lamauser Опубликовано 11 марта, 2008 Жалоба Поделиться Опубликовано 11 марта, 2008 Всем привет. Вышел после праздников, антивирус отключён, каму-то видимо мешал очень в выходные. Включил, обновил, сразу закричал, мол хозяин ахтунг антиавторан, и куча всего сразу нашлось. Скачал cureit утренний, попытался провериться в сейф моде, но где-то на 50% зависает. cureit в систем 32 нашел X86emule.sys-ntrootkit.765 Amvo.exe-muldrop.6474 Прошелся авз 3 и 2 стандартным скриптом, логии прилагаю. slil.ru ifolder.ru жду вердикта :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 11 марта, 2008 Жалоба Поделиться Опубликовано 11 марта, 2008 C:\WINDOWS\system32\amvo.exe мне не внушает доверия Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 11 марта, 2008 Автор Жалоба Поделиться Опубликовано 11 марта, 2008 C:\WINDOWS\system32\amvo.exe мне не внушает доверия мне тоже, якобы удален в безопасном cureitом, поиском виндовым и авзшным не находится :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 11 марта, 2008 Жалоба Поделиться Опубликовано 11 марта, 2008 (изменено) Вроде бы вы уже лечились недавно или это другой комп? :rolleyes: В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ZZZdrv_lich');SetServiceStart('ZZZdrv_lich', 4);QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\lich.sys','');DeleteService('ZZZdrv_lich');DeleteFile('C:\lich.sys');DeleteFile('C:\WINDOWS\system32\amvo.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется) O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe повторить логи (просьба, по возможности, логи прикреплять к сообщению) Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику что из этого не надо? Изменено 11 марта, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 11 марта, 2008 Автор Жалоба Поделиться Опубликовано 11 марта, 2008 Вроде бы вы уже лечились недавно или это другой комп? :) другой :) повторить логи (просьба, по возможности, логи прикреплять к сообщению) что из этого не надо? хм, для стандартного офиссного пк, с парой расшареной папок по сети, все выше перечисленное не нужно, или я не прав ;) повторить логи (просьба, по возможности, логи прикреплять к сообщению) я бы с радостью, но пишет-превышен допустимый обьём :rolleyes: Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 11 марта, 2008 Жалоба Поделиться Опубликовано 11 марта, 2008 скрипт, что не надо сами удалите (ниже комментария), если к расшаренным ресурсам подкл-ся не анонимно, то возможность подключения анонимных пользователей убираем, для офисного компа можно ещё оставить службы терминалов begin//запретить отправку приглашений удаленному помошникуRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);//безопасность - блокировать возможность подключения анонимных пользователейRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);//отключить административный доступ к локальным дискамRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);//отключить автозапуск программ с CDRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);//Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);//отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)SetServiceStart('RDSessMgr', 4);//Оптимизация - отключить службу Schedule (Планировщик заданий)SetServiceStart('Schedule', 4);//отключить службу SSDPSRV (Служба обнаружения SSDP)SetServiceStart('SSDPSRV', 4);//отключить службу TermService (Службы терминалов)SetServiceStart('TermService', 4);end. Попробуйте зайти в личные данные и удалить вложения (настройки - прикрепленные файлы) Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 12 марта, 2008 Автор Жалоба Поделиться Опубликовано 12 марта, 2008 Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. он пустой Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется) O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe пусто //безопасность - блокировать возможность подключения анонимных пользователей //отключить административный доступ к локальным дискам у меня на hdd хранятся сетевые папки других пользователей, дабы исключить проблемы с доступом решил оставить... вроде пока чисто :blush2: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 марта, 2008 Жалоба Поделиться Опубликовано 12 марта, 2008 В логах чисто Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Посмотрите, пожалуйста, что-то у меня творится. Прописалось в папке temp, что-то удалила, а что-то еще не видно. И еще такое: если смотреть в запущенных процессах, то svchost.exe запущен 6 или 7 раз (еще в network и localservice). Заранее благодарна. Logfile of HijackThis v1.99.1 Scan saved at 14:41:19, on 08.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\savedump.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe E:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe E:\WINDOWS\system32\ctfmon.exe E:\Program Files\Bonjour\mDNSResponder.exe E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe E:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE E:\WINDOWS\system32\wininet.exe E:\WINDOWS\system32\svchost.exe E:\Documents and Settings\Olia\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites O4 - HKLM\..\Run: [iSUSPM Startup] "E:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [iSUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [DataLayer] E:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [EEventManager] E:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ASWPro] E:\Program Files\ASWPro\ASWPro.exe O4 - HKCU\..\Run: [magent] E:\WINDOWS\system32\magent.exe O8 - Extra context menu item: &Експорт у Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O10 - Unknown file in Winsock LSP: e:\program files\bonjour\mdnsnsp.dll O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partn...can_unicode.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - E:\WINDOWS\system32\svshost.dll O23 - Service: Adobe LM Service - Unknown owner - E:\DOCUME~1\Olia\LOCALS~1\Temp\1\svchost.exe (file missing) O23 - Service: AudioSrv - Unknown owner - E:\DOCUME~1\Olia\LOCALS~1\Temp\1\svchost.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing) Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Зараза в системе присутствует. Сделайте логи, как описано в этом посте. если смотреть в запущенных процессах, то svchost.exe запущен 6 или 7 раз (еще в network и localservice). Такое количество процессов svchost.exe является нормальным. Подробности о svchost.exe вы можете прочитать в этом посте. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 dytyna: Скачайте Антивирусную утилиту AVZ http://z-oleg.com/avz4.zip. Даже если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО. Распакуйте из архива и поместите в новую отдельную папку. * Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ. Отключите восстановление системы (Windows Me/XP). закройте свои антивирусные программы, игры, тектовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!! Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. скачайте новый HijackThis http://www.tomcoyote.org/hijackthis/ Выложите virusinfo_syscure.zip и virusinfo_syscheck.zip и лог HijackThis в одном архиве на файлообменнике, а тут запостите ссылочку. Вирусы есть или были пока не пойму, такбудет понятнее. спасибо за понимание. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Спасибо. Загрузила версию 2. Рассказываю, что творится. 1. AVZ старый не запускается (картинка в архиве). 2. AVZ новый а) показывает иероглифы, б) не подключает базы (папка пуста, при распаковании архива кричит, что не может создать файл baze). То же самое было сегодня с Касперским Online - базы не загрузились. Думаю, это действие вируса. 3. Новый лог прикрепляю в том же архиве. К сожалению, не нашла файлообменник. 4. Еще такой симптом: папка temp полна всяких файлов, среди них пустая (?) папка temp__044 появляется при загрузке. Раньше такого не видела. 5. Не загружается программа сканера (epson scan), может, еще что-то - не знаю. Вот такой букет... Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Возникают подозрения, что у Вас Bagle. Давайте попробуем так. Скачайте переименованный IceSword (exe-файл в hockey.pif) Скачать можно отсюда: http://www.megaupload.com/?d=AUGYD37C Совет пользователю для очистки системы с помощью IceSword следующий: Запустите его, зайдите слева в меню "Processes" Выберите: windows\system32\drivers\hldrrr.exe windows\system32\wintems.exe И если есть windows\system32\mdelk.exe Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process". Потом внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"): windows\system32\drivers\srosa.sys windows\system32\drivers\hldrrr.exe windows\system32\wintems.exe windows\system32\mdelk.exe Посмотрите там, есть ли папка WINDOWS\system32\drivers\down если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers) Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit" параметр называется "drvsyskit", удалите его. Найдите параметр HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe" параметр называется "german.exe", удалите его. Посмотрите, есть ли ключ реестра HKEY_CURRENT_USER\Software\FirstRRRun Если есть, удалите ключ FirstRRRun. Посмотрите, есть ли ключи реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума). HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa Если есть, удалите в них ключ srosa. Перезагрузите компьютер. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Оно заставляет скачать Megaupload Toolbar - это мне нужно? Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Да к сожалению. Я попозже перезалью програмку куда-то но пока она только там. Кстати Вы не пробовали переименовать АВЗ? 1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п. 2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com 3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard, подробности о ключе см. в разделе Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Да к сожалению. Я попозже перезалью програмку куда-то но пока она только там. Только там? А я нашла меч в другом месте. (Через Гугл). На форуме virusinfo. Ничего подобного (все внимательно пересмотрела) не обнаружилось. Вот список процессов (приложение). Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Кстати Вы не пробовали переименовать АВЗ? Переименование ничего не дает: файлы баз не подключаются из архива. ! F:\INS\antyvirusy\avz4.zip: Невозможно создать avz4\Base\backup.avz Устройство не готово. Переименованный архив тоже ничего не дает. Папку в архиве я же не могу переназвать - ? Да, кстати, еще одно предупреждение выдает gmail. Он пишет: Кэш вашего просмотрщика переполнен. Это может мешать работе Гмейл. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 1.exe - это что? Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 1.exe - это что? IceSword 1.22 english version. Так обозвали. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Остановка служб Windows с помощью HjJackThis Для того чтобы пофиксить строку начинающуюся с O23 надо: 1. Запустить HijackThis. 2. Нажать кнопку Open The Misc Tools section 3. Нажать кнопку Delete an NT Service 4. В открывшемся диалоге ввести название службы Adobe LM Service 5.Нажать кнопку OK потом то же для службы AudioSrv P.S. Перегрузиться не помешает Т.е. попробуем удалить службы AudioSrv и Adobe LM Service Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Т.е. попробуем удалить службы AudioSrv и Adobe LM Service Надеюсь, adob-овским программам это не повредит? Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Не должно. Ну если боитесь тогда не делайте. У меня идеи кончились. Может кто прийдёт что другое предложит. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 The service 'AudioSrv' is enabled and/or running. Disable it first. Как отключить здесь? На всякий случай спросила. Если что - переставлю, это не беда. А почему оно дает путь к файлу через папку, которой я не вижу? (Скрытые папки видны) Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 The service 'AudioSrv' is enabled and/or running. Disable it first. Как отключить здесь? Надо зайти в services.msc и остановить эту службу. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 апреля, 2008 Жалоба Поделиться Опубликовано 8 апреля, 2008 Скачайте это и выложите полученный лог в архиве Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения