Помощь в лечении систем от нечисти

[Laren]

Скажите кто-нибудь, что за файл такой: amcis.dll в папке windows/system32 - антивирусом распознается как вирус троян.

[NickGolovko]

Скажите кто-нибудь, что за файл такой: amcis.dll в папке windows/system32 - антивирусом распознается как вирус троян.

Записи в Интернете относятся к этому файлу в папке system, a не system32.

Проверьте библиотеку на VirusTotal - возможно, ложное срабатывание.

[InatTeam]

отнюдь нет

amcis.dll

=======

This DLL modifies the following registry keys:

1. HKEY_CURRENT_CONFIG

2. HKEY_DYN_DATA

3. HKEY_PERFORMANCE_DATA

4. HKEY_USERS

5. HKEY_LOCAL_MACHINE

6. HKEY_CURRENT_USER

7. HKEY_CLASSES_ROOT

Unregisterss oleaut32.dll from memory as provided by M$oft and

replaces with its own calls. Switches back to M$oft's when

browser is closed. Creates stub processes to be started anytime

your browser is opened.

Один из файлов шпиона, причем очень старого шпиона - 2000 года. К его файлам относятся:

The installed files are some or all of:

adimage.dll

advert.dll

advpack.dll

amcis.dll

amcis2.dll

amcompat.tlb

amstream.dll

anadsc.ocx

anadscb.ocx

htmdeng.exe

ipcclient.dll

msipcsv.exe

tfde.dll

[NickGolovko]

Да, InatTeam, я тоже умею открыть первый результат поиска в Google. Но, помимо этого, я умею еще открыть третий результат - вирусную энциклопедию eTrust, где описано, в какой именно директории создает файлы эта рекламная программа.

[InatTeam]

Вынуждена согласиться. Действительно так :)

[andrey-750]

Здравствуйте.

Такая вот неприятность случилась: Винда начала тормозить и ругаться на нехватку файла подкачки. TaskManager показывает 100% загрузку проца и файла подкачки, который разросся до макс. 2Г. Однако в списке задач - всё по нулям - даже "Бездействие системы"! (см. приложенные картинки).

Такое безобразие - под любым юзером (вкл. Администратора), но не в "Безопасном режиме".

При перезагрузке системы несколько минут загрузка проца нормальная - 2-35%, в это время файл подкачки монотонно растёт до своего макс. размера, после чего загрузка проца взлетает к 100% и так всё и остаётся до перезагрузки (выход юзера с посл. заходом не катит) :)

Помогите, кто чем может...

Logfile of HijackThis v1.99.1

Scan saved at 20:30:19, on 19.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\msapp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Punto Switcher\ps.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Olga\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/P...;build=Symantec

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.6.3:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\support.exe

O4 - HKLM\..\Run: [WinApp32] msapp.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4B09A2B-5520-4065-B7BB-307F381FFACA}: NameServer = 213.134.192.18,213.134.195.253

O20 - AppInit_DLLs: C:\WINDOWS\system32\win_178.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[ser208]

Здравствуйте.

Такая вот неприятность случилась: Винда начала тормозить и ругаться на нехватку файла подкачки. TaskManager показывает 100% загрузку проца и файла подкачки, который разросся до макс. 2Г. Однако в списке задач - всё по нулям - даже "Бездействие системы"! (см. приложенные картинки).

Такое безобразие - под любым юзером (вкл. Администратора), но не в "Безопасном режиме".

При перезагрузке системы несколько минут загрузка проца нормальная - 2-35%, в это время файл подкачки монотонно растёт до своего макс. размера, после чего загрузка проца взлетает к 100% и так всё и остаётся до перезагрузки (выход юзера с посл. заходом не катит) :)

Скачай http://www.rku.xell.ru/?l=r&a=dl

эту программу для детектирования руткитов, скрытых процессов, драйверов и т.д.

Может поможет разобраться.

P.S. Symantec способен на такое.

O20 - AppInit_DLLs: C:\WINDOWS\system32\win_178.dll Подозрительно.

Изменено 19 марта, 2007 пользователем ser208

[Laren]

Один из файлов шпиона, причем очень старого шпиона - 2000 года. К его файлам относятся:

The installed files are some or all of:

Значит всего навсего шпион. Причем дата файла у меня - старая, а антивирусник сработал на него только на днях. Вот так вот живеш, и не знаешь, что все-таки на компе не все чисто. Спасибо за помошь :)

[Гость avb_constructor]

Сделайте исследование системы: http://helpme.virusinfo.info, протоколы сюда.

Мы с Saule в ходе частной переписки выяснили, что это было ложное срабатывание.

[andrey-750]

Скачай http://www.rku.xell.ru/?l=r&a=dl

эту программу для детектирования руткитов, скрытых процессов, драйверов и т.д.

Может поможет разобраться.

P.S. Symantec способен на такое.

O20 - AppInit_DLLs: C:\WINDOWS\system32\win_178.dll Подозрительно.

Проблема решилась.

Подробности здесь:

http://forum.ixbt.com/topic.cgi?id=22:66710#9

Спасибо за ссылку. Помогла отследить безобразника

[Saule]

Так как я какое-то время отсутствовала, просьба к тем, кто оставлял посты выше и для кого помощь с лечением всё еще актуальна, сообщите об этом мне в ПМ или тута.

[DIMKA-vrn]

проверьте плиз ссылку

http://jetboatsnmore.com/gerord.exe

что это

[NickGolovko]

проверьте плиз ссылку

http://jetboatsnmore.com/gerord.exe

что это

STATUS: FINISHEDComplete scanning result of "gerord.exe", received in VirusTotal at 03.22.2007, 11:02:00 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.3.22.1 03.22.2007 no virus found

AntiVir 7.3.1.44 03.22.2007 TR/PSW.LdPinch.brj

Authentium 4.93.8 03.22.2007 Possibly a new variant of W32/new-malware!Maximus

Avast 4.7.936.0 03.21.2007 no virus found

AVG 7.5.0.447 03.22.2007 PSW.Ldpinch.FMD

BitDefender 7.2 03.22.2007 no virus found

CAT-QuickHeal 9.00 03.21.2007 (Suspicious) - DNAScan

ClamAV devel-20070312 03.22.2007 Trojan.Spy-2603

DrWeb 4.33 03.22.2007 Trojan.PWS.LDPinch.1594

eSafe 7.0.14.0 03.21.2007 Suspicious Trojan/Worm

eTrust-Vet 30.6.3499 03.21.2007 no virus found

Ewido 4.0 03.21.2007 Trojan.LdPinch.brj

FileAdvisor 1 03.22.2007 no virus found

Fortinet 2.85.0.0 03.22.2007 W32/LdPinch.BRJ!tr.pws

F-Prot 4.3.1.45 03.21.2007 W32/new-malware!Maximus

F-Secure 6.70.13030.0 03.22.2007 Trojan-PSW.Win32.LdPinch.brj

Ikarus T3.1.1.3 03.22.2007 Trojan-Spy.Win32.Agent.DI

Kaspersky 4.0.2.24 03.22.2007 Trojan-PSW.Win32.LdPinch.brj

McAfee 4989 03.21.2007 no virus found

Microsoft 1.2306 03.22.2007 no virus found

NOD32v2 2134 03.22.2007 no virus found

Norman 5.80.02 03.21.2007 no virus found

Panda 9.0.0.4 03.22.2007 Suspicious file

Prevx1 V2 03.22.2007 no virus found

Sophos 4.15.0 03.13.2007 Mal/Basine-A

Sunbelt 2.2.907.0 03.22.2007 VIPRE.Suspicious

Symantec 10 03.22.2007 no virus found

TheHacker 6.1.6.079 03.22.2007 Trojan/PSW.LdPinch.brj

UNA 1.83 03.16.2007 no virus found

VBA32 3.11.2 03.22.2007 MalwareScope.Trojan-PSW.Pinch.36

VirusBuster 4.3.7:9 03.21.2007 Packed/FSG

Webwasher-Gateway 6.0.1 03.22.2007 Trojan.PSW.LdPinch.brj

Это пинч. Если запускали, меняйте все пароли.

[AntiHacker]

И еще к слову: у вас есть что-нибудь от GEAR Software?

Был в коммандировке, извиняюсь за столь продолжительное осутствие.

Насчёт вопроса Вашего:

Хм... например?? Первый раз такое слышу.. Можно поподробней?

Хорошо. Тогда зачем вам компьютер некоего иранского института в качестве прокси-сервера? Вы сами так назначили?

Где Вы это увидели??

Естественно не назначал сам !

[NickGolovko]

2 AntiHacker: ваше недоумение меня радует - дай Бог, чтобы корень зла был все же там, где я думаю. Есть ли у вас в реестре ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyServer? Если есть, удаляйте. Затем запустите поиск в реестре образца ProxyServer. Что найдете, удаляйте. Перезагрузитесь и удостоверьтесь, что эти ключи не восстановились. После этой операции, я надеюсь, кулхацкер исчезнет из вашей жизни..

[AntiHacker]

Так как я какое-то время отсутствовала, просьба к тем, кто оставлял посты выше и для кого помощь с лечением всё еще актуальна, сообщите об этом мне в ПМ или тута.

Добрый вечер Вам!

Просьба просмотреть мою проблему как можно внимательней, может вы что-то обнаружите, что не удалось Николаю?

Страницы 59-60.

Заранее благодарен.

[AntiHacker]

2 AntiHacker: ваше недоумение меня радует - дай Бог, чтобы корень зла был все же там, где я думаю. Есть ли у вас в реестре ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyServer? Если есть, удаляйте. Затем запустите поиск в реестре образца ProxyServer. Что найдете, удаляйте. Перезагрузитесь и удостоверьтесь, что эти ключи не восстановились. После этой операции, я надеюсь, кулхацкер исчезнет из вашей жизни..

ProxyServer

Нет, к сожалению там его нет(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyServer), но в реестре нашёл прокси " ProxyServer "на 213.* .. это обычный прокси который у меня введён, но выключен в IE.

Поэтому мне кажется это не то.

[NickGolovko]

А говорите, не задавали. Пока повторите протокол HJT, а завтра еще проясним насчет GEAR Software.

[AntiHacker]

А говорите, не задавали. Пока повторите протокол HJT, а завтра еще проясним насчет GEAR Software.

Возможно, немного не так Вас понял..

Повторяю протокол HiJack'a в он-лайн режиме.

hijackthis.log

hijackthis.log

[NickGolovko]

Да, прокси уже нет в протоколе. Печально.

По поводу GEAR Software:

Продукт: GEAR.wrks или GEARAspi

Компания: GEAR Software Inc (www.gearsoftware.com)

Софт, который должен быть связан с записью компакт-дисков.

Продукт IMSecure вы ставили сами?

Если на два предыдущих вопроса ответ положительный, тогда можно пробовать иную схему: загрузиться с другого носителя или подцепить системный диск на другую машину в качестве Slave, после чего:

1) в AVZ выполнить Файл - Автокарантин;

2) Файл - Просмотр карантина, отметить галочками и упаковать в архив (кнопка Архивировать) все файлы, в легитимности которых вы не уверены на 100%.

3) Посмотреть размер полученного архива. Если он будет в пределах 5 МБ, прислать его мне по почте.

Если будете выполнять третью процедуру, изучите и сами свой диск повнимательнее - не найдется ли там чего нового, ранее вами не виданного, и так далее.

Если изучение пассивного диска ничего не даст, останется признать, что корень зла находится за пределами вашей машины.

[AntiHacker]

Продукт IMSecure вы ставили сами?

Ставил сам, однозначно!

Продукт: GEAR.wrks или GEARAspi

Компания: GEAR Software Inc (www.gearsoftware.com)

Софт, который должен быть связан с записью компакт-дисков.

По-моему никогда такого софта я никогда не ставил, записываю компакты сугубо NERO, поэтому не знаю где gear вы нашли.

[AntiHacker]

Я проделаю процедуру которую вы мне посоветовали, но для начала прошу ответить на некоторые вопросы:

загрузиться с другого носителя

С ДРУГОГО, ЭТО С КАКОГО?

Если изучение пассивного диска ничего не даст, останется признать, что корень зла находится за пределами вашей машины.

Можно пояснить как тогда такое возможно?

По поводу GEAR Software:

Возможно как-то пытался перепрошить свой DVD-ROM.

[NickGolovko]

>>>С ДРУГОГО, ЭТО С КАКОГО?

Ну это вам виднее. У меня, например, есть загрузочные компакт-диски для загрузки в обход жесткого диска.

>>> Можно пояснить как тогда такое возможно?

Ну мне-то откуда знать? Может, он у вашего провайдера в конторе сидит, или еще как-то перехватывает отсылаемые данные...

[AntiHacker]

>>>С ДРУГОГО, ЭТО С КАКОГО?

Ну это вам виднее. У меня, например, есть загрузочные компакт-диски для загрузки в обход жесткого диска.

>>> Можно пояснить как тогда такое возможно?

Ну мне-то откуда знать? Может, он у вашего провайдера в конторе сидит, или еще как-то перехватывает отсылаемые данные...

То есть обычный загрузочник с Виндой?

Вряд ли у провайдера, у меня подозрение, что кто-то из работников моего провайдера занимается такими нехорошими делами, за которые сажать нужно! Ведь такое возможно?!

[NickGolovko]

То есть обычный загрузочник с Виндой?

Да, конечно. Главное, чтобы жесткий диск не использовался.

Вряд ли у провайдера, у меня подозрение, что кто-то из работников моего провайдера занимается такими нехорошими делами, за которые сажать нужно! Ведь такое возможно?!

Об этом я и говорю...