Помогите разобраться!

**Le$Hk@** · 9 января, 2006

Проблема вот в чем: буквально сегодня, при загрузке винды, я не помню как точно называется эта строка(короче там где время и проги АВТОЗАГРУЗКИ располагаются, правый нижний угол) самым первым вылез какой-то красный кружок с белым крестиком и табличка, которая выскакивает каждые несколько инут, на ней написано что мол ваш компьютер заражен, ВИНДОВС обнаружил SPYWARE INFECTION, ну и мол проверьте антивирусниками, или нажмите сюда(на этот кружок) для проверки компа... нажатие на эту иконку НИЧЕГО не дает ВООБЩЕ - НИКАКОЙ реакции... проверил при помощи Symantec AntiVirus, Ad-Aware SE Personal, которые ежедневно обновляю - НИЧЕГО не обнаружено, проверка ОUTPOST Firewall - так же ничего не выявила... Хотел посмотреть в инете че-нить на эту тему но при загрузке IE (ОС WinXP) вместо белого экранчика(типа загрузка "с пустой" страницы) выдается синий с следующим содержанием:

Detected SPYware! System error #384

__________________________________________________________________________

Your IP address is 80.90.116.6. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________________________________

Your computer is full of evidences!

ISP of transmission: 116

Your IP address: 80.90.116.6

They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Your computer is: Windows XP

Risk status for further investigation: VERY HIGH RISK

To protect from the Spyware - click here

To prevent information transmission - click here

To delete the history of your activity, click here

НЕПОНЯТНО: написано, что мол ваш ip такой-то - НИХРЕНА подобного

ни внешний ни внутренний даже близко НЕ ПОХОЖИ, дальше "они знают что вы используете Mozilla"- опять же НИЧЕРТА подобного МОЗИЛЫ никогда не стояло и щас не стоит... пробил ip он относится вообще к другой сети(у меня LAN, которая подключена еще к 3-ем в моем городе)

Залез в настройки IE там стояло: загрузка с: "secure32" (что-то вроде этого) этот файл находился в корневом каталоге диска С, при удалении его и обновлении старнички, он снова создавался, только после удаления всего ТЕМРа, смог от него избавиться....

Но осталась еще одна вещь, этот кружок в правом нижнем углу у которого постоянно табличка появляется, что комп заражен... КАК ИЗБАВИТЬСЯ ОТ НЕЕ?!?!!? помогите плз!

PS: заранее извиняюсь что так много написал, на форуме впервые ВООБЩЕ...

**Wlad** · 9 января, 2006

Le$Hk@:

Но осталась еще одна вещь, этот кружок в правом нижнем углу у которого постоянно табличка появляется, что комп заражен... КАК ИЗБАВИТЬСЯ ОТ НЕЕ?!?!!? помогите плз!

Попробуй, когда табличка появляется, посмотри в процессах, должен быть какой-то левый процесс, его и убивай. А еще зайди Панель управления>Администрирование>Службы, проверь, мож там вражеская служба прописалась.

В реестре глянь, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - это автозапуск.

Хотя, если уж Ad-Aware ничо не нашла.... А попробуй от сети временно отключиться, мож он оттуда лезет....

**Old men** · 9 января, 2006

Le$Hk@: Это скорее всего троян, который просит тебя зайти куда-то и получить еще порцию троянов. Проверяйся Ad-aware или антитроянами, антивирусы здесь плохо работают. И не забудь базы обновить.

Удачи

**Saule** · 9 января, 2006

Но осталась еще одна вещь, этот кружок в правом нижнем углу у которого постоянно табличка появляется, что комп заражен... КАК ИЗБАВИТЬСЯ ОТ НЕЕ?!?!!? помогите плз!

Тот же самый троян, что и людей в этом топике, почитай, может поможет:

http://www.softboard.ru/index.php?showtopic=30047

Либо, если есть желание, скачай HijackThis.

Включи и сохрани его лог (кнопка Do a systemscan and save a logfile).

Этот лог выложи тут на форуме или пришли в PM.

**Le$Hk@** · 9 января, 2006

Тот же самый троян, что и людей в этом топике, почитай, может поможет:

http://www.softboard.ru/index.php?showtopic=30047

Либо, если есть желание, скачай HijackThis.

Включи и сохрани его лог (кнопка Do a systemscan and save a logfile).

Этот лог выложи тут на форуме или пришли в PM.

КАК новичку, мне простительно... что такое РМ? :)

я до того как писать тему, уже прочитал этот раздел, собственно с эго помощью(наврное :sm(100): и с умел убрать secure32.html)...

вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 23:39:38, on 09.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\IM In Style\Style.exe

E:\GAMES\virtualCD\System\vcdsecs.exe

E:\GAMES\VIRTUA~1\System\VCDPlay.exe

C:\PROGRA~1\SYMANT~1\vptray.exe

C:\WINDOWS\System32\ctfmon.exe

E:\GAMES\virtualCD\System\VCDTray.exe

C:\Program Files\Download Master\dmaster.exe

C:\winstall.exe

C:\miranda_dmikos_v5\miranda32.exe

C:\Program Files\Micron-Media WinTray\client.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Downloads\Архивы\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AntiSpy PRO] C:\Program Files\AntiSpy Pro\AntiSpyPro.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [style] C:\Program Files\IM In Style\Style.exe

O4 - HKLM\..\Run: [VCDPlayer] E:\GAMES\VIRTUA~1\System\VCDPlay.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: <PRODUCT> Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.92.100.10/activex/AxisCamControl.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{24C4CF23-E146-4A60-8037-E5F67F4C297B}: NameServer = 80.90.116.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{77673C22-B313-4A26-82E0-F3865FDC808D}: NameServer = 10.109.0.1

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VCDSecS - H+H Software GmbH - E:\GAMES\virtualCD\System\vcdsecs.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

есть файл, в ЛОГе он описан, winstall.exe, не знаю что это и он не удаляется, а раньше его вроде бы и не было...

**Saule** · 10 января, 2006

КАК новичку, мне простительно... что такое РМ? :sm(100):

есть файл, в ЛОГе он описан, winstall.exe, не знаю что это и он не удаляется, а раньше его вроде бы и не было...

РМ (англ. Personal Message) - личное сообщение, тут на форуме кнопка

winstall.exe - это одна из частей трояна (именно тот кружок в правом нижнем углу, с постоянно появляющейся табличкой :) ).

1. Открой Диспетчер задач (комбинация кнопок Alt + Ctrl + Delete) и останови процесс winstall.exe.

После чего удали файл:

C:\winstall.exe

2. Теперь убераем лишнее из автозагрузки:

Пуск > Выполнить; вписать msconfig; нажать ОК и в последнем разделе (Автозагрузка) напротив нужного убираем галочки.

C:\Program Files\AntiSpy Pro\AntiSpyPro.exe

C:\winstall.exe

Нажимаем ОК и перезагружаемся.

3. Включаем HijackThis и отмечаем галочкой следующее, если это еще присутствует в его логе: