Jump to content

afan

Members
  • Content Count

    78
  • Joined

  • Last visited

About afan

  • Rank
    Candidate
  1. Обновил сервис пак. Хотел и дальше глянуть обновления, но системный апдейтер почему-то часа три клянется, что "ищет" новые обновления и без каких либо изменений. Уже давно, кстати такое заметил. Кубейс замерз снова, но почему-то продолжил какое-то время работать, что позволило включить паралельно Винамп и услышать, что звук воспроизводится нормально. Как ни странно, но вскоре кубейс "отмерз" и вылетел как все нормальные сбойнувшие программы. Диспетчер задач просто очухался. Похоже, все-таки, что-то програмное, что почему-то проявилось только сейчас. Но странно, почему убивало (а возможно и сейчас может так же) даже несвязанные сервисы. Тем не менее, пока подозрительной активности никакой нет. Впрочем, ее и не было уже после первого дня, в то время как ранее "высадка" происходила в разные дни с периодами с 22 и до полуночи и довольно скрытно и медленно. На всякий случай, сделал новые логи. KL_syscure.zip hijackthis.log FRST.txt
  2. Отправили с другой почты. Ответ : [KLAN-4033991742] Позже отпишусь по наблюдениям системы (особенно после обновления). Пока точно сказать невозможно, добит или нет, т.к. слишком скрытно все происходило ранее и слишком тяжело выковыривался.
  3. Я не знаю, каким чудом, но gmail все равно заблокировал отправку архива. Даже с паролем и с шифрованием имен файлов. Других почтовых служб у меня нет. (C:\Quarantine.rar) P.S. Массово очистил все временные файлы и кэши + затребованное. Значки испарились. Позже протестирую работу кубейса и если не спасет - поставлю обновления и переставлю драйвера.
  4. gmail блокирует отправку архивов с исполняемыми файлами. Есть рекомендация как можно отправить архив, что бы в лаборатории его потом смогли открыть?
  5. Ручной поиск выявил много тел. Многие не опознаются Касперским. Подозреваю, есть те, которые не определяются вообще никем. Судя по всему, инфекция была много раньше, чем я думал, и возможно даже, что это недобиток заражения 3-4 марта, если не раньше (как можно узнать из той темы, симптомы были схожи по не мгновенному проявлению). очень много файлов по 0 килобайт. Есть подозрения, что где-нибудь валяется богом забытая dll-ка или еще что-нибудь. В основном, засилье в областях кэшей, временных файлов и т.д. Похоже, нужна тотальная очистка временных каталогов, но самостоятельно пока не выносил, т.к. слишком много новых "областей" (см. приложенный файл) увидел - как бы не грохнуть что-нибудь не то. Текстовик с записями прилагаю (там же пара странных логов) + 2 скиншота, приложенных к текстовику (выходят за пределы лимита загрузок, так что закидываю на хранилище изображений). Ну и теперь мне окончательно ясно, что подцепил что-то очень новое и\или очень скрытное. Файлы пока самостоятельно не удалял. LOG.rar
  6. Музыкальная программа вылетела через 5 минут с замерзанием системы. Утром попробую вручную осмотреть систему полностью.
  7. Выполнено. Служба звука при перезагрузке вроде подключилась (позднее првоерю работоспособность программы). Но левые панели в IE и Chrome все никак не убьются. Fixlog.txt
  8. Переустановил. Не спасло. Благодаря автоопросу Хрома о причинах удаления обнаружил панели и в Internet Explorer (принадлежат яндексу). Есть еще кое-что, обнаруженное при беглом ручном осмотре. C:\ProgramData\iPFyJzL с кучей файлов https://www.virustotal.com/ru/file/93f2a00e...aeae7/analysis/ C:\ProgramData\FCeAjGWDLc тоже с кучей и тем же экзешником C:\ProgramData\SqSOARYMSf C:\ProgramData\SYkYVG Экзешники были скрыты. C:\ProgramData\webad.xml (больно говорящее имя с датой создания 28.03.2016 в 22:57 - момент массовой загрузки, судя по логам свежих файлов в фарбаре) https://www.virustotal.com/ru/file/89d2057c...sis/1459587431/ рядом с ним появился некто event.txt с единственной записью: "28.03.2016 22:33:37" (сам появился за 5 минут до назначеннго времени) Так же файлы, относящиеся по дате создания к описанному в текстовике событию в корне C:\Users\modem\AppData\Roaming (agent.dat, GiftBag.db, inst.lat, Installer.dat, Reex.tst, Zerstrong.tst) неких ZerStrong и Reex я точно видел в поцессах в ту ночь. Полагаю, есть и еще "подарочки" по системным файлам. Самостоятельных действий с ними пока не предпринимаю. Жду дальнейших инструкций.
  9. Выполнено. Отчет приложил. Результат: те же партизаны, вид сбоку. Система до кучи бутнулась с воплем об отключенной службе аудио (чего в приницпе обычно не было). Самое странное - все программы, обращающуюся к софту звукового драйвера напрямую звук воспроизводят нормально. Системные звуки однако исчезли. Пока решил не перезагружаться. Ситуация видна наскриншоте. Что-то определенно не так в королевстве датском... :-\ Fixlog.txt
  10. Клинер ничего не нашел (видно еще после той ночной чистки). AdwCleaner_S4_.txt
  11. Инструкции выполнил (даже ребутнул про запас). Пост-логи прикладываю. Мейлрушные партизаны висят на панели Хрма как приколотые. Тест кубейса показал откат симптомов на состояние второго поста (с тем изменением, что повесилась через десять минут работы со звуковым циклом только сама прога и диспетчер задач, но без ребута так и не отвисли). Жаль не пишет логи и не знаю, чем отследить ее обращение к файлам и процессам, т.к. при ночном пробуждении помню видел в диспетчере необычно много процессов с системными именами lsass.exe и svchost.exe (те, которых я еще спросонок заметил) - мало ли.. MBAM_scan.txt
  12. не совсем "завтра", ну да ладно. Программа проработала чуть менее получаса, после чего звук снова зациклился на коротком отрезке. Только вот на сей раз замерзла уже вся система, включая мышь, и ни на что более не реагировала. Так впечатление, будто проблема с ней становится все хуже. На всякий случай уточню, что такого с CuBase до заражения никогда (года 3 ип роге и системе) не было. Могла повиснуть или выпасть сама, сбойнуть по звуковой карте (но без зацикливания), но что бы вешать за короткое время работы несвязанные с ней сервисы и тем более всю систему - ни разу.
  13. Выполнено. Страницы с рекламой исчезли. Однако панель мейлру в Хроме пока не исчезла. Завтра протестирую работу музыкальной программы и отпишусь. Fixlog.txt
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.