Решена Этого не знает Гугль...

[voron5]

Совершенно безобразная работа браузера (даже обновлённого до свеженького Opera 10.51) - медленная загрузка с частым вылетом (Forbidden, вроде как, ошибка там с номером - даже эту страницу в форуме удалось открыть не с первого раза), произвольно открываются новые вкладки, до окончания загрузки в них меняется адрес и загрузка начинается снова.Чехарда заканчивается либо какой нибудь рекламной страничкой типа Маркетгид, но чаще - Оперу вышибает полностью, перезапуск с загрузкой по месту разрыва приводит к загрузке совершенно другой стравницы из ранее открытых. Нередко на пустом поле окошко с анимацией "загрузка апплета" (такие я гашу сразу, с очисткой истории - как и порнушные, которые тоже вылазят частенько сами).
Комп иногда впадает в странное состояние - резко гаснет монитор, индикация статуса мигет, как в в "спящем", но комп не спит и не реагирует на команды. Бывает блокируется диспетчер, отключается Каспер, не работает Проводник, но при этом качалки бодренько сосут своё!!!
Ну вот - опять пишу вслепую - текст не помещается в окне, линейка не шевелится. О!, заработало! Сделал по правилам логи, посмотрел - ничего страшней, чем было ранее не нашёл. Но вот новенькое кое-что есть:

O23 - Service: RIPJCNGXZ - Unknown owner - C:\DOCUME~1\8C45~1\LOCALS~1\Temp\RIPJCNGXZ.exe (file missing)

Гугль не знает ни такой службы, ни такого файла. АВЗ его не унюхала, в карантин и т.д. он не попал. Есть ещё старые знакомцы MsSip1-3 тоже нигде не могу про них ничего найти. Они встречаются в логах заражённых машин, но в описаниях обнаруженных там зловредов не встречаются. Что это за файлы? Очень приметное название, а принадлежность -...?
А при попытке отправить сообщение - "соединение закрыто удалённым сервером". Так что ушли мои логи или нет - без понятия:shout:
Удалось с третьего раза.

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Common Files\BinarySense\hlAPP.dll','');
 QuarantineFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\RIPJCNGXZ.exe','');
 DeleteFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\RIPJCNGXZ.exe');
 DeleteService('RIPJCNGXZ');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи и проверьте температуру GPU.

 

[voron5]

Сегодня наблюдались: блокировка Проводника, отказ в доступе к любым файлам, нарушение соединения (ошибка 619) с интернетом и прочие безобразия. Подготовка к лечению была проведена заранее, АВЗ с запинками но сработало, скрипты выполнены. Логи новые прилагаю, карантин выслан. Пока вроде бы всё нормально, в логах тоже.
Есть логи, выполненные до заражения (месяц-два). Чем объяснить такое различие, как определить - откуда "обновки"? Есть такие утильки?
Температуру видеокарты определить не смог, не имею такой программки, а Everest UltEngrngEd не смог найти датчика в RadeonX300.

Спойлер: Это всё, что нашлось

--------[ Датчик ]------------------------------------------------------------------------------------------------------

Свойства датчика:
Тип датчика SMSC LPC47M192/997 (SMBus 2Dh)
Системная плата MSI MS-7093

Температуры:
Системная плата 37 °C (99 °F)
ЦП 44 °C (111 °F)
ЦП диод 36 °C (97 °F)
WDC WD800BB-22JHC0 41 °C (106 °F)
WDC WD800BB-88JHC0 44 °C (111 °F)

Вентиляторы:
ЦП 1365 RPM
Шасси 1429 RPM

 

[thyrex]

Проверьтесь так http://support.kaspersky.ru/viruses/solutions?qid=208636926

 

[voron5]

Большое спасибо спецам за действенную помощь. Но осталось несколько важных для последующей "жизнедеятельности" вопросов. Первый - обычный в таких случаях - "А чё это было?!" Потому как зловред не дался найти себя с отправкой на исследование. А Гугль действительно RIPJCNGXZ.exe не знает. (Теперь, впрочем, знает - ЭТА тема, да ещё извращение её на http://www.news-security.ru/etogo-ne-znaet-gugl/ - без ссылки на источник, кстати) И вот тут подкатывает к горлу главный вопрос: каковы верные разумные действия при встрече с подозрительным файлом (службой, приложением и т.д.), имя которого не знакомо ни одному антивирьному ресурсу, а отковырять кусок для отправки на анализ не удаётся по разным причинам (отказ в доступе, маскировка, отклонение запросов, неотражение в Проводнике пр.)? Ведь может и выход в инет накрыться, даже помощи попросить будет невозможно, да и погуглить тоже? Существует ли какой-то надёжный подход, этакая

Спойлер: Суперклизма

Суперскорая суперпомощь при суперзапорах...

 

[akok]

А точно и не скажешь, я не видел карантина.

Кто то подключил трансляцию RSS.

Суперклизма: не работать с правами админа.

 

[voron5]

А точно и не скажешь, я не видел карантина.

Выслал повторно.
У компа появилось странное поведение при загрузке - долго остаётся чёрным экран перед "выбором" пользователя. Сегодня вообще прикол - экран чёрный, светодиод на клавиатуре не горит, на мыша не реагирует (до того удавалось одним кликом продолжить загрузку). зато пробежался бессистемно по клавишам - сразу открылся МОЙ рабочий стол! Понаблюдаю, может ещё чего...
Беда вся в том,что второй юзер этой машинёшки кроме Вконтакта - нигде не сидит, и упорно слушает музыку и смотрит видео только там, на страницах. Так что я не за собой выгребаю постоянно... Давал ему права простого пользователя, не работала большая часть нужных ему программ - пришлось вернуть права. Под Админом не работает никто, но у обоих права админские. Пожалуй, стоит погуглить насчёт установки прав с ограничениями...

 

[akok]

В карантин ничего вредоносного не попало.

Добавлено через 8 минут 44 секунды
Необходимо обновить windows до SP3(возможно потребуется повторная активация) + IE8 + все критические обновления.

 

[voron5]

Необходимо обновить windows до SP3(возможно потребуется повторная активация) + IE8 + все критические обновления.

Всё к этому идёт, тем более - объявлено, что с 2012 года прекращается поддержка ХР, а на "семёрку" железка дряхловата... Мой конфиг вызывает истерический ржач на железячных форумах и советы по оптимизации начинаются с "открыть форточку...":blush:
А то, что дряхлая SP2 образца 2005 года - это "Вэлкам!!!" для зверья - уже понятно, значит - учесть нужно и всем таким же, как я.
Пробежался для верности ещё и кюреитом свежайшим (уже 6-ка!), тот отрыл в папке с файлами Явы эксплойт с зараженными архивами и закарантинил их. А вот куда - не смог я его допросить. После процедуры удаления комп дико подтормаживал с загрузкой проца 100%,а затем кувыркнулся в перезагрузку. Повторный запуск сканирования ничего не обнаружил.
Можно считать - всем спасибо, всё срослось и все живы!:yess::victory::dance2:

 

[voron5]

К сожалению, эксперименты придётся прекратить - прогнившая система расползлась по швам. Пришлось срочно ставить предварительно заготовленную SP3 со свежими обновлениями. Жизнь продолжается... Теперь не могу объяснить сам себе - а что мне не давало сделать это раньше?!