- This topic has 3 ответа, 2 участника, and was last updated 16 years, 2 months назад by
.
-
Сообщения
-
Под таким названием появляется один из скрытых файлов на всех дисках.На компьютере не возможно установить антивирус и заблокированы сd приводы.Учетная запись админа ничем не отличается,а safe mode не загружается.Очень нужно противоядие.Обнаружены три файла: Autorun.inf,nwyyhy,USBFlash.exe
Вот Лог Джека!Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:38:46 PM, on 11/17/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: NormalRunning processes:
M:WINDOWSSystem32smss.exe
M:WINDOWSsystem32winlogon.exe
M:WINDOWSsystem32services.exe
M:WINDOWSsystem32lsass.exe
M:WINDOWSsystem32svchost.exe
M:WINDOWSSystem32svchost.exe
M:WINDOWSExplorer.EXE
M:WINDOWSsystem32spoolsv.exe
M:WINDOWSsystem32cisvc.exe
M:Program FilesCanonIJPLMIJPLMSVC.EXE
M:WINDOWSsystem32nvsvc32.exe
M:WINDOWSsystem32svchost.exe
M:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
M:PROGRA~1UpsPilotWinpower.exe
M:WINDOWSsystem32wmpnetw.sys
M:WINDOWSsystem32RUNDLL32.EXE
M:WINDOWSRTHDCPL.EXE
M:WINDOWSHDaudio.exe
M:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe
M:Program FilesSpyRemover ProSpyRemoverPro.exe
M:PROGRA~1UpsPilotmonitor.exe
M:Program FilesInternet Download ManagerIDMan.exe
M:Program FilesOrbitdownloaderorbitdm.exe
M:Program FilesInternet Download ManagerIEMonitor.exe
M:PROGRA~1UpsPilothello21.exe
M:WINDOWSsystem32wuauclt.exe
C:nwyyhy.pif
M:Program FilesTrend MicroHijackThisHijackThis.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://safesearch.cyberdefender.com/smallsearch.html
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://search.orbitdownloader.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 — URLSearchHook: (no name) — ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} — (no file)
R3 — URLSearchHook: MyIdentityDefender — {A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6} — M:Documents and SettingsguramLocal SettingsApplication DataCyberDefendercdmyidd.dll
O2 — BHO: btorbit.com — {000123B4-9B42-4900-B3F7-F4B073EFC214} — M:Program FilesOrbitdownloaderorbitcth.dll
O2 — BHO: IDM Helper — {0055C089-8582-441B-A0BF-17B458C2A3A8} — M:Program FilesInternet Download ManagerIDMIECC.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — M:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 — BHO: MyIdentityDefender — {A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6} — M:Documents and SettingsguramLocal SettingsApplication DataCyberDefendercdmyidd.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE M:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE M:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [High Defination Audio] M:WINDOWSHDaudio.exe
O4 — HKLM..Run: [CanonSolutionMenu] M:Program FilesCanonSolutionMenuCNSLMAIN.exe /logon
O4 — HKLM..Run: [CanonMyPrinter] M:Program FilesCanonMyPrinterBJMyPrt.exe /logon
O4 — HKLM..Run: [OpwareSE4] «M:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe»
O4 — HKLM..Run: [SpyRemoverPro] M:Program FilesSpyRemover ProSpyRemoverPro.exe
O4 — HKLM..RunServices: [Winpower] M:Program FilesUpsPilotWinpower.exe
O4 — HKCU..Run: [IDMan] M:Program FilesInternet Download ManagerIDMan.exe /onboot
O4 — HKLM..PoliciesExplorerRun: [application] M:WINDOWSsystem32wmpnetw.sys
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] M:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] M:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] M:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] M:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: Orbit.lnk = M:Program FilesOrbitdownloaderorbitdm.exe
O7 — HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 — Extra context menu item: &Download by Orbit — res://M:Program FilesOrbitdownloaderorbitmxt.dll/201
O8 — Extra context menu item: &Grab video by Orbit — res://M:Program FilesOrbitdownloaderorbitmxt.dll/204
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://M:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Do&wnload selected by Orbit — res://M:Program FilesOrbitdownloaderorbitmxt.dll/203
O8 — Extra context menu item: Down&load all by Orbit — res://M:Program FilesOrbitdownloaderorbitmxt.dll/202
O8 — Extra context menu item: Download all links with IDM — M:Program FilesInternet Download ManagerIEGetAll.htm
O8 — Extra context menu item: Download FLV video content with IDM — M:Program FilesInternet Download ManagerIEGetVL.htm
O8 — Extra context menu item: Download with IDM — M:Program FilesInternet Download ManagerIEExt.htm
O9 — Extra button: (no name) — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — (no file)
O9 — Extra button: Ni?aai?iua iaoa?eaeu — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — M:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — M:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — M:Program FilesMessengermsmsgs.exe
O12 — Plugin for .spop: M:Program FilesInternet ExplorerPluginsNPDocBox.dll
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — M:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — M:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: PIXMA Extended Survey Program (IJPLMSVC) — Unknown owner — M:Program FilesCanonIJPLMIJPLMSVC.EXE
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — M:WINDOWSsystem32nvsvc32.exe
O23 — Service: TOSHIBA Bluetooth Service — TOSHIBA CORPORATION — M:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
O23 — Service: Winpower — Zero G — M:PROGRA~1UpsPilotWinpower.exe—
End of file — 6213 byte
Заранее спасибо.
Буду ждать ваших мыслей.Здравствуйте.
Да, заражение очевидно.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM..PoliciesExplorerRun: [application] M:WINDOWSsystem32wmpnetw.sys
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Прочитайте и выполните следующую инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.И ещё, а что такой черный фон на скриншоте ? Вырезали очень секретную информацию ? 😉
Жду от вас два лога:
— combofix лог
— свежий HijackThis логДа,информацию вырезал. 🙂 Комп не мой доступа уже нет.Combofix пробовал и еще десяток утилит,которые тоже не помогли.Пришлось переустановить винду.Просто интересно было есть ли против этой бяки что-то эффективное.Помню оно еще выдовалось как HD Realtek.Под аудио драйвер косит.Стоял на компе Нод,но помер.Посоветуйте пару утилит так-как чувствую завтра с той-же проблемой сталкнуться придется.
Огромное спасибо за уделенное время!Таких универсальных утилит нет, если антивирусы, которые созданы очень серьезными программами не справляются, то говорить об существовании какой-то универсальной супер утилиты не приходится.
Поэтому остаётся только одно, анализировать логи. Лучшего эвристического анализатора, чем мозг человека, ещё никто не придумал.
- Для ответа в этой теме необходимо авторизоваться.
