Помощь в лечении систем от нечисти

[Saule]

Искал инфу о задачах в реестре и наткнулся на ваш форум. Так завидно стало, увидев как вы справляетесь с проблемами ! Помогите мне тоже, вот отчет из ХайДжакЗис

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} -

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} -

http://www.azebar.com/install/azesearch.cab

http://www.azebar.com/install/azesearch.cab' rel="external nofollow">

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

+

То же самое можно сделать и с этим (на работе Realtek Audio это никак не отразится):

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

[Jein]

...

Как хотите, т. к. это маловажная информация (касается значений, на которые вы задавали поиск в системе с помощью проводника).

Сообщение о 'copy.exe' исчезло?

Нет, я уже писала, что не исчезло. К тому же комп стал значительно тормозить. И ещё бывает выкидывает из Оперы

[VanGog]

Нет, я уже писала, что не исчезло. К тому же комп стал значительно тормозить. И ещё бывает выкидывает из Оперы :(

посмотри в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] на ключ Shell - не дописан ли там к Explorer.exe твой c:\windows\copy.exe в качестве параметра...

и вообще можешь пошерстить реестр на предмет c:\windows\copy.exe, потому что эта гадость могла еще дописаться и в [HKEY_CLASSES_ROOT\exefile\shell\open\command] в дефолтный ключ...

Посмотреть ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Там должно быть(автозапуск отключен)

"NoDriveTypeAutoRun"=dword:000000ff

Когда комп тормозит нажмите Alt+Ctrl+Delete, и в списке процессов посмотрите какой из них больше всего загружает систему (колонка ЦП).

[Jiga]

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} -

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} -

http://www.azebar.com/install/azesearch.cab

http://www.azebar.com/install/azesearch.cab' rel="external nofollow">

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

+

То же самое можно сделать и с этим (на работе Realtek Audio это никак не отразится):

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

Спасибо, Saule! Все сделал так , как сказала!!!

[Saule]

Нет, я уже писала, что не исчезло. К тому же комп стал значительно тормозить. И ещё бывает выкидывает из Оперы :)

Когда вы искали файлы 'autorun', функция "видеть скрытые файлы" была включена?

На всякий случай она активируется следующим образом:

Control Panel > Folder Options > закладка View (Панель Управления > Свойства папки > закладка Вид)

В области 'Advanced settings'/'Дополнительные параметры' находим и включаем опцию 'Show hidden files and folders'/'Показывать скрытые файлы и папки' + находим и отключаем опцию 'Hide protect operating system files (Recomended)'/'Скрывать защищенные системные файлы (рекомендуется)' (на вопрос Windows - отвечаем 'Yes'/'Да').

Затем нажимаем 'OK' и все скрытые файлы станут видны.

Если всё равно не удасться найти, то попробуйте скачать RegSrch, запустить и ввести в его строку поиска:

copy.exe

Когда поиск будет закончен, вы увидите его лог со всеми ключами реестра, в которых ему удалось найти это слово. Уверена, что его результаты будут немного отличаться от ваших.

_________

В крайнем случае попробуйте отключить функцию Autoplay через редактор групповых политик:

Start > Run

Вписываем gpedit.msc

Нажимаем ОК или клавишу ENTER

Находим:

Local Computer Policy > User Configuration > Administrative Templates > System

Кликаем по параметру "Turn off Autoplay" и изменяем на вкладке настройку с "Not configured" на "Enable" + отмечаем опцию Turn off Autoplay on "Аll drives".

Сохраняем изменения - Apply и OK.

[ushka]

добрый день!

подскажите, если на компе сидит зараза wullik, то чем это грозит юзеру,

кроме того, что на все носители садится?

+вопросик:

есть ли такие проги, которые не пускают любую заразу на флэшку?

не у всехже стоит переключатель на замок.

[Jein]

Когда вы искали файлы 'autorun', функция "видеть скрытые файлы" была включена?

...

Если всё равно не удасться найти, то попробуйте скачать RegSrch, запустить и ввести в его строку поиска:

copy.exe

Когда поиск будет закончен, вы увидите его лог со всеми ключами реестра, в которых ему удалось найти это слово. Уверена, что его результаты будут немного отличаться от ваших.

Да, функция скрытых файлов была включена.

RegSrch выдал следущее

REGEDIT4

; RegSrch.vbs © Bill James

; Registry search results for string "copy.exe" 31.01.2007 12:49:18

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28ded400-d633-11da-bef1-806d6172696f}\Shell\AutoRun\command]

@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"

В ручную нашла ещё это:

HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28ded401-d633-11da-bef1-806d6172696f}\Shell\AutoRun\command...ShellExec_RunDLL copy.exe

HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28ded402-d633-11da-bef1-806d6172696f}\Shell\AutoRun\command....ShellExec_RunDLL copy.exe

Удалила, после этого при попытке войти на диски выдал ошибку :"Приложение, выполняющее эту операцию указанному файлу не сопоставлено. Произведите сопоставление с помощью панели управления "Свойства папки""

А после перезагрузки опять ошибка о файле copy.exe. Проверила, все три ветки опять на месте :D

_________

В крайнем случае попробуйте отключить функцию Autoplay через редактор групповых политик:

Start > Run

Вписываем gpedit.msc

Нажимаем ОК или клавишу ENTER

Находим:

Local Computer Policy > User Configuration > Administrative Templates > System

Кликаем по параметру "Turn off Autoplay" и изменяем на вкладке настройку с "Not configured" на "Enable" + отмечаем опцию Turn off Autoplay on "Аll drives".

Сохраняем изменения - Apply и OK.

А можно с русскоязычным вариантом :D , а то дальше "Системы" я не продвинулась... боюсь чего-то не то напортачить

VanGog, поиски copy.exe никаких результатов не даёт ( я уже писала)

Посмотреть ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Там должно быть(автозапуск отключен)

"NoDriveTypeAutoRun"=dword:000000ff

У меня написано следующее: "Имя: NoDriveTypeAutoRun Тип:REG_DWORD Значение: 0x00000091(145)

К сожалению, тут я не понимаю ничего...он у меня отключён или нет...

[Stella]

Прошу помощи!

Пользователь я неопытный, но поставила уже давно на комп Ad-Adware SE Professional, CCleaner, AVZ, HijackThis, WWR (Work With Registry). Проверку и чистку делаю Ad-Watch Ad-Adwere, а CCleaner убираю лишь временные файлы интернета, и в системе - временные файлы и буфер обмена.

Несколько дней назад была очередная попытка изменения реестра, а сейчас попыталась программа MKey (мультимедийная клавиатура), которая раньше этого не делала.Она давно стоит... мы с компом запретили это. Корень: HKEY_LOCAL_MACHINE Ключ:Softwere\Microsoft\Current\Version\Run Значение:MKey.exe Данные: D:\Мультимедийная Клавиатура\MKey\MKey.exe

(При подсоединении к Интернет через 20-25 мин происходит разрыв соединения, как проверял провайдер, комп добровольно отключается. Это делаю не я, работаю по интернет-карте через модем. Обновления никакие не подключены в автоматическом режиме, разрыва быть не должно. И с правой стороны не скрываются неиспользуемые значки... Слева есть стрелка, а справа - нет!

Несколько раз читала на форуме советы и Saule и др, и решила попробовать.

Оключила все приложения, и запустила AVZ, последний лог-файл прилагаю, самый первый не сохранила... Удалила лишь svchost.exe из RealPleer10, он вроде бы в обновления каждый выход лез. Расположен он был на диске D в своей папочке, удалила оттуда. В диспетчере задач вижу сейчас похожее. Еще удалила (в корзину !) из C:\WINDOWS\system32\Ati2evxx.exe (на него тоже ругается avz)

Но соединение прерывается по прежнему!!! Прилагаю лог-файл avz и hijackthis. Помогите пожайлуста. Только доступным языком.... Пишу так подробно, потому что через каждые 20 мин обрыв, постоянно!! Лог avz снят при пустом компе, лог hijack - при всех обычных запущеных приложениях, кроме IE и без подключения к интернету

Logfile of HijackThis v1.99.1

Scan saved at 21:35:58, on 31.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

D:\Translatelt\TranslateIt! 1.4Free beta1\Translateit.exe

D:\Новая папка\Новая папка\Dicts\QDictionary.exe

D:\Домашний статист\HomeWork Statist\Statist.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\COMMON~1\PROJEC~1\PRMT6\PrmtSvr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

D:\Мультимедийная Клавиатура\MKey\MKey.exe

D:\HiJack This v1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader 7.0.5\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {6D13C052-4568-4838-B7FA-E3C2CAFF2878} - D:\ОПРЕДЕ~2\HOST2C~1\SwH2CIE.dll

O2 - BHO: (no name) - {D85A260B-4A52-4498-85F4-682BACB5EEBB} - D:\ОПРЕДЕ~1\PROXYT~1\SwPrxIE.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMTIE\prmtie.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: Swodum Host2Country Toolbar - {586E36F8-15CA-4B68-AE06-30C0CEEF3B9B} - D:\ОПРЕДЕ~2\HOST2C~1\SwH2CIE.dll

O3 - Toolbar: Swodum Proxy Toolbar - {A86B2D27-3653-46B1-8FB5-644FCEF56D14} - D:\ОПРЕДЕ~1\PROXYT~1\SwPrxIE.dll

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Translate It!] D:\Translatelt\TranslateIt! 1.4Free beta1\Translateit.exe

O4 - HKLM\..\Run: [MKey.exe] D:\Мультимедийная Клавиатура\MKey\MKey.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HomeWork Statist] D:\Домашний статист\HomeWork Statist\Statist.exe

O4 - HKCU\..\Run: [QDictionary] D:\Новая папка\Новая папка\Dicts\QDictionary.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: ImTranslator - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html

O8 - Extra context menu item: Save Flash - res://D:\Flash plugin\Flash Saving Plugin\FlashSButton.dll/210

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Настройка перевода - C:\Program Files\PRMTIE\options.htm

O8 - Extra context menu item: Перевести - C:\Program Files\PRMTIE\translat.htm

O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMTIE\page.htm

O9 - Extra button: Spy - {16664849-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O9 - Extra 'Tools' menuitem: MSIE &Spy - {16664849-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMTIE\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - D:\Flash plugin\Flash Saving Plugin\FlashSButton.dll (HKCU)

O9 - Extra button: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU)

O9 - Extra 'Tools' menuitem: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Протокол антивирусной утилиты AVZ версии 4.23

Сканирование запущено в 31.01.2007 13:24:29

Загружена база: 82990 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 31.01.2007 09:57

Загружены микропрограммы эвристики: 367

Загружены цифровые подписи системных файлов: 55400

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882FC4

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FD3

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FF1

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FE2

Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

2. Проверка памяти

Количество найденных процессов: 17

Анализатор - изучается процесс 716 C:\WINDOWS\system32\Ati2evxx.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Анализатор - изучается процесс 1500 C:\WINDOWS\system32\Ati2evxx.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Количество загруженных модулей: 210

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\Люда\Cookies\index.dat

Прямое чтение C:\Documents and Settings\Люда\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\Люда\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\Люда\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\Люда\NTUSER.DAT

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\software

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 3 TCP портов и 6 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 116560, извлечено из архивов: 93340, найдено вредоносных программ 0

Сканирование завершено в 31.01.2007 13:36:44

Сканирование длилось 00:12:16

[Stella]

Хотела бы добавить несколько слов... Проверила систему он-лайн Browser Security Test, и вот показываю. И что же делать с обновлениями Виндоус? Система ведь не лицензионная, начну делать обновления на сайте, будут проблемы, блокируют. Или я не права и все не так? Как мне поступать? К предыдущему посту скажу, что "что-то" через разные программки пытается изменить реестр. Я пока полько блокирую, а что делать и как удалять??? Подскажите, пожайлуста, опытные!!!

The Browser Security Test is finished. Please find the results below:

High Risk Vulnerabilities 1

Medium Risk Vulnerabilities 0

Low Risk Vulnerabilities 0

Description

This bug allows a malicious web page to execute any programs on your computer. A malicious hacker can take complete control over your computer using this bug. The bug can be exploited by a web page you browse or HTML email mesage you open.

Recommendations

We recommend using Windows Update to correct this problem.

[nervy]

Доброго времени суток!

Прошу помощи во врачевании системы. ВинХР СП1, на сервере установлено Symantec Antivirus и WinRoute Firewall.

Вчера в вверенной мне локалке один комп после посещения пары сайтов (по уверениям девушки, которая за ним работает (довольно серьезная девушка) - гугл и укр.нет) система словила три трояна. Downloader и Trojan.Tannick.B мне удалось удалить (во всяком случае мне так кажется) путем ручного ковыряния в процессах, автозагрузке и диспетчере задач. Якобы остался в системе Trojan.Spambot. Хотя Др.Веб нашел длл-файл и удалилил его.

Но возникает такая проблема:

После загрузки ОСи на дисплей выводится куча сообщений от SAV относительно проверки исходящих e-mail сообщений, которые он успешно рубит. Выдернул сетевой шнур - все нормально. Потестил еще раз SAVом и Др.Вебом, АВЗ - вроду бы все нормально.

Кто может помочь советом?

Заранее безмерно благодарен за помошь!

UPD! Вопрос снимается! Переустановил винду...

Изменено 1 февраля, 2007 пользователем nervy

[Saule]

подскажите, если на компе сидит зараза wullik, то чем это грозит юзеру,

кроме того, что на все носители садится?

Во-первых, само создание вредоносных файлов, так как вирус копирует себя не только на все носители информации, но и вообще во все(!) папки, которые открываются пользователем с помощью проводника.

Во-вторых, рассылка своих копий в виде писем с вложением через электронную почту (т.е. это в любом случае дополнительные расходы трафика и ресурсов компьютера), при условии, что в качестве почтового клиента у вас установлен MS Outlook.

И потом, т.к. это сетевой червь, "благодаря" инфицированному компьютеру в дальнейшем будет происходить заражение и других систем (особенно касается локальной сети, так как вирус, находясь в памяти, сканирует не только внутренние, но и сетевые диски и, если компьютер соединен с др. компьютерами локальной сетью и их соответствующие диски открыты для записи, оставляет свою копию и на них).

Плюс небольшие модификации реестра, к примеру, перестаёт отображаться расширения файлов, папки и файлы с атрибутами "системный" и "скрытый" становятся недоступными.

есть ли такие проги, которые не пускают любую заразу на флэшку?

не у всех же стоит переключатель на замок.

Кроме как, создание постоянных образов и back-up'ов (напр., подобная функция есть в бесплатном комплекте программ - PortableApps Suite), в голову ничего не приходит. Можно посоветовать только вручную проверять файлы перед их запуском с помощью антивирусного сканера, который можно носить и с собой на флешке (напр., не требует инсталляции CureIt! от Dr.WEB, либо специальный "переносной" антивирус - ClamWin Portable, который также входит в комплект, упомянутый выше). Так как даже если вирус оставит вам копию на носителе информации, вам её нужно будет еще запустить...

[Saule]

А можно с русскоязычным вариантом , а то дальше "Системы" я не продвинулась... боюсь чего-то не то напортачить :sm(100):

Пуск > Выполнить; вписываем gpedit.msc; нажимаем ОК.

Идем даже не в "Конфигурация пользователя" (User Configuration), а в "Настройка компьютера" > Административные шаблоны > Система.

Кликаем по параметру "Отключить автозапуск" > меняем настройку на положение "Включен" + отмечаем опцию "Все диски".

Затем перезагружаем компьютер.

Прошу помощи!

Удалять Ati2evxx.exe не нужно, и AVZ на него не ругался. Он всего лишь сказал, что это "приложение не имеет видимых окон" и "размещается в системной папке". Но для этого компонента системы (ATI Display Adapter Assistant) - это нормально.

А свой диагноз AVZ даёт в самом в конце:

Просканировано файлов: 116560, извлечено из архивов: 93340, найдено вредоносных программ 0

Но не волнуйтесь, так как вам навряд ли так просто удалось по-настоящему удалить этот файл.

И скажите, проблемы с соединением не могут быть из-за программ Swodum Proxy Toolbar и Swodum Host2Country Toolbar? Они у вас давно установлены?

И еще вопрос, что у вас с Касперским? Вы хотели его деинсталлировать?

Попробуйте пока что просто скачать CureIt! Dr.WEB и сделать полное сканирование компьютера с его помощью. Так как среди того, чем вы проверяли компьютер, антивируса как такового - не было.

И по поводу уязвимости, которую вы нашли с помощью тестов для браузера, то, скорее всего, речь там шла о какой-либо из этих:

KB890175

KB920685

KB834707

http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=A89CFBE8-C299-415D-A9D6-7CC6429C547D' rel="external nofollow">

Просто скачиваем и устанавливаем.

[Jein]

Saule, спасибо огромное! :)

Противное напоминание о copy.exe исчезло. :sm(100):

[DIMKA-vrn]

похоже хакеры нашли дыру в проге Mail Agent и всем стала приходить ссылка http://otkpbltku.vu/love/2575/?A349551F523E737515 я ее не хочу открывать гляньте что там такое :)

[Stella]

Здравствуйте Saule! Сразу задаю вопросы: Мне просканировать систему и выложить лог-файл? Про 3 уязвимости: скачать все 3 и куда их установить???? По поводу 2 программок в тулбаре: стоят давно, как надстройки IE. Не пользуюсь, могу удалить, если скажите как.... Касперский не деинсталировался, только ключ просроченный на новый меняла. Сегодня сделала обновление баз. В течении дня пытались несколько раз изменить реестр. А файл, удаленный в корзину, мне вернуть назад? Что делать, подскажите!!! Пока буду скачивать сканер и сканировать. Какие-то определенные настройки должны быть?

У меня только nod32 стоит... Ваши рекомендации читала и сегодня поставила.

[Saule]

Мне просканировать систему и выложить лог-файл?

Если что-нибудь будет не понятно (в процессе сканирования или же в самих результатах), то выкладывайте, лишним это точно никогда не бывает.

Про 3 уязвимости: скачать все 3 и куда их установить????

Возможно, вам нужна только какая-то одна из них (я просто не могу знать, какая именно). Поэтому, если есть такая возможность, то лучше, конечно, скачать все. В том случае, если соответствующая заплатка у вас будет уже установлена, установочный файл сам это определит и вам скажет об этом.

Для того, чтобы начать процесс установки, файл нужно обычным способом запустить + на всякий случай, у каждой заплатки на той же странице, откуда вы их скачиваете, есть пометка "Инструкции".

В течении дня пытались несколько раз изменить реестр.

"...пытались несколько раз изменить реестр..." - немного не понятно, это вы о ком?

А файл, удаленный в корзину, мне вернуть назад?

Лучше действительно верните назад.

Пока буду скачивать сканер и сканировать. Какие-то определенные настройки должны быть?

Для начала точно ничего дополнительно настраивать там не надо.

[Stella]

Saule, спасибо за ответ. CureIt Dr.WEB сказал что ничего не найдено в памяти, при детальной проверке компьютера 2 файла были признаны вирусом PassView.exe и Reboot.exeStartur. Лечению не поддались и были перемещены. Была совершена несколько раз попытка изменения реестра. Програмка какоя-то наверное... Точно уж не мной :-)). Ad-Watch уведомлял об этом и запрещал. Попробую сейчас скачивать заплатки... Спасибо!!!

[ser208]

Saule, спасибо за ответ. CureIt Dr.WEB сказал что ничего не найдено в памяти, при детальной проверке компьютера 2 файла были признаны вирусом PassView.exe и Reboot.exeStartur. Лечению не поддались и были перемещены. Была совершена несколько раз попытка изменения реестра. Програмка какоя-то наверное... Точно уж не мной :-)). Ad-Watch уведомлял об этом и запрещал. Попробую сейчас скачивать заплатки... Спасибо!!!

PassView не вирус. Hacktools. Так же, как и Reboot.exe.

По моему, если запретить программам обращаться к реестру (равно как и изменять его), они не смогут полноценно работать.

Просто нужно посмотреть в сообщениях Ad-Watch, какие программы это делают и к каким ключам в реестре обращаются.

Изменено 1 февраля, 2007 пользователем ser208

[Stella]

Рассказываю... Скачались только первые 2 заплатки, 3 не установилась по причине несоответствия. После скачивания, доступ к Интернету также обрывается. 20 минут - и обрыв. Провайдер говорит, что компьютер сам разрывает соединение. В настройках у меня стоит "никогда не разъединять". Прошу снова: помогите найти причину этого. Я думаю, все это связано с попытками "вируса" (назовем это так, хотя никто вирус не обнаружил), блокировать соединение после отправки чего-то или получения каких-то обновлений. Иногда пишется при повторном подсоединении "Порт подключения закрыт".

После обновления антивирусных баз Касперскому в 16ч, попыток изменения реестра не было. В процессах(см. Диспетчер Задач) - бездействие системы

Что нужно - я сделаю. Только скажите что!!!!

[VanGog]

Stella, может причина не в программном обеспечении, а в железе? Например шнур в модеме плохо контачит, или еще где нибудь пережимается. Раньше проблемы с отключением были? Когда и после чего стало отключаться? Может попробовать переустановить драйвера для модема.

[Saule]

После обновления антивирусных баз Касперскому в 16ч, попыток изменения реестра не было. В процессах(см. Диспетчер Задач) - бездействие системы

Что нужно - я сделаю. Только скажите что!!!!

В вашем случае действительно соединение навряд ли пропадает из-за вируса.

И чтобы лучше понять, что именно у вас перестаёт работать, для начала попробуйте сделать, например, следующее:

Start/Пуск > Help and Support/Справка и поддержка > раздел "Networking and the Web"/"Работа в сети и Интернет" > Fixing networking or Web problems/Устранение неполадки сети или при работе в Интернете > Diagnose network configuration and run automated networking tests > нажимаем на "Scan your system"

Затем обратите внимание на слова в сноске сбоку - есть ли там слово 'FAILED', написанное красным (зеленое 'PASSED' - означает, что в том месте неисправностей нет). Если есть, то напротив него открывайте более подробную информацию (с помощью плюсиков сбоку, пока эти плюсики не закончаться). И потом можно сохранить всё это дело в открытом виде в файл отчёта.

Пару скринов, чтобы облегчить вам понимание того, что описано выше:

_________

P.S. И еще меня немного всё-таки напрягает ваши жалобы по поводу попыток модификации в системном реестре. Т.к. по своему опыту хорошо знаю, что означает использование модуля Ad-Watch неопытным пользователем - во многих случаях бездумное блокирование любых изменений в реестре может принести вашей системе только лишь вред, а не пользу

[simply_the_best]

У меня вопрос: последние несколько дней размер диска С при подключении к интернету уменьшается. Насколько я понял увеличивается папка C:\\Windows\Temp\ - там создаются файлы типа PR23.tmp, PR2A.tmp -разного размера.

И проблема№2: (может та же, что и №1) Если я ничего не качаю из интернета, то трафик: принято где-то 11000Кб за час.

У меня стоит SP2 и Касперский 5.0.391. Проверялся Касперским, Д-ромВебом, Нодом, Стоп, Ад-аваром, avz4. Чистил РегДоктором -ничего кроме двух рекламных прог, я их удалил. Не знаю, что и делать????

[ser208]

У меня вопрос: последние несколько дней размер диска С при подключении к интернету уменьшается. Насколько я понял увеличивается папка C:\\Windows\Temp\ - там создаются файлы типа PR23.tmp, PR2A.tmp -разного размера.

И проблема№2: (может та же, что и №1) Если я ничего не качаю из интернета, то трафик: принято где-то 11000Кб за час.

У меня стоит SP2 и Касперский 5.0.391. Проверялся Касперским, Д-ромВебом, Нодом, Стоп, Ад-аваром, avz4. Чистил РегДоктором -ничего кроме двух рекламных прог, я их удалил. Не знаю, что и делать????

Firewall тебе покажет, что у тебя качается. Может и армия твоих анти-малваре средств обновляется :)

Изменено 25 февраля, 2007 пользователем ser208

[simply_the_best]

Firewall тебе покажет, что у тебя качается. Может и армия твоих анти-малваре средств обновляется :)

OutPost у меня не позволял к инету подключаться - я его удалил. Так включен виндосовский брандмауер.

[ser208]

OutPost у меня не позволял к инету подключаться - я его удалил. Так включен виндосовский брандмауер.

Там ни пса не видно, только если поставишь дополнение к Виндовому брандмауэру FirePanel XP (требует установленного .NetFramework)

И то в реальном времени по моему надо смотреть.

Изменено 4 февраля, 2007 пользователем ser208