- This topic has 10 ответов, 2 участника, and was last updated 15 years, 11 months назад by
.
-
Сообщения
-
Появился информер с просьбой для полного доступа выслать СМС и получить код. Сканировала он-лайн сканером ZoneLAb, нашел запись в реестре с вирусом дословно не помню как назывался. Просканировала HijackThis, нашла запись, пофиксила, запись в реестре удалилась, Повторное сканирование ZoneLab показало, что все чисто. Параллельно в system32 нашла файл svshost, который удалила в безопасном режиме. Пару дней назад сам установился и добавился в автозагрузку AntiVirus2008XP, сразу же удалила его Uninstall’ом. Думаю оставил свои следы. Пыталась скачать SDFix или ComboFix, на дает скачать, сразу появляется этот информер, и появляется надпись «Не удается скопировать файл. Не удается произвести чтение из файла или с диска». В надсройках IE есть OWSBrowserUIClass и OWSClientMiscApisClass — у обоих owsclt.dll. Искала этот dll, в system32 его нет. Надо искать в другом месте? Еще в надсройках — SEarchAssistantOC — shdocvw.dll. ВСех троих отключила.
Мне кажется куча вирусов и их следов в системе, хотя ESS ловит и удаляет некоторые, но и пропускает как оказалось тоже немало. Я действую методом тыка. Почитала много форумов, в конце концов решила обратиться именно к Вам. Пожалуйста, помогите!Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:33, on 10.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesESETESET Smart Securityekrn.exe
C:Program FilesInterBaseBINibserver.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesA4TechMouseAmoumain.exe
C:Program FilesESETESET Smart Securityegui.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:PROGRA~1MI3AA1~1rapimgr.exe
C:WINDOWSsystem32CNAB4RPK.EXE
C:Program FilesAnVir Task ManagerAnVir.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesAdobePhotoshop 7.0Photoshop.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesReg Organizerorganizer.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1homeLOCALS~1TempRar$EX00.485HijackThis.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.ykt.ru/
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = C:Documents and SettingshomeМои документыБизнесПрограммыwordpress-2.6.1-rus-lecactus-edition-powerpackwordpresswp-includesjstinymceblank.htm
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O4 — HKLM..Run: [FmctrlTray] Fmctrl.EXE
O4 — HKLM..Run: [WheelMouse] C:Program FilesA4TechMouseAmoumain.exe
O4 — HKLM..Run: [egui] «C:Program FilesESETESET Smart Securityegui.exe» /hide /waitservice
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [H/PC Connection Agent] «C:Program FilesMicrosoft ActiveSyncwcescomm.exe»
O8 — Extra context menu item: &SaveChm — C:Program FilesSaveChmSaveChm.vbs
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Добавить страницу в URL-Album — C:Program FilesURL-Albumua.htm
O9 — Extra button: Create Mobile Favorite — {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} — C:PROGRA~1MI3AA1~1INetRepl.dll
O9 — Extra button: SaveChm — {34F8C0D0-06F7-4f71-9E8E-190337851167} — C:Program FilesSaveChmSaveChm.vbs
O9 — Extra ‘Tools’ menuitem: SaveChm — {34F8C0D0-06F7-4f71-9E8E-190337851167} — C:Program FilesSaveChmSaveChm.vbs
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: Добавить страницу в URL-Album — {4D9BEE60-F894-11D4-9B21-AD4030B75053} — C:Program FilesURL-Albumua.htm (HKCU)
O9 — Extra button: (no name) — {4D9BEE60-F894-11D4-9B21-AD4030B75054} — C:Program FilesURL-Albumurlalbum.exe (HKCU)
O9 — Extra ‘Tools’ menuitem: Открыть URL-Album — {4D9BEE60-F894-11D4-9B21-AD4030B75054} — C:Program FilesURL-Albumurlalbum.exe (HKCU)
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Documents and SettingshomeApplication DataMail.RuAgentmagent.exe (HKCU)
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Documents and SettingshomeApplication DataMail.RuAgentmagent.exe (HKCU)
O16 — DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) — http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O23 — Service: Eset HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET Smart SecurityEHttpSrv.exe
O23 — Service: Eset Service (ekrn) — ESET — C:Program FilesESETESET Smart Securityekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: InterBase Guardian (InterBaseGuardian) — FirebirdSQL Project — C:Program FilesInterBaseBINibguard.exe
O23 — Service: InterBase Server (InterBaseServer) — FirebirdSQL Project — C:Program FilesInterBaseBINibserver.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 5371 bytesУдалось мне все-таки скачать SDFix. Сделала все по инструкции. Прилагаю файл Report [attachment=0:2lqcl594]Report.txt[/attachment:2lqcl594]
Расшифруйте, пожалуйста, осталась ли что-нибудь в компе? Информеры пока не появлялись, и файлы скачиваются без проблем.
Здравствуйте, добро пожаловать на Spyware-ru форум.
HijackThis лог выглядит нормально.
Sdfix удалил пару файлов, судя по всему — компоненты трояна.Можно проверить получше, скачайте сканер RSIT кликнув по этой ссылке.
Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ.
Valeri, здравствуйте!
Сделано, вот логи:
[attachment=1:4m1jtlac]info.txt[/attachment:4m1jtlac]
[attachment=0:4m1jtlac]log.txt[/attachment:4m1jtlac]RSIT показал, что ваш компьютер так же заражён autorun.inf трояном. Он использует флэшки для распространения.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalGms41.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalmmctl.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinah06.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinry28.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinuc17.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkGms41.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkmmctl.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinah06.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinry28.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinuc17.sys]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2cf475b8-86c4-11dd-b840-00e04ca46ad6}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f7296a63-8df8-11dd-b84a-00e04ca46ad6}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f8a98928-b510-11dd-b890-00e04ca46ad6}]
:services
Gms41
mmctl
Winry28
sfc
:files
C:WINDOWSSystem32DriversGms41.sys
C:WINDOWSsystem32mmctl.sys
C:WINDOWSSystem32DriversWinry28.sys
C:WINDOWSsystem32driverssfc.sys
C:WINDOWSsystem32ygtlib.dll.dll
:Commands
[emptytemp]
[start explorer]
[Reboot]Кликните по кнопке MoveIt!.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.Жду от вас OTMoveIt лог и свежий RSIT лог.
Спасибо большое за Вашу помощь!
Прилагаю логи
[attachment=1:1sh2oeok]12122008_080545.log[/attachment:1sh2oeok]
[attachment=0:1sh2oeok]log.txt[/attachment:1sh2oeok]Один сервис не удалился, попробуем другую программу.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:Drivers to delete:
sfc
Files to delete:
C:WINDOWSsystem32driverssfc.sysКликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог.Пожалуйста вставьте в ваш ответ avenger лог и свежий RSIT лог.
Сделала все, как Вы сказали:
Логи:
[attachment=1:2ar0o3k0]avenger.txt[/attachment:2ar0o3k0]
[attachment=0:2ar0o3k0]log.txt[/attachment:2ar0o3k0]PS Может ли этот сервис sfc блокировать выход в интернет? Со вчерашнего обеда у меня не было интернета (выделенка), пришлось сегодня заходить через модем. После сканирования Avenger’ом и перезагрузки, все чудесным образом восстановилось, Или это просто совпадение? 🙂
Еще в папке system32 есть файлы sfc.dll, sfc.exe, sfc_os.dll, sfcfiles.dll. Это нормально?
Может ли этот сервис sfc блокировать выход в интернет? Со вчерашнего обеда у меня не было интернета (выделенка), пришлось сегодня заходить через модем. После сканирования Avenger’ом и перезагрузки, все чудесным образом восстановилось, Или это просто совпадение?
Немогу сказать наверняка, но это возможно.
Еще в папке system32 есть файлы sfc.dll, sfc.exe, sfc_os.dll, sfcfiles.dll. Это нормально?
Да, это нормальные файлы Windows. Удалять их нельзя.
Сервис что мы удалили в предыдущем шаге создавался файлом sfc.sys. А вот по этому файлу никакой информации нет, поэтому наиболее вероятно что это паразит.RSIT лог выглядит нормально.
Есть ли каки-либо проблемы с компьютером ?Сейчас все нормально, работает как часы. Инет не тормозит, летает 🙂
Спасибо огромное за Вашу супер-профессиональную помощь! 😎
Рад вам помочь, несколько завершающих действий.
Удалите HijackThis, RSIT, OTMoveIt, Avenger и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
