-
Junior Member
- Вес репутации
- 59
Помогите определить, что за тварь...
Мужики, дело такое:
ВПЕРВЫЕ за 6 безоблачных лет я словил какую-то гадость! Назвал это "Судный день - восстание машин" =)
Словил так, что на этот раз немогу отловить.. Вобщем при загрузке винды выкидывается окошко - мол "хочу в инет!" и кнопки "работать автономно" и "подглючиться" - жму автономно - пропадает, далее опять "хочу в инет!" и так 5-8 окошек подряд... PS: Естественно не прям "хочу в инет", а гуманно - по-майкрософтовски.. похоже на родное. думаю это и есть родное сообщение.
Значит Process Explorer показывает вот что:
Все вирусы казнил сначала NODом (2 штуки), потом последним Dr.Web (98 штук) - у обоих новые базы. Делайте выводы!
Сделал очистку реестра (Reg Supreme Pro)
Что ещё-то? Что вызывает подключение к инету? Как это убрать? Перестановку ОС не предлагать.
Кстати, стоит Outpost Firewall тоже последний.. Так вот.. минут 15 работает, потом вешает весь инет. Навожу на значёк в трее, а он мёртвый (чёрный и надпись что-то вроде "неактивен" или "не может быть чё-то там") Вобщем я пока его снёс.. Тоесть такое чувство, что какая-то падла ещё и фаэр мой убивает!
В автозагрузке ничего подозрительного не нашёл.
Помогите!
PS: Не получается прикрепить логи. вставляю, нажимаю "загрузить" и мне пишет:
вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Вот логи, сделанные по всем правилам:
virusinfo_syscheck.zip (_ttp://slil.ru/25629906)
virusinfo_syscure.zip (_ttp://slil.ru/25629904)
hijackthis.log (_ttp://slil.ru/25629900)
Последний раз редактировалось Topine; 28.03.2008 в 18:49.
Причина: Забыл логи.. пардон.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 59
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\10.tmp','');
QuarantineFile('D:\Software\Desktop changer\wdc.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\Software\uICE\devices\pcidrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
QuarantineFile('C:\WINDOWS\system32\pr2anrjb.exe','');
QuarantineFile('C:\WINDOWS\system32\SSMS.EXE','');
QuarantineFile('C:\WINDOWS\system32\winmgnt.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ps7anrjb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe3anrjb.sys','');
QuarantineFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\10.tmp');
DeleteFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20596 ).
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
Если Вы не добавляли в файл Hosts строчку 81.177.17.70 u1.eset.com или Вам она незнакома, то пофиксите еще:
O1 - Hosts: 81.177.17.70 u1.eset.com
Сделайте новые логи.
Последний раз редактировалось kps; 29.03.2008 в 01:07.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
kps, всё сделал по пунктам, спасибо. Подключение к инету при загрузке пропало (что же это было такое? ntos?). Ещё не проверял фаэрволл на убиваемость. Буду тестировать.
PS:
Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe
не нашёл после выполнения Вашего скрипта. Файл userinit.exe остался (с Microsoft'овской подписью), а ntos.exe не нашёл.
Вот новые логи:
Последний раз редактировалось Topine; 19.06.2009 в 12:21.
-
Junior Member
- Вес репутации
- 59
Фаэрволл не глючит уже сутки =)
Что-нибудь ещё подозрительное есть в логах?
-
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll Trojan-Downloader.Win32.Agent.lsw
C:\WINDOWS\Temp\10.tmp Trojan-Downloader.Win32.zlob.jbe
удалите временные интернет файлы ...
winmgnt.exe - поищите при помощи авз и пришлите согласно приложения 3 правил ...
выполните скрипт ...
Код:
begin
BC_DeleteSvc('COMSS');
BC_Activate;
RebootWindows(true);
end.
-
-
sdpiosys.sys - Rootkit.Win32.Agent.agw
- свежий.
Выполните еще такой скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте и прикрепите новые логи.
-
-
Junior Member
- Вес репутации
- 59
Всё выполнил.
Файл winmgnt.exe не нашёл AVZ. Нашёл поиском - оказалось, что он в зашифрованном архиве в карантине у старого SpyBot. Я его когда-то удалил, а "какашки" он после себя оставил-таки.
Удалил всё, что осталось от SpyBot'а (вместе с архивом, где winmgnt.exe - пароль-то всё-равно не знаю)
Ещё что-нибудь плохое?
Последний раз редактировалось Topine; 19.06.2009 в 12:21.
-
Раз winmgnt.exe удалён, почистим следы. Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winmgnt.exe');
BC_ImportDeletedList;
BC_DeleteSvc('NETDDEC');
BC_DeleteSvc('COMCSVC');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Как система. Врагов вроде бы больше не видать. Очистите временные интернет файлы.
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Как-то не актуально. Internet Explorer v7.00 - это актуальная версия, желательно установить + все критические обновления.
-
Junior Member
- Вес репутации
- 59
Да, система в порядке. Спасибо большое всем!
Только иногда система подтормаживает почему-то.. Spider Guard выключен, выгружен, деактивирован...
Да дело в том, что я пользуюсь Mozilla. А Explorer мне не интересен. вот я его и не трогаю...
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Вы то его может и не трогаете, но некоторые программы трогают, хоть Вы об этом и не подозреваете. Так что не мешало бы прикрыть эту "дырочку" в безовасности.
-
Junior Member
- Вес репутации
- 59
Ясно. Всем ОГРОМНОЕ!!! спасибо! Отзыв оставлю по-любому! Всем знакомым Вас рекомендовал!
Уважение!
-
Junior Member
- Вес репутации
- 59
-
-
-
присланный файл чистый ...
Wireless адаптер у вас есть ? это скорее от него ...
-
-
Junior Member
- Вес репутации
- 59
Alex_Goodwin
Да, отправлен через "запрошенный карантин"
V_Bond
Wireless адаптера точно нету. Никакого доп оборудования..
-
Wifi у вас точно нет ... ?
-
-
Junior Member
- Вес репутации
- 59