просьба посмотреть логи

[lamauser]

Всем привет.

Вышел после праздников, антивирус отключён, каму-то видимо мешал очень в выходные.

Включил, обновил, сразу закричал, мол хозяин ахтунг антиавторан, и куча всего сразу нашлось.

Скачал cureit утренний, попытался провериться в сейф моде, но где-то на 50% зависает.

cureit в систем 32 нашел

X86emule.sys-ntrootkit.765

Amvo.exe-muldrop.6474

Прошелся авз 3 и 2 стандартным скриптом, логии прилагаю.

slil.ru

ifolder.ru

жду вердикта :)

[Loader]

C:\WINDOWS\system32\amvo.exe мне не внушает доверия

[lamauser]

C:\WINDOWS\system32\amvo.exe мне не внушает доверия

мне тоже, якобы удален в безопасном cureitом, поиском виндовым и авзшным не находится :)

[Pili]

Вроде бы вы уже лечились недавно или это другой комп? :rolleyes:

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ZZZdrv_lich');SetServiceStart('ZZZdrv_lich', 4);QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\lich.sys','');DeleteService('ZZZdrv_lich');DeleteFile('C:\lich.sys');DeleteFile('C:\WINDOWS\system32\amvo.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

повторить логи (просьба, по возможности, логи прикреплять к сообщению)

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не надо?

Изменено 11 марта, 2008 пользователем Pili

[lamauser]

Вроде бы вы уже лечились недавно или это другой комп? :)

другой :)

повторить логи (просьба, по возможности, логи прикреплять к сообщению)

что из этого не надо?

хм, для стандартного офиссного пк, с парой расшареной папок по сети, все выше перечисленное не нужно, или я не прав ;)

повторить логи (просьба, по возможности, логи прикреплять к сообщению)

я бы с радостью, но пишет-превышен допустимый обьём :rolleyes:

[Pili]

скрипт, что не надо сами удалите (ниже комментария), если к расшаренным ресурсам подкл-ся не анонимно, то возможность подключения анонимных пользователей убираем, для офисного компа можно ещё оставить службы терминалов

begin//запретить отправку приглашений удаленному помошникуRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);//безопасность - блокировать возможность подключения анонимных пользователейRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);//отключить административный доступ к локальным дискамRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);//отключить автозапуск программ с CDRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);//Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);//отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)SetServiceStart('RDSessMgr', 4);//Оптимизация - отключить службу Schedule (Планировщик заданий)SetServiceStart('Schedule', 4);//отключить службу SSDPSRV (Служба обнаружения SSDP)SetServiceStart('SSDPSRV', 4);//отключить службу TermService (Службы терминалов)SetServiceStart('TermService', 4);end.

Попробуйте зайти в личные данные и удалить вложения (настройки - прикрепленные файлы)

[lamauser]

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

он пустой

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

пусто

//безопасность - блокировать возможность подключения анонимных пользователей

//отключить административный доступ к локальным дискам

у меня на hdd хранятся сетевые папки других пользователей, дабы исключить проблемы с доступом решил оставить...

вроде пока чисто :blush2:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Pili]

В логах чисто

[dytyna]

Посмотрите, пожалуйста, что-то у меня творится. Прописалось в папке temp, что-то удалила, а что-то еще не видно.

И еще такое: если смотреть в запущенных процессах, то svchost.exe запущен 6 или 7 раз (еще в network и localservice). Заранее благодарна.

Logfile of HijackThis v1.99.1

Scan saved at 14:41:19, on 08.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\savedump.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

E:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Bonjour\mDNSResponder.exe

E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

E:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

E:\WINDOWS\system32\wininet.exe

E:\WINDOWS\system32\svchost.exe

E:\Documents and Settings\Olia\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites

O4 - HKLM\..\Run: [iSUSPM Startup] "E:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DataLayer] E:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [EEventManager] E:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ASWPro] E:\Program Files\ASWPro\ASWPro.exe

O4 - HKCU\..\Run: [magent] E:\WINDOWS\system32\magent.exe

O8 - Extra context menu item: &Експорт у Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: e:\program files\bonjour\mdnsnsp.dll

O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partn...can_unicode.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - E:\WINDOWS\system32\svshost.dll

O23 - Service: Adobe LM Service - Unknown owner - E:\DOCUME~1\Olia\LOCALS~1\Temp\1\svchost.exe (file missing)

O23 - Service: AudioSrv - Unknown owner - E:\DOCUME~1\Olia\LOCALS~1\Temp\1\svchost.exe (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

[Matias]

Зараза в системе присутствует. Сделайте логи, как описано в этом посте.

если смотреть в запущенных процессах, то svchost.exe запущен 6 или 7 раз (еще в network и localservice).

Такое количество процессов svchost.exe является нормальным. Подробности о svchost.exe вы можете прочитать в этом посте.

[ТроПа]

dytyna: Скачайте Антивирусную утилиту AVZ http://z-oleg.com/avz4.zip. Даже если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО.

Распакуйте из архива и поместите в новую отдельную папку.

* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.

Отключите восстановление системы (Windows Me/XP).

закройте свои антивирусные программы, игры, тектовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!

Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу.

Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

скачайте новый HijackThis http://www.tomcoyote.org/hijackthis/

Выложите virusinfo_syscure.zip и virusinfo_syscheck.zip и лог HijackThis в одном архиве на файлообменнике, а тут запостите ссылочку. Вирусы есть или были пока не пойму, такбудет понятнее.

спасибо за понимание.

[dytyna]

Спасибо. Загрузила версию 2.

Рассказываю, что творится.

1. AVZ старый не запускается (картинка в архиве).

2. AVZ новый а) показывает иероглифы, б) не подключает базы (папка пуста, при распаковании архива кричит, что не может создать файл baze). То же самое было сегодня с Касперским Online - базы не загрузились. Думаю, это действие вируса.

3. Новый лог прикрепляю в том же архиве. К сожалению, не нашла файлообменник.

4. Еще такой симптом: папка temp полна всяких файлов, среди них пустая (?) папка temp__044 появляется при загрузке. Раньше такого не видела.

5. Не загружается программа сканера (epson scan), может, еще что-то - не знаю.

Вот такой букет...

[ТроПа]

Возникают подозрения, что у Вас Bagle.

Давайте попробуем так.

Скачайте переименованный IceSword (exe-файл в hockey.pif)

Скачать можно отсюда:

http://www.megaupload.com/?d=AUGYD37C

Совет пользователю для очистки системы с помощью IceSword следующий:

Запустите его, зайдите слева в меню "Processes"

Выберите:

windows\system32\drivers\hldrrr.exe

windows\system32\wintems.exe

И если есть windows\system32\mdelk.exe

Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):

windows\system32\drivers\srosa.sys

windows\system32\drivers\hldrrr.exe

windows\system32\wintems.exe

windows\system32\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down

если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"

параметр называется "drvsyskit", удалите его.

Найдите параметр

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"

параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра

HKEY_CURRENT_USER\Software\FirstRRRun

Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa

Если есть, удалите в них ключ srosa.

Перезагрузите компьютер.

[dytyna]

Оно заставляет скачать Megaupload Toolbar - это мне нужно?

[ТроПа]

Да к сожалению. Я попозже перезалью програмку куда-то но пока она только там.

Кстати Вы не пробовали переименовать АВЗ?

1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.

2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com

3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard, подробности о ключе см. в разделе

[dytyna]

Да к сожалению. Я попозже перезалью програмку куда-то но пока она только там.

Только там? А я нашла меч в другом месте. (Через Гугл). На форуме virusinfo.

Ничего подобного (все внимательно пересмотрела) не обнаружилось.

Вот список процессов (приложение).

[dytyna]

Кстати Вы не пробовали переименовать АВЗ?

Переименование ничего не дает: файлы баз не подключаются из архива.

! F:\INS\antyvirusy\avz4.zip: Невозможно создать avz4\Base\backup.avz

Устройство не готово.

Переименованный архив тоже ничего не дает. Папку в архиве я же не могу переназвать - ?

Да, кстати, еще одно предупреждение выдает gmail. Он пишет: Кэш вашего просмотрщика переполнен. Это может мешать работе Гмейл.

[ТроПа]

1.exe - это что?

[dytyna]

1.exe - это что?

IceSword 1.22 english version.

Так обозвали.

[ТроПа]

Остановка служб Windows с помощью HjJackThis

Для того чтобы пофиксить строку начинающуюся с O23 надо:

1. Запустить HijackThis.

2. Нажать кнопку Open The Misc Tools section

3. Нажать кнопку Delete an NT Service

4. В открывшемся диалоге ввести название службы

Adobe LM Service

5.Нажать кнопку OK

потом то же для службы AudioSrv

P.S. Перегрузиться не помешает

Т.е. попробуем удалить службы AudioSrv и Adobe LM Service

[dytyna]

Т.е. попробуем удалить службы AudioSrv и Adobe LM Service

Надеюсь, adob-овским программам это не повредит?

[ТроПа]

Не должно. Ну если боитесь тогда не делайте. У меня идеи кончились. Может кто прийдёт что другое предложит.

[dytyna]

The service 'AudioSrv' is enabled and/or running. Disable it first.

Как отключить здесь?

На всякий случай спросила. Если что - переставлю, это не беда.

А почему оно дает путь к файлу через папку, которой я не вижу? (Скрытые папки видны)

[Matias]

The service 'AudioSrv' is enabled and/or running. Disable it first.

Как отключить здесь?

Надо зайти в services.msc и остановить эту службу.

[akoK]

Скачайте это и выложите полученный лог в архиве