Наблюдение за экраном.

**SpyHunter** · 23 мая, 2007

С недавнего времени случайно скачал файл:

НЕКАЧАТЬ _http://www.sambir.onlinehoster.net/veshebot.exe НЕКАЧАТЬ

После его запуска нечего непроизошло я проверил его нодом тоже нечего ну и удалил со вреченем начал замечать звуки как у радмина при входе и выходе на твой комп, на и вот на дня все подтвердилось был подобран и сменен парлль у моего почтового ящика и логина на одном сайте даж ненаю как вытравить эту гадость вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 13:49:54, on 23.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

D:\Program Files\IP Anonymizer\IP Anonymizer.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\ICQLite\ICQLite.exe

D:\Program Files\BeTwin\BeTwinAssistant.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Program Files\BeTwin\BeTwinMessages.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Save\Save.exe

C:\WINDOWS\System32\RDPSSW32.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\System32\BeTwinServiceXP.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Program Files\dwar_client\DWarC2.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\BeTwin\Rdpman.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\Саша\Рабочий стол\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [iPAnonymizer] D:\Program Files\IP Anonymizer\IP Anonymizer.exe

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [beTwinAssistant] "D:\Program Files\BeTwin\BeTwinAssistant.exe"

O4 - HKLM\..\Run: [beTwinMessages] "D:\Program Files\BeTwin\BeTwinMessages.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [EMotion] D:\123\emotion.exe -a

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Быстрый запуск HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{343FC842-D320-4681-AE02-4DD2645A129E}: NameServer = 192.168.111.252 192.168.111.50

O17 - HKLM\System\CCS\Services\Tcpip\..\{8E411A0C-25E6-48C6-B736-427CB0A8A99C}: NameServer = 192.168.111.50,192.168.111.252

O20 - Winlogon Notify: wcnotify - C:\WINDOWS\SYSTEM32\wcnotify.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: BeTwin Terminal Services (TermService) - ThinSoft Pte Ltd. - C:\WINDOWS\System32\BeTwinServiceXP.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Что тока не ставил и вин коннект, и вин инспектор короче прошу помощи.

**Сыр** · 23 мая, 2007

На мой (весьма ламерский в этой области) взгляд, здесь подозрительны две вещи:

1.not-a-virus:AdTool.Win32.WhenU хз какой версии (по классификации Касперского). Вас, случаем, не замучила реклама? Я когда-то успешно замочил эту гадость Ad-Aware, прогнал пару раз и все. В любом случае, эта программа хоть и advware, а также совмещает в себе функции spyware, не является виновником всех ваших основных бед.

2.

O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE

Попробуйте всеж-таки отключить на время данный сервис. Какой-то он подозрительный.

Пуск (Start) > Панель Управления (Control Panel) > Администрирование (Administrative Tools) > Службы (Services)

Чтобы изменить значение типа запуска, установленное по умолчанию, кликните по нужной службе двойным нажатием мыши и в открывшемся окне свойств в первой закладке - "Общие" ("General") - выберите желаемый "Тип Запуска" ("StartUp Type"):

Посмотрим, что будет.

PS. Интересно, что скажут специалисты? Хоть в чем-то я прав?

PPS. На будущее - когда будете делать лог HijackThis, закройте основные приложения, типа Ворда, ICQ, а то лог читать очень трудно - слишком много всего запущено, сразу и не сориентируешься.

Изменено 23 мая, 2007 пользователем Сыр

**PhantasM** · 23 мая, 2007

С недавнего времени случайно скачал файл:

НЕКАЧАТЬ

Complete scanning result of "veshebot.exe", received in VirusTotal at 05.23.2007, 13:07:27 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.5.23.1 05.23.2007 no virus found

AntiVir 7.4.0.27 05.23.2007 TR/Crypt.XPACK.Gen

Authentium 4.93.8 05.23.2007 no virus found

Avast 4.7.997.0 05.22.2007 no virus found

AVG 7.5.0.467 05.22.2007 no virus found

BitDefender 7.2 05.23.2007 no virus found

CAT-QuickHeal 9.00 05.22.2007 (Suspicious) - DNAScan

ClamAV devel-20070416 05.23.2007 Dialer-917

DrWeb 4.33 05.23.2007 Trojan.PWS.LDPinch.1417

eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm

eTrust-Vet 30.7.3655 05.23.2007 no virus found

Ewido 4.0 05.23.2007 no virus found

FileAdvisor 1 05.23.2007 no virus found

Fortinet 2.85.0.0 05.23.2007 suspicious

F-Prot 4.3.2.48 05.22.2007 no virus found (Обидно)

F-Secure 6.70.13030.0 05.23.2007 no virus found

Ikarus T3.1.1.8 05.23.2007 Trojan-PWS.Win32.LdPinch.bia

Kaspersky 4.0.2.24 05.23.2007 no virus found

McAfee 5036 05.22.2007 no virus found

Microsoft 1.2503 05.22.2007 no virus found

NOD32v2 2286 05.23.2007 no virus found

Norman 5.80.02 05.23.2007 no virus found

Panda 9.0.0.4 05.23.2007 Suspicious file

Prevx1 V2 05.23.2007 no virus found

Sophos 4.17.0 05.23.2007 Mal/Basine-C

Sunbelt 2.2.907.0 05.17.2007 VIPRE.Suspicious

Symantec 10 05.23.2007 no virus found

TheHacker 6.1.6.120 05.21.2007 no virus found

VBA32 3.12.0 05.22.2007 MalwareScope.Trojan-PSW.Pinch.1

VirusBuster 4.3.23:9 05.22.2007 no virus found

Webwasher-Gateway 6.0.1 05.23.2007 Trojan.Crypt.XPACK.Gen

**Сыр** · 23 мая, 2007

DrWeb 4.33 05.23.2007 Trojan.PWS.LDPinch.1417

А-а-а-а, ну тогда понятно, почему наша яхта пустила корни (С).

SpyHunter: Советую вам поменять пароли и на все остальное. Быть может (а скорее всего так и есть), пинч уже отослал ваши пароли кому-нибудь. Хотя.. он у вас может и щас сидит... или может самоудаляющийся. Поменять пароли в любом случае не помешает. Меняйте пароле везде, где возможно: на форумах, в ICQ и т.д.

PhantasM: Если у вас остался данный файлик, отправьте его, пожалуйста, в запароленном архиве (пароль укажите в письме) на:

newvirus@kaspersky.com

samples@eset.com

и чтоб не было обидно за F-Prot, заполните вот эту форму.

**SpyHunter** · 23 мая, 2007

ок спс ща гляну получится нет, вот еще вопросик зачем разукрасили мой лог в предыдущем сообщении???

**PhantasM** · 23 мая, 2007

А-а-а-а, ну тогда понятно, почему наша яхта пустила корни (С).

PhantasM: Если у вас остался данный файлик, отправьте его, пожалуйста, в запароленном архиве (пароль укажите в письме) на:

newvirus@kaspersky.com

samples@eset.com

и чтоб не было обидно за F-Prot, заполните вот эту форму.

так я сразу и отослал как на тотал его проверил :)

Только мой почтовый провайдер спалил его в запароленом. Пришлось трижды упаковать и отправить так

**SpyHunter** · 23 мая, 2007

Так я неопнял все понаписывали много всег оа конкретно чт осделат ьнесказли чт ооткда удаолить кроме 1 файла ито уж чтео замудренн ос ним всё

**PhantasM** · 23 мая, 2007

Так я неопнял все понаписывали много всег оа конкретно чт осделат ьнесказли чт ооткда удаолить кроме 1 файла ито уж чтео замудренн ос ним всё

Воспользуйся CureIT и AVZ

Справка по работе с AVZ

Если не осилишь, Тебе в раздел этого же форума Помощь в лечении систем от нечисти

**ser208** · 23 мая, 2007

Пофикси в Hijack:

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O20 - Winlogon Notify: wcnotify - C:\WINDOWS\SYSTEM32\wcnotify.dll

Отключи, как Сыр написал:

O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE

**SpyHunter** · 23 мая, 2007

воспользовался программой AVZ перегрузил комп нашло очень многое файла 6, сделал все чт обыло написанно в других сообшениях.

ПРоблемма нерешенная также слышу звуки входа и выхода на мой комп тока терь обидчик несидит подолгу наблюдая за моим экраном а входит проверяет невытровил я его и уходит. ВОт новый лог.

Logfile of HijackThis v1.99.1

Scan saved at 21:01:14, on 23.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\BeTwinServiceXP.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

D:\Program Files\BeTwin\BeTwinAssistant.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

D:\Program Files\dwar_client\DWarC2.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Защита\hijackthis\HijackThis.exe