W32.Sinnaka.A@mm

[Razorblade]

кто сталкивался с этим *лядством,по другому не назовешь!

ни один антивирь *ука не видит,как сговорились все твари!придеться переустановить винду.кому еще посчастливилось повидать эту херь в действии?

[LifeStyle]

кто сталкивался с этим *лядством,по другому не назовешь!

ни один антивирь *ука не видит,как сговорились все твари!придеться переустановить винду.кому еще посчастливилось повидать эту херь в действии?

я вот столкнулся, не наю что делать впадлу винду перустанавливать и форматить к тому же опять пожцеплю ищу вот решение говорят что помогает spyAxe Spytrooper и еще чето но они все платные и в триал версиии вири не удаляют и ваще прислали мне сп2 на ХР с микрософта так он *ля не устанавливаеться((

хотелось бы узнать поконкретнее что за червь это и че он делает

[Saule]

хотелось бы узнать поконкретнее что за червь это и че он делает

Для начала, если не сложно, скачай HijackThis

С помощью него просканируй свою систему и сохрани лог (кнопка с надписью - Do a systemscan and save a logfile).

Ничего пока не удаляй, просто скопируй этот лог сюда на форум.

Это нужно для того, чтобы иметь хоть какое-то представление о том, что у тебя твориться на компе.

[LifeStyle]

Для начала, если не сложно, скачай HijackThis

С помощью него просканируй свою систему и сохрани лог (кнопка с надписью - Do a systemscan and save a logfile).

Ничего пока не удаляй, просто скопируй этот лог сюда на форум.

Это нужно для того, чтобы иметь хоть какое-то представление о том, что у тебя твориться на компе.

ВОТ ЛОГ ФАЙЛ

Logfile of HijackThis v1.99.1

Scan saved at 16:20:36, on 09.12.2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Norton AntiVirus\navapsvc.exe

D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\nvctrl.exe

D:\Program Files\Barak013\Barak013_L2TP\fts.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Barak013\Barak013_L2TP\FWPortal.exe

D:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

D:\Program Files\ICQLite\ICQLite.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\WINDOWS\System32\wuauclt.exe

D:\Documents and Settings\andruha\Desktop\hijackthis\HijackThis.exe

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpA8B5.tmp

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [%FP%Barak013 L2TP fts.exe] "D:\Program Files\Barak013\Barak013_L2TP\fts.exe"

O4 - HKLM\..\Run: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] "D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Barak013 L2TP.lnk = D:\Program Files\Barak013\Barak013_L2TP\FWPortal.exe

O8 - Extra context menu item: Закачать &все при помощи ReGet Jr. - D:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Jr. - D:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1132401409682

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1132401394991

O17 - HKLM\System\CCS\Services\Tcpip\..\{E644CFED-1A80-4769-907F-82CC8CF76073}: NameServer = 212.150.49.10 206.49.94.234

O20 - Winlogon Notify: st3 - D:\WINDOWS\q33519698.dll (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

[Old men]

http://www.viruslist.com/ru/viruses/encycl...a?virusid=80055

http://www.viruslist.com/ru/viruses/encycl...a?virusid=86228

Надеюсь поможет.

[Saule]

W32.Sinnaka.A@mm - червь, который использует свой собственный SMTP двигатель, чтобы распостранять себя как email приложение.

1. Временно отключи функцию System Restore

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Свойства(Properties). Затем зайти в System Restore и поставить галочку - Turn off System Restore on all drives. Галочку нужно будет убрать, когда борьба с червем будет закончена.

2. Сделай update своего антивируса.

3. Перезагрузись и войди в систему в режиме Safe mode и сделай полное сканирование антивирусом. Удали все файлы, зараженные червем W32.Sinnaka.A@mm.

4. Зайди в реестр (Start > Run, напиши regedit и кликни на OK)

Найди в реестре следущие ключи:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CLASSES_ROOT\txtfile\shell\open\command

и удали в них "lsess" = "%System%\lsess.exe"

Также найди и удали следующие ключи:

HKEY_CLASSES_ROOT\ANSMTP.OBJ.1

HKEY_CLASSES_ROOT\ANSMTP.OBJ

HKEY_CLASSES_ROOT\ANSMTP.MassSender.1

HKEY_CLASSES_ROOT\ANSMTP.MassSender

HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}

HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}

HKEY_CLASSES_ROOT\Typelib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}

HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20fDEFE7B}

HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}

HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}

5. Перезагрузись, удостоверься, что вирус удалился и верни функцию System Restore.

[Saule]

То, что было написано выше, касалось удаления W32.Sinnaka.A@mm.

Но после твоего лога я бы посоветовала сделать тебе следующее:

1. Скачай триал-версию Ewido Security Suite

Инсталируй и сделай его update.

Cразу ничего не сканируй. Плюс посмотри свои личные сообщения на этом форуме.

2. Зайди в сисему в режиме Safe Mode.

3. Начни с HijackThis. Просканируй систему и отметь следующее, если это еще будет присутствовать в его логе:

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpA8B5.tmp

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

O20 - Winlogon Notify: st3 - D:\WINDOWS\q33519698.dll (file missing)

Нажми на Fix Checked и, когда он закончит, сохрани лог и закрой его.

4. Теперь открой Ewido Security Suite. Нажми на scanner.

Выбери Complete System Scan и начнеться сканирование, во время которого он будет показывать зараженные файлы и спрашивать у тебя, что ему с ними делать. Если будут какие-либо подозрения, что он показывает нужный тебе файл, то выбирай "None", во всех других случаях - "Clean" и ОК.

Когда он закончит, нажми на кнопку Save report, которая покажеться внизу его окошка и сохрани его лог, например на рабочем столе.

5. Затем нажми

Start > Control Panel > Display > Desktop и на кнопку Customize Desktop. Выбери Web.

Отметь галочкой и удали всё, что ты там найдешь, включая "My current home page".

6. Перезагрузись и войди в систему в обычном режиме.

Если будут еще какие-либо проблемы, то выложи на форум логи Ewido Security Suite и HijackThis.

P.S. Если все еще интересует, что именно делает W32.Sinnaka.A@mm, напиши об этом, я расскажу

[LifeStyle]

W32.Sinnaka.A@mm - червь, который использует свой собственный SMTP двигатель, чтобы распостранять себя как email приложение.

...

5. Перезагрузись, удостоверься, что вирус удалился и верни функцию System Restore.

что касаеться W32.Sinnaka.A@mm ИЕ открывает вместо домашней страницы updateyoursystem.com и там пишут что есть у мя W32.Sinnaka.A@mm щас глянул реестр нету у меня ни одного ключа из приведенных тобой позавчера или вчера скнил систему нортоном 2006+последний апдейт 8-12-05 чето нашел че не сказал и удалил вроде система щас работает отлично но вот W32.Sinnaka.A@mm не дает мне покоя...

что касаеться W32.Sinnaka.A@mm ИЕ открывает вместо домашней страницы updateyoursystem.com и там пишут что есть у мя W32.Sinnaka.A@mm щас глянул реестр нету у меня ни одного ключа из приведенных тобой позавчера или вчера скнил систему нортоном 2006+последний апдейт 8-12-05 чето нашел че не сказал и удалил вроде система щас работает отлично но вот W32.Sinnaka.A@mm не дает мне покоя...

по поводу Ewido Security Suite

находжит 2 трояна но не может их удалить(((

i

Уведомление:

Поаккуратнее с цитированием, не видно же сообщения из-за цитат.

Shurr.

Изменено 11 декабря, 2005 пользователем Shurr

[Saule]

по поводу Ewido Security Suite

находжит 2 трояна но не может их удалить(((

Давай его лог :)

[Saule]

Вот заявление, сделанное вчера компанией Lavasoft из-за многочисленных за последние дни сообщений пользователей, связанных с проблемой SpyAxe/W32.Sinnaka.A@mm:

"Пользователи могут быть введены в заблуждение из-за подельного 'сообщения' об обновлении к Windows, которое на самом деле генерируется трояном. Он уверяет вас, что ваш компьютер заражен вирусом W32.Sinnaka.A@mm и советует кликнуть на линк, чтобы вы инсталировали SpyAxe."

---------

Думаю, дальше всё ясно... Поэтому у тебя действительно нету этих ключей в реестре.

Обновления к Ad-Aware (Lavasoft), которое убивает этого трояна можно сделать по этой ссылке:

http://download.lavasoft.de.edgesuite.net/public/defs.zip

[LifeStyle]

Давай его лог

щас все намана вроде бы все удалилось)сделла скан Хспайдером нашел у мя дыры в системе залатал их так что щас надеюсь все зашибися буит)