Подозрение на Win32.Jeefo.a-им заражены все запускаемые svchost.exe

**Irena** · 01.10.2007, 20:50

Здравствуйте, жили мы себе и проблем не знали, систему антивирусом проверяли постоянно, все загруженные из и-нета файлы также...вначале был Касперский 7.0. Но что-то с компом подозрительное приключилось, то Каспер тормозит систему,хотя я никуда не заходила в этот момент. Начала проверять другими он-лайн сканами систему..Панда нашла 2 трояна(удалила), затем Симантек-2, затем БитДефендер-2...А затем все пишут,что система чиста. Вот недавно загрузила программу HiJackFree (все запущенные процессы показывает, и говорит чем оный заражен...в итоге все службы,запускаемые через svchost.exe заражены этим Win32.Jeefo.a!! А ВСЕ антивири его в упор не видят. Да в добавок другие вирусы,например. winamp.exe---Win32RBot, Backdoor.Win32.Webdoz.p и др., процесс CTFMON.EXE ---Infostealer.Raidys, Troj\Spyhoax, в alg.exe (в папке system32) прописались NetSpy, RemotStorm!!! В services.exe---живет Email-Worm.Win32.Sober.z, в mdm.exe -P2P-Worm.Win32.VB.at, в expplorer.exe прописался троян Trojan.Zapchas.ac и тд. и т п.!!. Помогите!!! Как избавиться оот этой гадости? или может это прога эта "виновата"? Ведь НИ ОДИН антивир их не видит!!! ДА еще подозрительно появление в папке system32 файлов одного имени,но с (2)в названии (например: svchost.exe и svchost(2).exe, alg.exe и alg(2).exe. Это разве нормально? и что с этим делать?
P.S. Посоветуйте,пожалуйста, как защитить комп на будущее от этого рода гадостей...(если конечно не пора его уже "закапывать"

)
И может, подскажете какой антивир лучше все это ловит (сорри, если не по теме)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 01.10.2007, 21:14

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\statcontrol.exe','');
 QuarantineFile('C:\WINDOWS\system32\sfrem01.exe','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите крантин согласно приложения 3 правил ...
скорее всего все чисто ... определитесь с антивирусом ... у вас сейчас два активны .... и хвосты еще от двух болтаются ... из всего что у вас было я бы оставил касперского ...

**Irena** · 01.10.2007, 22:00

Спасибо за совет. После выполнения скрипта система пошла на перезагрузку..Но затем остановилась на пустом рабочем столе(только обои)..Так и должно быть?..Поэтому пришлось перезагрузиться через Reset. А проге HiJackFree стоит вообще доверять.,потому что по ее мнению вначале некоторые svchost.exe очистились от Win32.Jeefo.a, но потом опять им заразились!!

И оставлять ли в системе файлы типа svchost(2).exe? Подскажите,плиззз.

**V_Bond** · 01.10.2007, 22:04

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка...

сбой при работе скрипта скорее всего вызван ... большим количеством анти софта .... (уберите лишнее и все сначала) ...

**Irena** · 01.10.2007, 22:07

В смысле отключить антивир?

**V_Bond** · 01.10.2007, 22:09

в смысле совсем ... деинсталировать ... оставить один ...

**Irena** · 01.10.2007, 22:31

Деинсталировала все анти софы--перезагрузка прошла нормально..А теперь что делать?...Просто в процессе этих "моих исследований" пришлось отключить автозапуск процессов CTFMON.exe, winamp.exe, mdm.exe, удалила HiJackFree- как узнать есть что-нибудь или все чисто??

**V_Bond** · 01.10.2007, 22:32

теперь нужно прислать карантин ... согласно приложения 3 правил ...

**Irena** · 01.10.2007, 22:49

Извините.Сейчас пришлю

Добавлено через 13 минут

Карантин пришел или как?

**Shu_b** · 01.10.2007, 22:52

Сообщение от Irena

Карантин пришел или как?

Да, пустой, третий раз посылать не надо.

**V_Bond** · 01.10.2007, 22:56

в вашем карантине пусто ...
statcontrol.exe и sfrem01.exe ппробуйте поискать через AVZ - сервис -поиск файлов на диске ... если найдутся пришлите по правилам ...

**Irena** · 01.10.2007, 23:33

Ясно. Файлов с такими названиями AVZ не нашел..
Спасибо за помощь. Можно считать,что система в порядке?..
AVZ писал о возможных "лазейках" в безопасности...нужно мне какие либо службы закрывать или так все оставить?

**V_Bond** · 01.10.2007, 23:56

что из этого нужно ? остальное поможем закрыть ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Irena** · 02.10.2007, 01:04

Не особо разбираюсь в том, для чего нужны данные службы. Судя по названиям..службу удаленного управления реестром и разрешение доступа анонимного пользователя-вроде не нужны. А может подскажете..какие из этих служб понадобятся для моего компа...
Если это домашний компьютер, используются менеджеры закачек eMule(в том числе поиск и загрузка файлов через него) и DownloadMaster, временами ICQ, OutlookExpress?
P.S. Сомнение вызывает тот факт (когда узнала о возможном заражении компа Win32.Jeefo___.a загрузила прогу по лечению всех exe.-файлов), запускаю, пишет,что может не вылечитьфайлы,т.к. запускается без прав администратора,(может это было из-за перехватчиков ???)) И как все-таки определить, заражены файлы этим Джифой или...у меня паранойя

???.

**V_Bond** · 02.10.2007, 01:11

Virus.Win32.Jeefo я у вас не вижу ... его умеют лечить практически все известные антивирусные программы ...
для закрытия уязвимостей выполните скрипт...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

**PavelA** · 02.10.2007, 10:48

На всякий пожарный такой совет: скачать cure-it с freedrweb.ru, записать на CD на чистом компьютере. Загрузиться в Safe Mode и проверить им весь компьютерЮ, не трогая во время проверки клавиатуру и мышь.

**Irena** · 03.10.2007, 19:28

Спасибо за совет. А если в ближайшее время с чистого компа загрузить Cureit не получится..то другого способа нет??? И в принципе может такое быть,что ни один антивирь не увидит вирус (тот.например обосновался на компе и автоматически маскирует себя...)или в любом случае антивир заметит вирус...А как же тогда с зараженным самим антивирем.такое тоже возможно...Или я перестраховываюсь..И может все-таки скажете, что показывает прога HiJackFree (заражение вирусом процессов и служб ИЛИ только подверженность этим заражениям??) Просто до ее загрузки все было в порядке..а эта штука заронила пдозрения ..и избавиться от них трудновато..
P.S. Посоветуйте что-нибудь...или вы не знаете что это за прога?.
P.S.S. Еще: если сохранить на диске HTML-страницу полностью, то система не опознает сохраненный файл (нет иконки Эксплорера,а только значок,означающий,что система не знает чем открыть),хотя при нажатии на него страница запускается..ЭТО может быть следствием "работы" вируса или повреждением каких-либо приложений/файлов???

**PavelA** · 03.10.2007, 19:42

HiJackFree - сделайте лог при помощи нее и прикрепите сюда.
Посмотрим на что она ругается.
А еще лучше скриншот с ее руганью.

**Irena** · 03.10.2007, 20:01

Вообще-то прога сам по себе лог не создает(???), а проводит он-лайн анализ и показывает процесс и его состояние(заражен или нет..типа плохие и хорошие "процессы". Например говорит что emule.exe-только плохой..временами выдавал,что запускается сразу два процесса AVK (антивир касперского),оба заражены каким-то Mutbo-A(трояном),поэтому я и удалила Каспера. Может выслать этот "анализ"прогой в формате Ворда или веб-страницы??