подозрение на вирусы

[lamauser]

Доброго времени суток.

перейду сразу к сути. Последнее время появились сбои в работе системы.

в частности это проявляется в том, что IE очень часто закрывается с ошибкой, т.е жмем на крестик на одной странице и получаем белый экран, IE подвисает, и потом выдает ошибку и закрывает все открытые страницы.

+ к этому проблемы с доступом к почте, ввожу лог и пасс...пишет что не верно.

запускаю маил агент ввожу тот же лог и пас.. пропускает а через страницу браузера нивкакую

сижу под доктор вебом, базы свежие, адаверой проверяюсь раз в две недели, тишина и покой.

НО 6м чувством чую, что где то гадость сидит :)

да и лог HiJackThis меня не впечатлил)

хотелось бы услышать мнение экспертов :)

[Saule]

Последнее время появились сбои в работе системы...

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O1 - Hosts: 127.0.0.42 update.symantec.com

O1 - Hosts: 127.0.0.43 updates.symantec.com

O1 - Hosts: 127.0.0.44 us.mcafee.com

O1 - Hosts: 127.0.0.45 vil.nai.com

O1 - Hosts: 127.0.0.46 viruslist.ru

O1 - Hosts: 127.0.0.47 windowsupdate.microsoft.com

O1 - Hosts: 127.0.0.6 avp.ch

O1 - Hosts: 127.0.0.7 avp.com

O1 - Hosts: 127.0.0.8 avp.ru

O1 - Hosts: 127.0.0.20 fastclick.net

O1 - Hosts: 127.0.0.21 f-secure.com

O1 - Hosts: 127.0.0.22 ftp.f-secure.com

O1 - Hosts: 127.0.0.23 ftp.sophos.com

O1 - Hosts: 127.0.0.24 go.microsoft.com

O1 - Hosts: 127.0.0.25 liveupdate.symantec.com

O1 - Hosts: 127.0.0.26 mast.mcafee.com

O1 - Hosts: 127.0.0.27 mcafee.com

O1 - Hosts: 127.0.0.29 msdn.microsoft.com

O1 - Hosts: 127.0.0.31 nai.com

O1 - Hosts: 127.0.0.32 networkassociates.com

O1 - Hosts: 127.0.0.33 office.microsoft.com

O1 - Hosts: 127.0.0.34 phx.corporate-ir.net

O1 - Hosts: 127.0.0.35 secure.nai.com

O1 - Hosts: 127.0.0.36 securityresponse.symantec.com

O1 - Hosts: 127.0.0.37 service1.symantec.com

O1 - Hosts: 127.0.0.38 sophos.com

O1 - Hosts: 127.0.0.40 support.microsoft.com

O1 - Hosts: 127.0.0.41 symantec.com

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Нажимаем: Start > Run (Пуск > Выполнить)

И копируем в строку:

sc delete PowerManager

Нажимаем ОК или клавишу ENTER.

3. Чтобы избавиться от ntos.exe проще и эффективней воспользоваться SDFix.

Скачиваем и запускаем - это самораспаковывающийся архив.

В системном каталоге будет создана папка SDFix:

C:\

SDFix

Теперь необходимо перезагрузить компьютер в безопасный режим (

Safe Mode

)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.

В безопасном режиме открываем папку

SDFix

и запускаем файл

RunThis.bat

.

Пишем букву

Y

и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить вас нажать на любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись

Finished

и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием

Report.txt

), где будут описаны все сделанные им действия.

Плюс все удаленные файлы будут автоматически сохранены в папку '

Backups

', которая по умолчанию создается вот здесь:

C:\SDFix\backups\

backups.zip

Удалите её.

--------

Если после этого что-то еще будет всё-таки беспокоить, то сделайте, пожалуйста, новый лог HijackThis + также не будет лишним присоединить к своему сообщению и отчет SDFix.

[lamauser]

спасибо, приеду вечером домой обязательно выполню.

вообщем надо учиться изучать логи HiJackThis, ибо программа просто класс.

проверил рабочии комп, собственно если я правельно понял, то тут зараза аналогичная.

я прав?

[ser208]

Да, та же самая.

[lamauser]

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

сделано

2. Нажимаем: Start > Run (Пуск > Выполнить)

И копируем в строку:

sc delete PowerManager

Нажимаем ОК или клавишу ENTER.

сделано

3. Чтобы избавиться от ntos.exe проще и эффективней воспользоваться SDFix

сделано, но есть одно мальнькое НО.

в логе нет упоминания о том, что найден ntos.exe и сопутствующие ему аудио и видео. :)

лог SDFix и лог HijackThis после выполнения пунктов 1-3 прилагаю.

можно спать спокойно?

[lamauser]

приехал домой, полез проверять почту, опять не пускает.

я сразу в HijackThis, а там ntos.exe

этого собственно и следовало ожидать, ведь в первом логе SDFix

никакого ntos.exe не было..

В этот раз он его поимал.

Возникает вопрос, почему не поимал в первый раз.

и самое главное могу ли я спать спокойно теперь.

вот последнии лог SDFix и результаты деятельности HijackThis.

[ser208]

Сегодня даже без валерианы можешь укладываться.

[lamauser]

Сегодня даже без валерианы можешь укладываться.

извини, но я паронойк и вот такие строчки в AVZ меня нервируют)

Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004C66A]

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004C916]

Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004CD26]

C:\Documents and Settings\Администратор\Local Settings\Temp\76.exe >>>>> Trojan-PSW.Win32.Small.bs

C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

полною версию лога+ иследование системы прикрепил

[ser208]

http://www.bombina.com/load/anti_autorun.exe

Эта утилитка тебе в помощь.

А также ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[lamauser]

http://www.bombina.com/load/anti_autorun.exe

Эта утилитка тебе в помощь.

А также ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

спасибо, авторан выбил..а вот утилитку от Игоря Данилова я так понял эффективней юзать со сменного диска, а у меня как назло закончились болванки

завтра куплю, и продолжим

при запуске с hdd диска cureit ничего не находит :D

[lamauser]

битва продолжается, сегодня Ad-Aware выловил пачку

Win32.TrojanDownloader.Agent(18шт)

Win32.Backdoor.Agent(4шт)

я так понял, вирусы принципиально не хотят уходить от меня

[lamauser]

и еще, вот такая штука переодически выпрыгивает.

на подное приложение винды не тянет, сам не стваил)

[ser208]

Покажи новые логи AVZ и HijackThis.

[lamauser]

Итак, очередная порцая вирусов

C:\WINDOWS\system32\0007000.exe >>>>> Trojan-Spy.Win32.Zbot.ak

C:\WINDOWS\system32\0005000.exe >>>>> Trojan-Spy.Win32.Zbot.ak

C:\WINDOWS\system32\LDR2D.tmp >>>>> Trojan-PSW.Win32.LdPinch.cvd

C:\Documents and Settings\Администратор\Local Settings\Temp\76.exe >>>>> Trojan-PSW.Win32.Small.bs

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP187\A0138769.exe >>>>> Email-Worm.Win32.Zhelatin.ch

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP187\A0138770.exe >>>>> Email-Worm.Win32.Zhelatin.ch

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP187\A0140151.exe >>>>> Trojan-Downloader.Win32.Tiny.mr

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP194\A0144814.EXE >>>>> Email-Worm.Win32.Zhelatin.ch

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP194\A0144826.exe >>>>> Email-Worm.Win32.Zhelatin.ch

C:\System Volume Information\_restore{21F38905-02BC-4CC0-B2E9-676C3E48DEE9}\RP195\A0144932.exe >>>>> Trojan-Spy.Win32.Zbot.ak

ваше мнение?)

форматировать всеравно не буду :)

[ser208]

Сначала отключи восстановление системы.

Перегрузись.

В Hijack пофикси строку

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exе

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);SetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\0007000.exe'); BC_DeleteFile('C:\WINDOWS\system32\0005000.exe'); BC_DeleteFile('C:\WINDOWS\system32\LDR2D.tmp'); BC_DeleteFile('C:\WINDOWS\Temp\JET19D4.tmp'); BC_DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\76.exe');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

В AVZ меню Файл -- Выполнить скрипт

Загрузи этот код и нажми "запустить".

Компьютер перезагрузится.

С помощью AVZ меню Сервис--поиск файлов на диске

поставь галочку перед диском С: и введи в строку поиска "SCRNSAVE.EXE"

Нажми "Пуск" и посмотри, не найдется ли этот файл на диске.

Надеюсь, все пройдет гладко

Откуда ты их хватаешь только?

Edited October 13, 2007 by ser208

[lamauser]

Откуда ты их хватаешь только?

чтоб я знал, при учете что я в будни пользуюсь домашним компом час, полтора...до думаю надо братцу пошее настучать.

лечить буду утром..ща уже не соображаю не фига)

[lamauser]

1.отключил

2.пофиксил

3.скрипт выполнен без ошибок

4.фаил не найден

новая пачка логов

п.с должен ли в процессах присутствовать winlogon.exe?

и чего делать с kktkrrd.exe?

или оно тут вообще не причем?)

[ser208]

и чего делать с kktkrrd.exe?

Я про него забыл ;)

В AVZ выполни код.

begin BC_DeleteFile('C:\TMP\kktkrrd.exe');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Восстановление системы можешь теперь включить. Лучше только на системном диске.

Edited October 14, 2007 by ser208

[lamauser]

да и еще, способен ли SpywareBlaster или Spybot препятствовать инфицированию *моими* вирусами? ;)

Я про него забыл :(

В AVZ выполни код.

не выполняется, пишет в позици 7-1 нехватает точки)

[ser208]

да и еще, способен ли SpywareBlaster или Spybot препятствовать инфицированию *моими* вирусами? ;)

не выполняется, пишет в позици 7-1 нехватает точки)

100% результата не даст никакой продукт. А это вообще не антивирусы.

А так?

beginSetAVZGuardStatus(True); BC_DeleteFile('C:\TMP\kktkrrd.exe');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Восстановление системы можешь теперь включить. Лучше только на системном диске.

Edited October 14, 2007 by ser208

[lamauser]

воощем скрипт выполнил ;)

востановление включил)

и все таки Шо это было?)

[ser208]

и все таки Шо это было?)

Тебе пароли все имеющиеся не мешало бы теперь сменить после Pinch.

[lamauser]

Тебе пароли все имеющиеся не мешало бы теперь сменить после Pinch.

это я уже понял.

вопрос, как предотвратить повторное заражение подобным?

[ser208]

это я уже понял.

вопрос, как предотвратить повторное заражение подобным?

Тут опять таки рецепта не существует. Не дураки же говову ломают, как внедриться к пользователю.

Общие только рекомендации.

Скрипты отключить в браузере, на порнушные сайты поменьше шляться, не открывать вложения и ссылки в спаме и письмах от незнакомцев (иногда и знакомцев ;) ), обновлять вовремя винду и антивирусные базы. Посмотри рекомендации Saule на сайте в разделе по безопасности, полезно ознакомиться.

Edited October 14, 2007 by ser208

[lamauser]

Тут опять таки рецепта не существует.

Общие только рекомендации.

Скрипты отключить в браузере, на порнушные сайты поменьше шляться, не открывать вложения и ссылки в спаме и письмах от незнакомцев (иногда и знакомцев :( ), обновлять вовремя винду и антивирусные базы. Посмотри рекомендации Saule на сайте в разделе по безопасности, полезно ознакомиться.

самое обидное, что этим рекомендациям я следую уже лет 5 как ;)