- This topic has 4 ответа, 2 участника, and was last updated 14 years назад by
.
-
Сообщения
-
Здравствуйте!
(Постараюсь без эмоций, хотя выть хочется.)
История обычная.
Описание проблемы. В общих словах: «Что-то сидит на винте, а что — не знаю». Подробнее:
1. После загрузки стороннего скриншота с image-хостинга (имя хостинга не помню) браузер (Opera) на пару десятков секунд «тормознул»; что-то явно сгрузилось на мой винт (дата — вечер 21.11-ночь 22.11). Запустил антивирус (F-Secure Anti-Virus Client Security со свежими базами), лег спать. Наутро в результатах — обнаружен троян Trojan-Dropper.Win32.Vidro.dmv, анитивирус предложил его переименовать (не уверен, кстати, что именно это имеет отношение к описываемой проблеме; вероятно, мой антивирус вообще не заметил того, что создало ее). В течение дня компьютер не выключался (ради работы торрент-клиента), я «прикомпьютерился» только поздним вечером. Увидел, что система ведет себя «неправильно»: проводник запускается долго (в смысле, ярлыки грузятся в окне проводника с минуту-другую, в течение которых являются неработоспособными). Разные приложения тоже «мучительно» неповоротливо шли.
2. Сразу же запустил HiJackThis, чтобы глянуть процессы. Не запустился.
3. Запускаю Reg-Organizer (с целью посмотреть, что могло ко мне подсеяться), привело к зависанию программы, хотя в дальнейшем она запускалась (и запускается сейчас). Никаких «новых» программ не обнаружил.
4. Почему-то решил деинсталировать хайджек с последующей инсталяцией наново. Анинстал не пошел ни через Reg-Organizer (обычно пользуюсь им для этих целей), ни через стандартную панель управления Windows. Удалил через FAR (зачем-то). Но заново проинсталировать хайджек не вышло. Попытка прочитать о проблеме в сети привела к замечательному открытию (для меня; я, так понял потом, что с этого «открытия» начинаются описания данной проблемы многими пользователями). Попутно обнаружил, что Опера слетает при поиске практически любых названий соответствующего софта.
5. Восстановление системы не получилось провести, так как все системные точки отсутствовали (хм, процесс их создания не отключал; временами откатывался на них из-за разных проблем… так они создавались чуть ли не каждый день).
6. Долго и безрезультатно искал какой-нибудь недавно созданный exe-шник в safe-mode, бестолку.
7. Trojan Remover (со старыми полугодовыми базами) не ругается (вернее, предложил исключить из дальнейшего своего обзора что-то там, что я, честно говоря, не запомнил, быстро нажав Окей… тут есть подозрения).
8. Скачал программу Process Lasso (первую попавшуюся — для изучения процессов… под подозрение пал лишь один процесс wfyqttn.exe (в папке System32, размер 152576, создан 03.08.2004 г., производитель BitDefender S.R.L — только потому, что раньше этого процесса не замечал).
9. Только потом (увы) принялся читать, что пишут по этому поводу в сети. На многие ресурсы выйти не смог (теперь понятно почему), наконец мелькнула ссылка, приведшая меня сюда (за что отдельное спасибо и вам, и гуглу!). Скачал комбофикс (пока не запускал, описание испугало). Скачал RSIT-exe, не запустился (в защищенном режиме тоже). Запустился лишь ddr.scr (только в защищенном режиме). Логи прилагаю, надеюсь, что-то из них будет ясно.Очень жаль, что мои неосторожные действия с хайждеком усложнили работу. Но очень жду какой-нибудь помощи, так как на компьютере установлен банк-клиент, который (ясное дело) нужен в работе постоянно. А с хренью на винте страшно выходить в сеть!
Спасибо за внимание.P.S. Антивирус запускается, работает, но проблем не видит.
Прошу прощения за публикацию второго сообщения — просто только что обнаружил:
Здесь — http://netler.ru/ikt/dropper-e4.htm — прочитал, что в ветке реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe), а значение строкового (REG_SZ) параметра Userinit, – должно быть C:Windowssystem32userinit.exe.
Так вот. У меня кроме C:Windowssystem32userinit.exe содержится там такая запись —
C:WINDOWSsystem32wfyqttn.exe
Это как раз тот «подозрительный» процесс, о котором я писал в первом сообщении.Как полностью вычистить эту фигню?
Вроде бы вылечился. Это действительно был тот самый обнаруженный троян-дроппер. Другие антивирусы подтвердили это. Удалил и его, и его порождения в реестре. Теперь все, что надо, грузится. Проинсталировал хайджек… Тьфу-тьфу-тьфу, всё пока в норме. Прошу извинить меня за панику.
Спасибо всем тем, кто прочитал мои сообщения. Может быть кто-нибудь что-нибудь из этого полезное вытянет.Администрации форума приношу извинения за сей флуд.
Здравствуйте, добро пожаловать на Spyware-ru форум.
В общем всё сделали правильно 🙂
Скиньте пожалуйста свежий лог программы DDS, для дополнительной проверки.Valeri, спасибо за внимание.
Да, хотелось бы перестраховаться, тем более, что какие-то сомнения относительно «чистоты» системы остаются. Например, проинсталировал-таки я HiJackThis, а у меня кроме родного экзешника при запуске возник Администратор.exe. Что-то такого я у хайджека не помню (или всё нормально?).
В момент сканирования DDS и RSIT у меня была запущена Опера, ДжетАудио, пара окон проводника. Надеюсь, это не сильно помешает анализу логов.ПС. От момента моего предыдущего сообщения возникало несколько сообщений разного характера, которые я не могу однозначно трактовать. Во-первых, файерволл Ф-Секьюрити сообщал мне о «could not resolve DNS-server»; мне приходилось вручную выставлять адрес ДНС-сервера… Во-вторых, сегодня при включении компьютера запустился виндовский файл-чекинг, оставивший мне bootex.log на диске C и D (два других — E и Z — остались без логов). В-третьих, каталог, куда я закинул DDS и RSIT, открывается (хоть в проводнике, хоть в тоталкомандере) оч-ч-чень нелегко (с минуту). Может, еще что-то забыл.
Кроме логов DDS отправляю и лог RSIT (на всякий случай). Еще раз спасибо!
- Для ответа в этой теме необходимо авторизоваться.
