Хакеры пытаются кончить мой комп.

[Vitaly2007]

Несколько дней назад с компом начали происходить странные вещи. Он виснет постоянно, процессы прут, но вчера вообще самостоятельно менялся рабочий стол, думал вируса поймал, проверил все Симантеком, Адвеером, ДрВебом с сайта, и когда зашел на сайт Симантека, там решил тоже в онлайне протеститься, пишет что половина портов открыты, атака хакеров! Два раза переустанавливал виндовс, все программы остались на С в програмфайлс, а Пуск/программы было пусто.. Когда я выхожу в skype, internetcall у меня в процессах занимает до 100% памяти.. Хотя раньше и скайп и осел и инет и все летало.

Вот лог сделал..подскажите что делать?

Logfile of HijackThis v1.99.1

Scan saved at 21:11:45, on 05.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\VITALY~2.VIT\LOCALS~1\Temp\Rar$EX01.016\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [internetCalls] "C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe" -nosplash -minimized

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[NickGolovko]

Несколько дней назад с компом начали происходить странные вещи. Он виснет постоянно, процессы прут, но вчера вообще самостоятельно менялся рабочий стол, думал вируса поймал, проверил все Симантеком, Адвеером, ДрВебом с сайта, и когда зашел на сайт Симантека, там решил тоже в онлайне протеститься, пишет что половина портов открыты, атака хакеров! Два раза переустанавливал виндовс, все программы остались на С в програмфайлс, а Пуск/программы было пусто.. Когда я выхожу в skype, internetcall у меня в процессах занимает до 100% памяти.. Хотя раньше и скайп и осел и инет и все летало.

Вот лог сделал..подскажите что делать?

Сделайте, пожалуйста, расширенное исследование системы.

Скачайте http://z-oleg.com/avz4.zip

Распакуйте, запустите avz.exe.

Файл - Стандартные скрипты - отметить и выполнить скрипт номер 3.

После этого перезагрузитесь. В папке с AVZ появится подпапка LOG. Прикрепите здесь архив virusinfo_syscure.zip из этой подпапки.

Изменено 6 апреля, 2007 пользователем Saule

[Saule]

Вот лог сделал..подскажите что делать?

Установить Firewall (подробнее в теме: Firewall - Что это такое?) и настроить его должным образом.

[39988]

"Хакеры пытаются кончить мой комп." - хотели бы кончили

лог ваш никакой информации не нисёт

[Post]

Он виснет постоянно, процессы прут, но вчера вообще самостоятельно менялся рабочий стол, думал вируса поймал,

И поймал вируса, а именно трояна, скорее всего pinch, с помощью него хакер получил о твоём компе инфу, с помощью которой он смог подключиться к твоему удалёному компьютеру! Он мог твой компьютер использовать в своих злых и нелегальных умослах... ;)

Советов в лечение этого я незнаю, кроме как формат диска С.

Желаю удачи

[Vitaly2007]

И поймал вируса, а именно трояна, скорее всего pinch, с помощью него хакер получил о твоём компе инфу, с помощью которой он смог подключиться к твоему удалёному компьютеру! Он мог твой компьютер использовать в своих злых и нелегальных умослах... ;)

Советов в лечение этого я незнаю, кроме как формат диска С.

Желаю удачи

Пытался сделать формат С, но не форматируется он...пишет что типа будет две системы на компе, что-то там почистил и вроде установился, но после этого в папке "Програмфайлс" на С остались все программы что были (соответственно форматирования не произошло?) а в Пуск/Программы не было ни единой..

Спасибо. Удача мне не помешает.

[Vitaly2007]

Сделайте, пожалуйста, расширенное исследование системы.

Скачайте http://z-oleg.com/avz4.zip

Распакуйте, запустите avz.exe.

Файл - Стандартные скрипты - отметить и выполнить скрипт номер 3.

После этого перезагрузитесь. В папке с AVZ появится подпапка LOG. Прикрепите здесь архив virusinfo_syscure.zip из этой подпапки.

Все сделал как Вы сказали, прикрепляю файл.

Еще странную вещь заметил, когда захожу в "Детали сетевого подключения" вижу там надписи "Аренда получена" и "Аренда истекает", она постоянно на неделю и отчет обновляется с момента перезагрузки, раньше такого не было..

virusinfo_syscure.zip

virusinfo_syscure.zip

[NickGolovko]

Признаков заражения нет.

Посмотрите в личку: я пришлю вам ссылку на электронную книгу по безопасной конфигурации системы. Это поможет вам чувствовать себя увереннее в Сети.

[Vitaly2007]

Признаков заражения нет.

Посмотрите в личку: я пришлю вам ссылку на электронную книгу по безопасной конфигурации системы. Это поможет вам чувствовать себя увереннее в Сети.

Вы знаете, меня смутила в этом логе одна вещь.. вот эта: \System Volume Information\_restore{992A32F1-5E89-44FD-964E-298F0553FAF6}\RP19\A0006711.exe Invalid file - not a PKZip file , в поисковике это выглядит так: Сайт

Посмотрите пожалуйста.

[Timba]

Вы знаете, меня смутила в этом логе одна вещь.. вот эта: \System Volume Information\_restore{992A32F1-5E89-44FD-964E-298F0553FAF6}\RP19\A0006711.exe Invalid file - not a PKZip file , в поисковике это выглядит так:

То что выдал поисковик, это как раз и есть то, о чем неоднократно говорила saule, это вирусы, поражающие файлы в папке восстановления системы, в которую доступ для антивируса закрыт. Необязательно в нем у вас должен сидеть вирус/троян, но поврежденным он может быть. Отсюда и запись в логе. Более подробнее она вам наверное ответит, специализация однако. :(

[NickGolovko]

Вы знаете, меня смутила в этом логе одна вещь.. вот эта: \System Volume Information\_restore{992A32F1-5E89-44FD-964E-298F0553FAF6}\RP19\A0006711.exe Invalid file - not a PKZip file , в поисковике это выглядит так: Сайт

Посмотрите пожалуйста.

Это просто ошибка распаковки. Если бы там что-то было, я бы сказал вам.

[Saule]

То что выдал поисковик, это как раз и есть то, о чем неоднократно говорила saule, это вирусы, поражающие файлы в папке восстановления системы...

Не совсем так, потому что "в планы вируса" поражение папки System Volume Information\_restore... по сути не входит. Всё, что там находится, попадает туда исключительно благодаря самой ОС Windows, которая старательно копирует в эти директории любые данные для своей функции System Restore (восстановление системы).

Но фактически, даже если в этих папках будет найдено что-либо вредоносное, то в большинстве случаев это совсем не критично для вашей системы - по крайней мере, до тех пор, пока вы не решите воспользоваться функцией восстановления.

Vitaly2007

В вашей же ситуации речь вообще шла не о вирусе, а об "Invalid file - not a PKZip file". Причем, скорее всего, в папке System Volume Information\_restore... была копия следующего файла:

C:\Documents and Settings\Vitaly\Рабочий стол\Acronis OS Selector 8.0\

osselector8.0_s_ru.exe

Invalid file - not a PKZip file

Так как, System Volume Information - это как бы своеобразное "зеркало" вашей системы + всё, что определяется AVZ как 'not a PKZip file', как уже отметил NickGolovko, говорит всего лишь о том, что AVZ не удалось распаковать данный файл (и соответственно как-либо этот файл проверить).

[Форматцевт]

Vitaly2007 в дополнение к посту Saule: добавлю, следует поставить последнюю версию WinRAR, те WinRAR 3.62 и проблемы должны исчезнуть, а другие архиваторы следует удалить.

Изменено 8 апреля, 2007 пользователем Indomito

[Saule]

Vitaly2007 в дополнение к посту Saule: добавлю, следует поставить последнюю версию WinRAR, те WinRAR 3.62 и проблемы должны исчезнуть, а другие архиваторы следует удалить.

Я почему-то уверенна, что AVZ распаковывает файлы встроенными распаковщиками

Поэтому мне откровенно не кажется, что что-то из этого следует. Не язвлю, честное слово! :)

Вы хотя бы на файл посмотрите, о распаковке которого там шла речь - лично я в том, что AVZ не удалось его распаковать, ничего удивительного не вижу.

[Форматцевт]

Saule: ну посмотрел, ну ничего такого не законного. Я правда не шучу :)

[ser208]

Saule: ну посмотрел, ну ничего такого не законного. Я правда не шучу :)

Как не крути, а приложения winrar не обязан распаковывать ни в старых, ни в новых версиях :)

Изменено 8 апреля, 2007 пользователем ser208

[Saule]

Saule: ну посмотрел, ну ничего такого не законного. Я правда не шучу :)

Еще раз обращаю внимание на то, что распаковщики в любом антивирусе - внутренние (т.е. зашиты в код антивируса). Поэтому установленная версия Winrar, да и вообще его наличие (или любого другого "внешного" архиватора) на компьютере никакого значения не имеет.

[LifeOnNet]

в принципе я сталкивался со многими программами которые любят использовать winrar для чтения архивов, даже сам Windows Explorer a.k.a Проводник использует Winrar для чтения и работы с Winrar архивами как с папкой.

кстати сюдя по записи файл не инфицирован а просто некорректно открыт программой.

[Тролль]

Windows Explorer a.k.a Проводник использует Winrar для чтения и работы с Winrar архивами как с папкой.

Евгений Рошаль (автор WinRar) был бы счастлив... :D Но ни XP, ни Vista не умеют читать или распаковывать RAR архивы. Тем более WinRar'ом, он платная программа, Microsoft пришлось бы покупать у Рошаля лицензию на ее использование в Windows. А WinRar после обработки в Microsoft занимал бы 100 Мбайт :(

[LifeOnNet]

Евгений Рошаль (автор WinRar) был бы счастлив... ;) Но ни XP, ни Vista не умеют читать или распаковывать RAR архивы. Тем более WinRar'ом, он платная программа, Microsoft пришлось бы покупать у Рошаля лицензию на ее использование в Windows. А WinRar после обработки в Microsoft занимал бы 100 Мбайт ;)

оказывается ты прав, Проводник способен читать и писать только zip файлы и называет он их Сжатыми папками. После установки Винрара возникает ощущение, что это Винрар позволяет читать zip файлы в Windows.

[NickGolovko]

После установки Винрара возникает ощущение, что это Винрар позволяет читать zip файлы в Windows.

... а после установки Nero кажется, что это Nero позволяет писать диски в Windows. :) Вывод: не верь глазам своим. :)

[andr T]

Установи себе Kaspersky Internet Securyty и ни один придурок тебе ничего не закинет. Я пользуюсь и доволен. ;)

[Vitaly2007]

эх.. на каких сайтах я только не сканировал свой компьютер, вирусов не находит, но говорят что открыты порты, процессы все так же продолжают занимать под 100% в скайпе или интерколе вообще кошмар, все виснет жутко.. Уже не знаю что делать совсем.. Не подскажете, может есть какая-нибудь "закрывашка" портов?

Каспирский, в онлайне сканировал, нашел вроде какой-то троян "Зараженный объект: Trojan.Win32.Obfuscated.en", но кроме каспирского про этот вирус ни сказала не одна другая антивирусная проверка..

Да еще когда иду посмотреть процессы (Cntr+Alt+Delete) заметил странную вещь...закладка "Пользовател" отсутствует вообще. С чем это могло бы быть связано?

Уже потерял практически надежду на восстановление компьютера.. может быть мне надо его полностью отформатировать? подскажите как грамотно это сделать.. Очень Вам признателен.

[NickGolovko]

Уже не помню: я отсылал вас к книге по безопасности? Там все описано.

[ser208]

Установи себе Kaspersky Internet Securyty и ни один придурок тебе ничего не закинет. Я пользуюсь и доволен. :(

Придурок может быть и не закинет...