут мне в личку сообщили, что после перепрошивки BIOS появление запроса на продолжение через клавишу F1 это нормально. Но проблема-то была в том, что одновременно "исчез" MBR и его пришлось восстанавливать после сбоя; оказались нерабочими антивирус и файервол и возникли прочие выше озвученные непонятки. Именно поэтому и перепрошил BIOS на новый, на всякий случай. И затем стал искать причину такого серьёзного сбоя.

Кроме того (даже такая мелочь) невозможность в безопасном режиме восстановить с помощью Safeboot7.reg (Касперского) возможность выбора вариантов загрузки системы и её "нетипичное" поведение в работе лишь усилили подозрение в заражении. Впрочем, уже повторяюсь.

Тут Comodo через почти 3 часа сканирования нашёл 19 угроз. Одна из них, к примеру, инсталлятор Chrome 15.0.874.106. Буду сейчас разбираться с остальными.

Чтобы убрать запрос F1 - для этого зайдите в биос настройте или загрузите оптимальные настройки по умолчанию и сохранитесь.



Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Действительно пропустил.

Запрос F1 появился в двух случаях:

а) после изложенного краха системы (впервые за всю мою практику, а случаи бывали очень разные).
б) после перепрошивки BIOS на новый.

Однажды выбрав загрузку по F1 такая ситуация больше не повторялась. Даже при условии изменения настроек. Правда с новым биосом появился двойной старт.


Из 19 угроз Comodo оставил для удаления 3: одна в Windows\System32 и две в AppData\Local. Обещает пролечить после перезагрузки.

tonsberg, приложите, если можете, отчет сканирования комодо

Это отчёт сканирования Comodo. После перезагрузки сообщил, что теперь жизнь наладится. UVS скачал, сейчас буду разбираться.

В основном, на мой взгляд - паранойя этого антивируса в этом логе-отчете.

UVS отработал. Лог прикладываю. Но ещё вдруг обнаружил кое-что интересное.



По цифре 1 картинки мой первый (плохо работающий) GMER находил запись в реестре где-то тут (примерно)

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3FB70834-F0A7-F953-C0F3-C299E37F8BD9}.

Файл и запись я смог удалить вручную. И ещё что-то (уже не помню, запутался) ругалось на файл по цифре 2 картинки. Тоже смог удалить руками.
Вот такое дополнение к логу UFS.

Это точно :)
Кстати UFS пока работал (тут же всё двигается) выкинул много разных сообщений с претензией с инсталлятору Chrome. В общем-то комп завис именно на работе в Chrome. Уже не знаю что и думать :tomato2: Утро вечера мудреннее.

Сегодня - для проверки хоть каких-то изменений после проведённых копаний и чисток - попытался ещё раз восстановить записи реестра возможности выбора вариантов загрузки системы. Это не есть главный вопрос, но в качестве пробного камня было интересно. Поскольку ранее таких проблем никогда не было. Антивирус NOD 32 5-й версии остановил; Outpost Firewall 7.5.1 выгрузил; сеть отключил.



Неудача.
Тут для меня всего два варианта. Или это нормально, когда пользователь с правами администратора не может внести изменения в свой реестр. Или какой-то не очень полезный процесс блокирует изменения, восстанавливающие одну из функций операционной системы.
Reg файл скачал с сайта лаборатории Касперского.

С сайта GMER (на который хожу по-прежнему только через анонимайзер) :spy: скачал утилиту mbr. Вот её лог.

Ещё факты.

Одним словом с образа системы откатил на 10 окт 11. Первые ощущения - положительные. Посмотрю, что будет дальше.

RootkitRevealer — бесплатный инструмент для локального обнаружения руткитов скрывающих вредоносные объекты на 32-битных операционных системах/

Возможно в процессе заражения или последующего использования утилит (см. шапку темы) произошли изменения реестра мешающие нормальной работе ОС.

МБР мы уже смотрели. Какой рег-файл ?

К сожалению не помогло. Система несколько ожила, напоминая прежнюю. Но.. не та.

До вирусной атаки обновления к Windows 7 поступали по умолчанию; и с момента появления семёрки я только узнавал, что то-то и то-то успешно установлено. Ни разу не возникало никаких вопросов.

Сегодня обнаружил, что может быть иначе. Значительная часть обновлений, которые были выпущены за октябрь; и связаны с безопасностью не были установлены. Были загружены, но в момент установки всё зависло, впервые (частенько за последнюю неделю применяю это слово). После reset'a система опять не смогла загрузиться. Смог войти только с четвёртой попытки. В части обновлений фигурировал отказ. Удалил отказников руками и сделал ещё одну попытку. Результат прежний. Кстати, до вирусной атаки кое-какие из них встали без вопросов. Вот, пожалуй, и всё. Если появится хоть какая-то информация по схожей проблеме и способам борьбы - буду благодарен.
Спасибо всем, кто старался помочь!

Saveboot7.reg - архивом приложен в #31 и предназначен для восстановления возможностей стандартного выбора вариантов загрузки системы по клавише F8.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Потеряв целую неделю, начинаю думать, что за это время пусть с трудами; но переустановил бы систему. Будучи весьма признательным Вам за помощь, для окончательного принятия решения прошу совета на предмет.

Каким способом с максимально возможной гарантией излечения (исходя из данной ситуации; понимаю, что гарантия весьма относительная) лучше всего это сделать?
В голове пока весьма примитивный план:
1. MHDD и соответственно низкоуровневое форматирование.
2. Переустановка системы.

Какие моменты и тонкости надо учесть, что добавить в этот план действий? Хочу "убивать" диск Win 7. А данные скидывать на второй физический диск.
Ещё хочу завтра позвонить в сервис мелкомягких, - один раз (на удивление) в проблемной ситуации они уже помогли. Вот такие мысли.

Сделайте лог CF, а там уже видно будет

Коротко: переустановка помогла. Компьютер работает как прежде, что очень радует. Продолжаю заниматься установкой программ, отладкой и прочими "мелочами". Если у кого-то будет интерес, то могу поделиться подробностями. Чуть позже.