Помощь в лечении систем от нечисти

**Saule** · 24 марта, 2007

Прошу извинения за дезинформацию. Но так было написано в FAQ! надо будет спросить подробности у модеров Извиняюсь за оффтоп. :(

Предположим, что для возможности присоединения файлов к своему сообщению в некоторых разделах сделано исключение (напр., в разделе "Наши фотографии..." файлы также могут присоединяться даже новичками) :)

Просьба просмотреть мою проблему как можно внимательней, может вы что-то обнаружите, что не удалось Николаю?
Страницы 59-60.

Для начала было бы очень неплохо отключить службы типа "Удаленный реестр", которая, насколько я понимаю, у вас запускается автоматически.

Start > Run (Пуск > Выполнить); копируем в строку:

services.msc

; нажимаем ОК или клавишу ENTER.

Находим в списке службы, список, который приложен здесь ниже, поочередно кликаем по каждой из них двойным кликом и в открывшемся приложении нажимаем, если возможно, на кнопку Stop (Стоп) + изменяем StartUp Type (Тип Запуска) службы на положение Disabled (Отключено):

Удаленный реестр (Remote Registry Service)

Службы терминалов (Terminal Services)

Веб-клиент (WebClient)

Обозреватель компьютеров (Computer Browser)

Рабочая станция (Workstation)

Сервер (Server)

DCOM Server Process Launcher (Запуск серверных процессов DCOM) - если вдруг будет нужна, потом просто включите её обратно

Совместимость быстрого переключения пользователей (Fast User Switching Compatibility)

Служба обнаружения SSDP (SSDP Discovery Service)

Диспетчер очереди печати (Print Spooler) - раз уж вы что-то говорили о том, что принтером просто не пользуетесь

Справка и поддержка (Help and Support)

Планировщик заданий (Task Scheduler)

Сохраняем изменения (Apply и ОК).

----------------

Из лога HijackThis удалите следующее:

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) -

----------------

Теперь, у вас все заплатки ОС установлены? Или система регулярно не обновляется?

Если есть такая возможность, то попробуйте скачать и запустить Belarc Advisor. Он вам покажет, есть ли в системе какие-либо уязвимости или "дырочки". И в том случае, если под 'Microsoft Security Updates' у вас не будет надписи 'Up-to-date':

То либо установите все необходимые обновления, либо покажите тот список отсутствующих, который он вам предоставит.

----------------

И по поводу руткитов. Если уж есть подозрения, то лучше воспользоваться чем-нибудь специализирующимся конкретно на руткитах.

GMER - одна из лучших программ этого класса; нажимаем на кнопку Scan.

Rootkit Unhooker - последняя вкладка - Report, кнопка Scan; хотя там есть в том числе и поддержка русского языка; единственное, не будет работать с одновременно установленным GMER'ом.

Rootkit Revealer - простенький, т.к. ничего, кроме обнаружения скрытых файлов, не делает, но вам пока что большего и не нужно.

**AntiHacker** · 25 марта, 2007

Saule

Сделал всё описанное выше (повыключал службы + пофиксил 2 вещи из HJ).

Windows XP свою никогда не апдэйтил через сайт Microsoft, потому как версия пиратская и раньше когда пробовал обновлять... пишет что у вас нелицензионная и не даёт обновлять ничего.

В общем оценил "Advisor" безопасность системы на 2.5 из 10. (что ужасно конечно просто)

Microsoft Security Updates
Alert!

62 missing

Missing Microsoft Security Hotfixes

Q873339 - Important (details...)

Q885835 - Important (details...)

Q885836 - Important (details...)

Q887472 - Moderate (details...)

Q888302 - Important (details...)

Q890859 - Important (details...)

Q891781 - Important (details...)

Q893756 - Important (details...)

Q896358 - Critical (details...)

Q896423 - Critical (details...)

Q896424 - Critical (details...)

Q896428 - Moderate (details...)

Q899587 - Moderate (details...)

Q899589 - Important (details...)

Q899591 - Moderate (details...)

Q900725 - Important (details...)

Q901017 - Important (details...)

Q901214 - Critical (details...)

Q902400 - Important (details...)

Q904706 - Critical (details...)

Q905414 - Moderate (details...)

Q905749 - Important (details...)

Q908519 - Critical (details...)

Q908531 - Critical (details...)

Q911280 - Important (details...)

Q911562 - Critical (details...)

Q911564 - Important (details...)

Q911927 - Important (details...)

Q912919 - Critical (details...)

Q913580 - Low (details...)

Q914388 - Critical (details...)

Q914389 - Important (details...)

Q917344 - Critical (details...)

Q917422 - Critical (details...)

Q917734 - Critical (details...)

Q917953 - Important (details...)

Q918118 - Important (details...)

Q918439 - Critical (details...)

Q919007 - Important (details...)

Q920213 - Critical (details...)

Q920670 - Important (details...)

Q920683 - Critical (details...)

Q920685 - Moderate (details...)

Q922819 - Low (details...)

Q923191 - Critical (details...)

Q923414 - Important (details...)

Q923689 - Critical (details...)

Q923694 - Important (details...)

Q923980 - Important (details...)

Q924191 - Critical (details...)

Q924270 - Low (details...)

Q924496 - Moderate (details...)

Q924667 - Important (details...)

Q925398 - Critical (details...)

Q926255 - Important (details...)

Q926436 - Important (details...)

Q927779 - Critical (details...)

Q927802 - Important (details...)

Q928090 - Critical (details...)

Q928255 - Important (details...)

Q928843 - Critical (details...)

Q929969 - Critical (details...)

**Saule** · 26 марта, 2007

Сделал всё описанное выше (повыключал службы + пофиксил 2 вещи из HJ).

Хорошо, только если вы всё-таки отключили DCOM Server Process Launcher (Запуск серверных процессов DCOM), то включите его обратно. Это я не о том в тот момент думала

Хотя я бы на вашем месте в первую очередь поотключала бы всё, что только можно, вплоть до переименования файла командной строки (только в этом случае еще нужно заменить переменную окружения: Control Panel > System > Advanced > Environment Variables > System Variables и изменяем значение переменной ComSpec, допустим, с %SystemRoot%\system32\cmd.exe на %SystemRoot%\system32\новое навзвание файла.exe. Так как обычно при удаленном администрировании к командной строке обращаются напрямую).

И поддержку DCOM можно отключить, изменив значение "EnableDCOM" с "Y" на "N" в следующем ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole"EnableDCOM"="N"

Но это всё скорее уже "ограждающие" меры.

Windows XP свою никогда не апдэйтил через сайт Microsoft, потому как версия пиратская и раньше когда пробовал обновлять... пишет что у вас нелицензионная и не даёт обновлять ничего.

Если вам за трафик платить не нужно, то, конечно, очень желательно установить все. Их можно скачать с сайта Microsoft по отдельности и затем установить каждую из них вручную. Ссылки на их скачивание Belarc Advisor указывает там, где (details...).

Либо вот полный список всех необходимых заплаток для Windows XP Service Pack 2 с чуть более с прямыми линками для скачивания (ENU - для английской версии Windows, RUS - для русифицированной):

http://saule-spb.ru/library/lists/winupd.html

**dimorphic** · 27 марта, 2007

Привет!

Обращаюсь на этот форум во второй раз. В первый раз Soule мне очень помогла с удалением вируса.

Теперь некий Downloader портит мне жизнь... Вчера Explorer отказывался загружаться, сегодня вроде загружется, но Norton Antivirus постоянно выдает сообщение о вирусе:

Scan type: Realtime Protection Scan

Event: Virus Found!

Virus name: Downloader

File: C:\WINDOWS\system32\qch29sr.dll

Location: C:\WINDOWS\system32

Computer: SAZONOV

User: Sazonov

Action taken: Clean failed : Quarantine failed : Access denied

Date found: 27 марта 2007 г. 11:18:49

Запустил HiJackThis и вот что он мне выдал:

Logfile of HijackThis v1.99.1

Scan saved at 11:21:08, on 27.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\DRTools\daemon.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\PROGRA~1\TWINTO~1\MouseElf.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\DOCUME~1\Sazonov\LOCALS~1\Temp\svchots.exe

C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe

C:\Program Files\Autodesk Network License Manager\lmgrd.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Autodesk Network License Manager\lmgrd.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Microsoft Firewall Client 2004\FwcAgent.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\Program Files\TwinTouch LuxeMate\EMouse.exe

C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Viewpoint\Common\ViewpointService.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Sazonov\My Documents\Разное\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = csisa:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *csoft.msc;<local>

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbuE1\toolbaru.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL

O2 - BHO: C:\WINDOWS\system32\qch29sr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\qch29sr.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbuE1\toolbaru.dll

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DRTools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

O4 - HKCU\..\Run: [hdlfoe df98ndf] C:\DOCUME~1\Sazonov\LOCALS~1\Temp\svchots.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Sazonov\LOCALS~1\Temp\winlogon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: AutoCAD LT Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe

O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Быстрый запуск AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZN

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1112948494312

O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1133888807421

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = csoft.msc

O17 - HKLM\Software\..\Telephony: DomainName = csoft.msc

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = csoft.msc

O18 - Protocol: csnet - {FF3EFE67-7569-11D2-9F80-00104B107C97} - C:\Program Files\Consistent Software\NormaCS 1.0 Client\pph_net.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: CSoft License Server - Macrovision Corporation - C:\Program Files\Autodesk Network License Manager\lmgrd.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe

Помогите плз найти этого гада!

**Saule** · 27 марта, 2007

Теперь некий Downloader портит мне жизнь... Вчера Explorer отказывался загружаться, сегодня вроде загружется, но Norton Antivirus постоянно выдает сообщение о вирусе

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее: