Помогите разобраться с ситуацией

[lubast]

osam.logavz_sysinfo.ziphijackthis.logWinPatrol_Report_Log.txt Очень нужна ваша помощь!!!!!

В пятницу от провайдера узнаю, что от меня идет спам-рассылка. Поскольку имею 2 компьютера от одного роутера, сразу определить, кто из них «чудит» не могу.

Всю субботу бегаю от одного к другому, тестирую - безрезультатно. Внешне все благопристойно.

В воскресенье с утра замечаю, что какой-то мой компьютер «медлительный». Компьютер постоянно работает, подключен к Интернету. Перезагружаюсь…. Система не грузится. С долгими усилиями попадаю в безопасный режим. Обнаруживаю, что нет ни одной системной точки, хотя накануне я была там и все было ОК. Пытаюсь снова зайти. Заходит, внешне все нормально, но при попытке распаковать новую версию менеджера закачек выскакивает предупреждение Аваста о том, что в С:\WINDOWS\system32\sfc_os.dll Троян WIN32:Banker_CUU[Trj].

Пропускаю без каких либо действий (вообще сразу никогда не удаляю, сначала в Инете ищу информацию о проблеме, после принимаю решение), менеджер закачек не обновляю.

Проверяю файл sfc_os.dll он-лайновом сканером с 36 антивирусами, 2 из них AVAST и Prevx опознают в нем Трояна.

Также все, относящееся к sfc_os опознается этими двумя анивирусами, как Трояны.

Нахожу новые файлы sfc_os, AVAST на них не ругается. Удаляю старые, ставлю новые. Все вроде бы нормально работает весь день, но на следующий день замечаю то, что на компьютере пропал звук.

Ставлю драйвера, звук появляется, перезагружаюсь – снова тишина. Обращаю внимание на то, что выгруженные образы дисков при каждой перезагрузке снова оказываются загруженными в виртуальный привод. :)

Проверяю AVAST, CureIt, АVZ – ничего не находится. Outpost со своим Anty-Spyware ничего не диагностирует. Ad-Aware молчит. Все вышеперечисленные программы имеют свежеобновленные версии.

На всякий случай выключаю компьютер на ночь, что, в принципе никогда не делаю. При очередном включении происходят «необычные» явления. Сразу после загрузки на секунду выскочило окно, где было что-то про какую-то установку какой-то программы. Я и моргнуть не успела. Потом еще какая-то таблица «знаний» выскакивает и исчезает.

Компьютер мне слишком дорог, операционная система – еще больше. Не могу сказать про себя, что халатно отношусь к безопасности (письма от незнакомых «граждан» без просмотра удаляю сразу и без восстановления), но изредка приходится загружать разные программы с ключиками. Никогда без проверки 2-мя антивирусами их не распаковываю, если что-то показывает, мгновенно удаляю, но быть до конца уверенной ни в чем нельзя. Поэтому несколько раз в неделю тестируюсь также AVAST, CureIt, АVZ, Anty-Spyware, Ad-Aware. Раньше частенько использовала он-лайн сканеры. И вот такая беда.

В сердцах загрузила некогда любимую собаку Scotty (WinPatrol), которая помогла мне в лечении машины в 2004 году. Пришла в некоторый шок от увиденных скрытых файлов. Некоторые впечатлили своими емкими названиями.

C:\q.exe; C:\p.exe, C:\WINDOWS\cvchost.exe, C:\WINDOWS\seksdialer.exe, C:\WINDOWS\rocky.exe и т.д…. Все по 0 Кб….

Перерыла весь Интернет и поняла, что лучше обратиться за помощью к вам, потому полностью разобраться в ситуации я не в состоянии, и, боюсь, что самолечение в моем случае может не получится. И очень опасаюсь, что неправильным удалением всего, что мне кажется подозрительным сделаю так, что у меня рухнет система. ТОЛЬКО НЕ ЭТО!!!!

Сделала всевозможные логи.

HELP ME!!!!

В дополнение к вышеприкрепленному:

WinPatrol_Report_Log.txt

hijackthis.log

avz_sysinfo.zip

osam.log

[ser208]

Троян WIN32:Banker_CUU

По информации это ложное срабатывание Аваста.

В программе OSAM убери галочку перед драйвером C:\WINDOWS\System32\drivers\CDAC15BA.SYS

после перегружайся и сделай новый лог AVZ.

Не факт, что это виновник, но...

Также в AVZ поставь галочку перед системным диском С: и нажми кнопку "ПУСК". После сканирования нажми значок дискетки "Сохранить протокол" и выложи получившийся лог здесь.

Ставлю драйвера, звук появляется, перезагружаюсь – снова тишина

Странная ситуация. Где-то в последнее время встречалось.

З.Ы. Такая туча вспомогательного софта :cool:

ИМХО, попроще надо.

Изменено 21 ноября, 2007 пользователем ser208

[lubast]

По информации это ложное срабатывание Аваста.

В программе OSAM убери галочку перед драйвером C:\WINDOWS\System32\drivers\CDAC15BA.SYS

после перегружайся и сделай новый лог AVZ.

В OSAM галочку убрала, перезаагружаюсь - не грузится, захожу в safe mode - точки восстановления все опять исзчели, осталась только одна, вчерашняя. Бред. Раньше такого никогда не было. Восстанавливаюсь на нее, все грузится, снова загружаю OSAM, повторяю действия, перезагружаюсь.

На сей раз все ОК.

Полученные логи прикладываю.

osam.log

avz_sysinfo1.zip

С: просканирую и выложу попозже.

А меня все-таки еще и svshost беспокоит.

i

Уведомление:

Убрала двойной-постинг. Saule.

osam.log

avz_sysinfo1.zip

Изменено 24 ноября, 2007 пользователем Saule

[ser208]

А меня все-таки еще и svshost беспокоит.

Да это однозначно вирус, только в логах его пока не видно.

В логах ничего нового. Если будут какие-то неполадки с оборудованием, то верни галочку на место.

Изменено 22 ноября, 2007 пользователем ser208

[lubast]

Да это однозначно вирус, только в логах его пока не видно.

Я, конечно, извиняюсь. Но исправить написанное у меня не получилось.

Беспокоит еще и:

1) C:\WINDOWS\cvchost.exe

2) и системный svсhost C:\WINDOWS\system32\svchost.exe - скриншот с которым я выкладывала.

А с компьютером и, правда, беда.

Тут у меня был в файлах unlocker - абсолютно нормальный екзешник, я его до этой истории устанавливала, он у меня слетел, я снова его запускаю, - вылетает MS-DOS черное окошко, потом еще одно.... После этого компьютер не загружается....

Нахожу новый файлик, он запускается, все нормально. На следующий день специально заглядываю - у него уже значок MS-DOSa откуда ни возьмись появился.

Чем его протестировать компьютер, чтобы разобраться и устранить проблему?

А что делать с скрытыми файлами, обнаруженными WinPatrol? Я, конечно, могу и уничтожить их, хуже не сделаю?

Далеко не все имеют 0 размер.

[ser208]

cvchost, dl, rocky, seкsdialer, un

Можешь удалить эти файлы. Только это ничего не изменит. Они не при деле, так сказать.

А проблемы скорее всего от обилия так называемого защитного софта и др.

Удали для начала SuperAntySpyware.

С:\WINDOWS\system32\sfc_os.dll

Желательно старый вернуть на место или восстановить с дистрибутива Windows. Это был "здоровый" файл.

Нужно из командной строки зайти в папку I386 дистрибутива и выполнить команду: expand SFC_OS.DL_ %windir%\System32\SFC_OS.DLL

Изменено 22 ноября, 2007 пользователем ser208

[lubast]

SuperAntySpyware уже давно стоит. Проблем не было. Но могу снести. Я им редко пользуюсь.

Поставила в чисто ознакомительных целях.

WinPatrol тоже поставила только, когда начались проблемы (пару дней назад) и лишь для того, чтобы протестировать все, найти какую-нибудь дрянь, а потом удалить. Он тоже неплохо отражает информацию о компьютере.

Для постоянной защиты использую лишь

AVAST и Outpost.

Периодически тестируюсь CureIt, АVZ и Ad-Aware.

До этого случая все работало добротно.

Что касается sfc_os.dll - старые все, к сожалению, снесены отовсюду напрочь.

А чем плохи установленные новые? Принтер печатает. И на них avast не реагировал..

[lubast]

А вот и информация, полученная после проверки AVZ C:

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 22.11.2007 7:30:30

Загружена база: 136657 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 21.11.2007 15:46

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 66382

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[002BC66A]

Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[002BC642]

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[002BC966]

Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[002BC93E]

Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[002BC61A]

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[002BC916]

Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[002BC8EE]

Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[002BC70A]

Функция ntdll.dll:NtResumeProcess (296) перехвачена, метод APICodeHijack.JmpTo[002BC7D2]

Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[002BC7AA]

Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[002BC732]

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[002BC8C6]

Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[002BC822]

Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[002BC7FA]

Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[002BC872]

Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[002BC89E]

Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[002BC70A]

Функция ntdll.dll:ZwResumeProcess (1105) перехвачена, метод APICodeHijack.JmpTo[002BC7D2]

Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[002BC7AA]

Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[002BC732]

Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[002BC8C6]

Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[002BC822]

Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[002BC7FA]

Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[002BC872]

Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[002BC89E]

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[002BCD26]

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[002BC52A]

Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[002BC502]

Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[002BCCFE]

Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[002BCCD6]

Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[002BCCAE]

Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[002BCC86]

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[002BC9B6]

Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[002BCA56]

Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[002BCACE]

Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[002BCAA6]

Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[002BCBBE]

Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[002BCB96]

Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[002BCA7E]

Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[002BCC5E]

Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[002BCB1E]

Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[002BCAF6]

Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[002BCB6E]

Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[002BCB46]

Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[002BCC36]

Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[002BCC0E]

Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[002BCBE6]

Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[002BCA2E]

Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[002BC98E]

Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[002BC9DE]

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[002BCD76]

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[002BCD4E]

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08C500)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80563500

KiST = 804E4F40 (284)

Функция NtAssignProcessToJobObject (13) перехвачена (805AA365->B4A268B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtClose (19) перехвачена (80570D29->B4A18BE0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateFile (25) перехвачена (8057F5A5->B4A161E0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateKey (29) перехвачена (80579528->B4A1CFB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateProcess (2F) перехвачена (805B4A28->B4A24120), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateProcessEx (30) перехвачена (8058B5EC->B4A247F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSection (32) перехвачена (8056EE25->B4A154A0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSymbolicLinkObject (34) перехвачена (805A98D1->B4A1CDB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateThread (35) перехвачена (80586CE6->B4AD5FA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Функция NtDeleteFile (3E) перехвачена (805D77CA->B4A1BF80), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteKey (3F) перехвачена (8059C6B6->B4A1E200), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteValueKey (41) перехвачена (8059B19A->B4A22570), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtEnumerateKey (47) перехвачена (8057A69E->F750584C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtEnumerateValueKey (49) перехвачена (80590C93->F7505BEC), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtLoadDriver (61) перехвачена (805AD35E->B4A22F20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtMakeTemporaryObject (69) перехвачена (805A9B27->B4A1C700), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenFile (74) перехвачена (8057F719->B4A17AD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenKey (77) перехвачена (80573F1D->B4A1DBE0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenProcess (7A) перехвачена (80581C68->B4A24ED0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenSection (7D) перехвачена (8057B7EA->B4A15BA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtProtectVirtualMemory (89) перехвачена (80581F7D->B4A27670), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryDirectoryFile (91) перехвачена (805844F6->B4A19010), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryKey (A0) перехвачена (8057A29E->B4A1EB90), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryValueKey (B1) перехвачена (80574361->B4A1F1F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtReplaceKey (C1) перехвачена (8065647A->B4A202C0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtRestoreKey (CC) перехвачена (80654F9E->B4A21F00), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKey (CF) перехвачена (80655045->B4A21230), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKeyEx (D0) перехвачена (806550DB->B4A21890), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetInformationFile (E0) перехвачена (805822C9->B4A1A1A0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetValueKey (F7) перехвачена (80584921->B4A1F870), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtTerminateProcess (101) перехвачена (8058CE75->B4AD6910), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Функция NtTerminateThread (102) перехвачена (80583EB1->B4A260B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtUnloadDriver (106) перехвачена (80624F28->B4A23460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtWriteVirtualMemory (115) перехвачена (805880B7->B4A26F00), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Проверено функций: 284, перехвачено: 34, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [b3B3B16D] C:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [b3B3AFC2] C:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

2. Проверка памяти

Количество найденных процессов: 54

Количество загруженных модулей: 424

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\WINDOWS\system32\drivers\dtscsi.sys

Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys

Прямое чтение C:\WINDOWS\Temp\JET3C44.tmp

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\Program Files\BillP Studios\WinPatrol\PATROLPRO.DLL --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\BillP Studios\WinPatrol\PATROLPRO.DLL>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

C:\Program Files\BillP Studios\WinPatrol\PATROLPRO.DLL>>> Нейросеть: файл с вероятностью 99.84% похож на типовой перехватчик событий клавиатуры/мыши

C:\Program Files\SUPERAntiSpyware\SASSEH.DLL --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\SUPERAntiSpyware\SASSEH.DLL>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные

>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса

>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX

>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

Проверка завершена

Просканировано файлов: 121809, извлечено из архивов: 94839, найдено вредоносных программ 0, подозрений - 0

[ser208]

Ничего нового.

Подождем Saule, пожалуй.

Список уязвимых служб внизу лога. Отключи, если не используешь.

[lubast]

ser208

Спасибо за поддержку.

Пока все не налаживается. Компьютер какой-то "чудесатый".

2 вечера к ряду пыталась установить драйвера к звуковой карте.... :D Ставлю, долго грузится, после попытки перезагрузиться - не загружается... Бесчетное количество попыток. Только что вроде-бы удалось настроить. Но не знаю, что ждет меня после перезагрузки. Точку нарисовала, на всякий случай. Уж больно сложно как-то все дается.

Службы отключила. Некоторые были отключены, уж как самопроизвольно восстановились - понятия не имею. В связи с данным событием решила посмотреть на брэндмауэр Windows. :g: Была удивлена, что он тоже включился... Чудно. У меня уже много лет стоит Outpost, а родной отключен.

Ощущение, что что-то совсем не так не проходит. Поэтому буду ждать Saule, к ее появлению выложу логи посвежее, наверняка будут изменения.

[ser208]

Поэтому буду ждать Saule, к ее появлению выложу логи посвежее, наверняка будут изменения.

Она сможет посмотреть в выходные.

У тебя есть дистрибутив Виндоуз? Только нужен нормальный дистрибутив, не какая-нибудь сборка.

Если есть, то вставь в дисковод и

Пуск-- Выполнить -- sfc.exe /scannow

Будет выполнена проверка и замена "неродных" файлов Винды.

У тебя Acronis стоит. Ты им точки делаешь и откатываешься?

Совет на будущее. Хочешь воспользуйся, хочешь нет. Тебе скорее всего систему переустановить придется. Так проще всего. Не нагромождай софтом ее, Logitech всякими, дополнительными программами к мышкам, принтерам и т.п. железу. От прочих "ловцов нечисти", кроме нормального антивируса и файрволла откажись вовсе.

Этот Desktop Manager dll-ок наклепал -- в логе смотреть страшно :g:

Изменено 23 ноября, 2007 пользователем ser208

[lubast]

Дистрибутива Windows нет. Увы. Тот, который за 100 рублей, работает на соседнем компьютере и не слишком здорово. Мне так не надо.

Зверя по имени Logitech\Desktop Messenger убила, поэтому смотреть в логи теперь будет совсем не страшно :no:

Звук встал криво, но не слетает, что уже хорошо.

Вот свеженькие логи.

avz_log.txt

hijackthis.log

osam.log

Открыла соседнюю тему про еще один компьютер в моей домашней сетке, на который плохо думаю.

osam.log

hijackthis.log

avz_log.txt

[студент_86]

Дистрибутива Windows нет. Увы. Тот, который за 100 рублей, работает на соседнем компьютере и не слишком здорово. Мне так не надо.

Прочитал ту тему тоже, похоже что зараза там есть, раз провайдер видит. Но маленький оффтоп насчет плохого диска - почему бы не потратить еще 100 рублей (или обменять), может быть повезет? Далеко не все пиратские дистрибутивы плохи, обычно они работают вполне достойно, в любом случае хороший дистрибутив дома иметь надо. Чаще глюки идут не от винды, а от установленного софта. Как-то раз пришел к другу, а у него в трее висит с десяток процессов (ускоренный запуск Акробата, ВинАмп и т.д.). Поотключали - машина заработала заметно стабильнее. Не может у тебя быть та же ситуация?

Совет на будущее. Хочешь воспользуйся, хочешь нет. Тебе скорее всего систему переустановить придется. Так проще всего.

При переустановке не забудь перенести нужную информацию на другой диск, особенно Мои документы, наверняка они у тебя сейчас в папке по умолчанию на системном диске, после чего системный диск отформатируй. Установив винду, первым делом поставь Касперского (можно еще CureIt от доктора Веба), активируй пробную версию, обновись и проверь весь компьютер. Пока свой второй компьютер не вылечишь в сеть их не соединяй (хотя если на нем система стояла два-три года проще переустановить и ее тоже, независимо от наличия вирусов, ИМХО). И советом ser208 не пренебрегай. Если знаешь все это и без меня - не обижайся, просто хотел помочь. Удачи

Изменено 24 ноября, 2007 пользователем студент_86

[lubast]

студент_86

Честно сказать, у меня уже 4 диска с виндой - потому как один из компьютеров (из соседнепросто беспредел чинит. Где только я эти дистрибутивы не доставала, руки вроде бы не совсем кривые. Если на другом компьютере систему переставить - это не так страшно, просто достало (там она вообще периодичски не хочет устанавливаться) , то на этом я все силы положу, НО ПОСТАРАЮСЬ ИЗБЕЖАТЬ ПЕРЕУСТАНОВКИ СИСТЕМЫ.

Раньше был другой провайдер, компьютер был один, этот, и тоже он вещал про то, что я - спамер. Но, как выяснилось при разборе, он сделал эти выводы только из того, что у меня большой исходящий трафик. Конечно, большой, при постоянных торрентах и мулах.

С процессами тоже периодически выясняю отношения, мне лишние не нужны. Я в них не слишком сильна, но когда под руками интернет, знание - сила.

Информацию не системном почти не храню. Когда система начинает барахлить, сливаю все ссылки, почту на другой диск.

[ser208]

Увы. Тот, который за 100 рублей, работает на соседнем компьютере и не слишком здорово. Мне так не надо.

Когда я имел ввиду нормальный дистрибутив, то подразумевал просто копию оригинала. Утилита sfc.exe просто не будет работать с другими (сборками и т.п.). Есть пропатченные сборки, которые могут пойти (этим занимаются ребята на oszone), но мы их рассматривать не будем.

С процессами тоже периодически выясняю отношения

Можешь без ущерба отключить всю автозагрузку, кроме антивируса. Я попозже подскажу, какие.

Лог AVZ сделай, как в первый раз делала. Т.е. avz_sysinfo.htm

SuperAntySpyware удалила? Нет. Удали.

Изменено 24 ноября, 2007 пользователем ser208

[ser208]

Поставь галочки перед этими значениями в HijackThis и нажми Fix checked

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166278382843O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166278339312O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://my.foto.mail.ru/ImageUploader3.cabO16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cabO16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cabO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cabO16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4881/mcfscan.cabO18 - Protocol: mmdtp - {E62C17EA-223C-4022-881D-2796CCD31CA6} - (no file)

Изменено 24 ноября, 2007 пользователем ser208

[ser208]

Cureit

Проверь этим антивирусом диск С:

[lubast]

SuperAntySpyware удалила, но, видно не до конца.

Все равно выкладываю логи:

avz_sysinfo2.zip

hijackthis2.txt

CureIt сейчас проверю, хотя делаю это часто и безрезультатно.

avz_sysinfo2.zip

hijackthis2.txt

[ser208]

1. C:\WINDOWS\system32\drivers\lvmvdrv.sys

Скопируй этот драйвер куда-нибудь и проверь online-антивирусом.

http://virusscan.jotti.org/

2. В AVZ в меню Файл-- Выполнить скрипт скопируй код и нажми "Запустить"

Компьютер перезагрузится

begin

SetServiceStart('SSDPSRV', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\Program Files\SUPERAntiSpyware\SASSEH.DLL');

BC_DeleteFile('C:\Program Files\SUPERAntiSpyware\SASWINLO.dll');

BC_DeleteFile('\??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys');

BC_DeleteFile('\??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Изменено 24 ноября, 2007 пользователем ser208

[lubast]

C:\WINDOWS\system32\drivers\lvmvdrv.sys

Скопируй этот драйвер куда-нибудь и проверь online-антивирусом.

http://virusscan.jotti.org/

C:\WINDOWS\system32\drivers\lvmvdrv.sys - это от веб-камеры Logitech QuickCam

Проверила, у всех одна и таже информация - Found nothing

File: LVMVdrv.sys

Status: OK

[ser208]

C:\WINDOWS\system32\drivers\lvmvdrv.sys - это от веб-камеры Logitech QuickCam

Проверила, у всех одна и таже информация - Found nothing

File: LVMVdrv.sys

Status: OK

В логе он выделен красным. Контрольная сумма не совпадает или еще что ;) ???

[Saule]

lubast

Добралась до второй темы только сейчас, поэтому про два компьютера сразу не прочитала, хотя здесь это было указано.

Активных вирусов, как ни странно, не видно. Но различного программного софта на самом деле установлено столько, что в логах вполне можно что-нибудь и не заметить.

Предлагаю основательно всё почистить. Начиная с автозагрузки и заканчивая различным неиспользуемым ПО (не из-за вирусов, а, скорее, из-за компьютера).

Что касается файлов, которые беспокоили вас в самом начале, то они, скорее всего, являлись обычным мусором, оставленным при попытке установиться.

Если в двух словах, как один из вариантов: вирус мог начать устанавливаться, но, допустим, антивирус в какой-то момент эту попытку пресек. Однако те файлы, которые уже начали создаваться (но данные в них еще записаны не были), остались на диске, т.к. для антивируса в них нет ничего вредоносного.

Раньше был другой провайдер, компьютер был один, этот, и тоже он вещал про то, что я - спамер. Но, как выяснилось при разборе, он сделал эти выводы только из того, что у меня большой исходящий трафик. Конечно, большой, при постоянных торрентах и мулах.

А как на ваш взгляд: похожей ситуации не может быть и в этот раз?

Попробуйте попросить провайдера прислать вам пример конкретных технических данных - что рассылается, кому и куда (а то ведь про рассылку спама можно сказать кому угодно - пусть предоставит вам хоть какие-нибудь доказательства, так как это на самом деле может помочь).

В логе он выделен красным. Контрольная сумма не совпадает или еще что :blush2: ???

Возможно, красным он выделен из-за попытки маскироваться:

>> Маскировка драйвера: Base=B4F42000, размер=1912832, имя = "\??\C:\WINDOWS\system32\drivers\lvmvdrv.sys"

[lubast]

Saule, спасибо.

Я, честно сказать, очень долго не задавала на этом форуме вопрос, который меня беспокоил. Все время решала все как-то сама, хотя в ваших темах (а когда-то давно была одна очень большая тема из нескольких десятков страниц, которую я внимательно посмотрела, самостоятельно делала логи и пыталась их хоть как-то проанализировать) я периодически смотрела, а не встречается ли что-то похожее на мою ситуацию. А с AVZ и Ad-Aware я знакома и дружу еще с 2004 г., когда умудрилась конкретно заразить компьютер, благодаря им избавилась от той дряни. Да еще и WinPatrol помог.

А потом поставила себе Outpost, сменила Symantec (протестировала кучу антивирусов, остановилась на утилите DrWeb CureIt (которую периодически запускаю) и постоянно работающем AVAST'e) с этим дожила до этого дня.

Может быть именно из-за моего желания сделать так, чтобы компьютер "не болел" я имею то, что имею.

В моей ситуации, скорее всего, винить некого. Программы эти стоят уже много лет и никаких проблем никогда не вызывали.

Обилие всевозможных частей от он-лайновых сканеров тоже естественно. Какой смысл их удалять, а через какое-то время заново ставить? Возможно проблема именно с Windows. А переустанавливать очень не хочется. Там половина программ, которые взаимодействуют с КПК. При форматировании одного компьютера я получу себе 2 головных боли: буду устанавливать программы и там и тут....

Что касается провайдера, я задала вопрос, а уверен ли он в том, что именно спам идет с моего компьютера. Он ответил, что не просто спам, а спам, содержащий вирусы, о чем приходит информация с сервера.

В связи с чем мне заблокировали 25 порт. Я спросила, - и результат есть? больше с моего компьютера вирусный спам не идет? Внятного ответа не получила , - результат должен быть.

Очень абстрактно и никаких фактов. После чего мне сказали, что откроют 25 порт, но в случае повтора ситуации заблокируют снова.

Поэтому я и оказалась здесь. Перепробованы многие антивирусные сканеры, кучу программ для ловли паразитов запускаю - а поиски ничего не приносят, все чисто. Тестирую обе машины. :blush2:

То ли я дурак, то ли лыжи не едут... :)

[Saule]

Обилие всевозможных частей от он-лайновых сканеров тоже естественно. Какой смысл их удалять, а через какое-то время заново ставить?

Честно говоря, тут я тоже ser208 немного не поняла. Также как не поняла, зачем удаляли CDAC15BA.SYS.

Говорила я немного о другом. Например, что у вас лежит в папке: C:\WINDOWS\Tasks. Это вам действительно нужно?

Там половина программ, которые взаимодействуют с КПК.

А какая ОС установлена на КПК? Он не может быть неявным звеном в ваших проблемах? (с рассылкой спама, конечно, он связан навряд ли, но тем не менее).

Попробуйте еще сделать следующее: еще раз запустите OSAM и в его настройках отметьте галочкой пункты (кнопка, по которой открываются настройки, обведена на скриншоте красным, либо третья иконка с конца в верхнем меню программы):

- Show empty records

- Show trusted records

- Show non-started services

- Show non-started drivers

- Colorize

- Scan twice (rootkit detection)

- Retrieve files information

- Check Microsoft signatures

Затем сохраните лог, но при сохранении выберете формат .bin, а не .log:

Затем запакуйте его архиватором и присоедините архив к сообщению.

[ser208]

Также как не поняла, зачем удаляли CDAC15BA.SYS.

Мы его не удаляли. Мы его отключали на время.

Когда пров уверяет, что спам не прекращается, тут уж хватаешься за что угодно :)

Информации в сети по этому драйверу кот наплакал, поэтому и отключили с возможностью задействовать снова. Или OSAM этого не позволяет? :) :)

Обилие всевозможных частей от он-лайновых сканеров тоже естественно. Какой смысл их удалять, а через какое-то время заново ставить?

Моя привычка к минимализму заносит в сторону. :blush2: :)

Это прям без содрогания не получается на эти логи смотреть.

Ну ладно, хорошо что до прихода Saule выстояли. Бывало и по другому :) :)

Изменено 25 ноября, 2007 пользователем ser208