Все вроде как нормально работало. Проверка SpyBot SD показала, что в автозагрузке появилось 13 ключей Winlogon (Current system), он выводит в виде таблицы “значение – командная строка”: AtiExtEvent Ati2evxx.dll crypt32chain crypt32.dll cryptnet cryptnet.dll cscdll cscdll.dll ScCertProp wlnotify.dll Schedule wlnotify.dll sclgntfy sclgntfy.dll SensLogn WINotify.dll termsrv wlnotify.dll wlballon wlnotify.dll а также еще три: wgalogon, Navlogon, igfxcui, они при переустановке Windows пропадают. Система – лицензионная Home ХР, сервис пак был 2, после переустановки – первый. Другие программы (сам Windows XP, CCleaner и пр.) этих ключей в автозагрузке не видят. Раньше, еще месяц назад, этих ключей не было. AVZ ничего не находил, но писал подозрение на скрытую загрузку какой-то библитеки (не помню – ochamcik.dll, что-ли). Я на форуме размещал – велено было пофииксить 3 записи, что я и сделал. Потом решил снести свой Symantec антивирус – после него иногда DrWEB своей CureIT что-то находил. Закачал пробный NOD – и все перестало запускаться. Видимо после сноса но до установки какя-то тварь у меня установилась / активизировалась. Все антивирусами смотрел – якобы чисто. Может быть, в загрузочном секторе? Данные сохранил, переустановил Windows с диска в комплекте – все осталось. PC Tools нашел и снес Backdoor IRCBoot.BMD. А так и при отключенном восстановлении проверял, и в safe mode Касперским, DrWEB / CureIT ничего не находят. Вручную отформатировал жесткий диск – но, опыта мало, там в DOSe видны BCDW, BOOTCD, autorun.inf и bootcd.txt, как их форматировать (и надо ли), я не понял. Проверил программами с Hiren's Boot CD – вирусов не показал. Опять все осталось. Опять переустановил с форматированием (в BIOS отключил) - и опять все осталось. Поставил Касперского. Тот ничего не нашел, но все время запрещал запуск explorer. Интересно, что два последние раза (в отличие от первого) Windows не запрашивал регистрации. В первые два раза софт загружал с CD, созданном на втором компьютере, хотя на нем все чисто показывает и SpyBot и родной McAfee, но боюсь и он может быть заражен. В последний раз файлы скачал с сайтов авторов, но пришлось в safe mode, иначе система меня не пустила. Правда во время настройки ноутбук подключился было к Golden WiFi, вот единственная возможность была внешней загрузки. Что делать? В BIOS-е могут быть вирусы? В оперативной памяти (у меня есть старые 512 кБ, может их поставить)? Может вообще надо батарейку найти и BIOS обнулить? Или правильно отформатировать жесткий диск из DOS? Или снять его и отнести куда на проверку? А как данные с DWD-RW проверить, если никакая программа ничего не видит? Заранее признателен за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поэтому и обратился за помощью я, не мой ноутбук :-)
Более того, стоит SpyBot с резидентом, антивирус, все регулярно обновлял, плюс раз в неделю-две CureIT прогонял, раз в месяц - AVZ. "Безопасный интернет прчел" и, почти все внедрил, у меня доступ через Ethernet. Порты закрыл, автозапуск отключил, лишние службы отключил, в интернет обозревателе выставил максимальную безопасность для незнакомых узлов. Решил выбрать новый антивирус, и, когда с пробным NOD у меня не пошло, купил, Касперского.
Что еще следует сделать?
Поэтому и обратился за помощью я, не мой ноутбук :-)
Вы придите в поликлинику и скажите:
- у меня там дома больной, давайте я расскажу как он мучается, а Вы скажите как его лечить.
Что скажет врач? прально пошлёт больного сдавать анализы и только потом даст рекомендации.
Посылаю "анализы" - логи, еще раз заранее спасибо.
Да, вот какой нюанс. В safe mode восстановление системы не отключалось, отключил его перед проверкой AVZ только после обычной (не безопасной) загрузки. Это правильно, я востановление отключил или это зловред показал, что "отключил"?
На следующий день. Поставил SpyWare Doctor, он нашел и снес Backdoor IRCBoot.BMD и Trojan-Downloader.Zlob, удалил две записи в реестре, заканчивавшиеся List#2869:TCP List#1900:UDP. Закрыл порты с помощью wwdc. Поставил Касперского IS. Регулярно показывает попытки запуска нового или измененного модуля (я их блокирую): explorer.exe (PID: 1756), rundll.exe и winlogon.exe (после его блокирования отключается Интернет, который я эпизодически включаю, чтобы скачать SpyWare Doctor, Касперского и т.д.). Хотя выставляю отключить восстановление системы, если зайти в BIOS моя галочка Enabled на параметр Delete Recover Area меняется на Disabled. У меня впечатление, что зловред грузится раньше антивирусов при перезагрузке, создает защищенную область и там сидит, невидимый антивирусам. Поставил на изменение BIOS пароль – не помогло. Снял аккумулятор и выключаю ноутбук выдергиваем питания – тоже не помогло (так что, вероятно, зловред создает защищенную область именно при загрузке).
Да, а сервис пак второй стоит. Но после переустановки Windows его не обновлял, похоже все равно сносить :-(
К вредным ключам добавился klogon. Поскольку только SpyBot SD видит их порылся в программе. И нашел: список установленных программ шире, чем показывает Windows в Установке – удалении программ. Попытался удалить в SpyBot SD все, что заподозрил: AddresBook, Branding, Connection, DirectAnimation, DirectDrawEx, DXM_Runtime, Sheduling-Agent, а также заодно User’s Guide и Soundmax, т.к. они обе запускались runDll32. Но после перезагрузки – все осталось. Нашел в списках куки не мои адреса и вставил их в список запретных узлов в IE: doubleclick.net, engine.awaps.net, mediaplex.com, state.webtrendslive.com, tns-counter.ru, yadro.ru и записавшийся в открываемый при старте (хотя я проставил – с пустой страницы и в IE так и видно) не понятный мне адрес %SystemRoot%\System32\blank.htm. Также нашел в SpyBot SD список процессов и три из них (у них путь начинался не с «С», а установлен один жесткий диск С) безуспешно пытался «убить» - но после этого система бысто завершала работу, а после перезагрузки эти процессы были на месте:
Sms.exe путь \SystemRoot\System32
Csrss.exe путь \??\c:Windows\System32
Winlogon.exe путь \??\c:Windows\System32
Как я понимаю, раз SpyBot SD видит все это (а видит только он из того, что установлено: сам Windows XP, Kaspersky IS7, SpyWare Doctor, AVZ, DrWEB / CureIT и HiJack – но и в нем я не силен), то он, SpyBot SD, может и вылечить это?
Да, а 12 мая AVZ выдавал Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "OCMAPIHK.DLL" (я размещал логи на этом форуме. И какая-то из программ подозревала svchost.exe.
Последний раз редактировалось Tiks; 08.06.2008 в 19:10.
Уважаемый(ая) Tiks, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Зловреды скрытно сидят в моем ноутбуке
Сообщение от Tiks
