На днях словила троян модифицированный Win32/Adware.Look2Me. У меня ХР, из антивирусов - только NOD32. Действовала по инструкции в Правилах. Суть вопроса - что мне делать дальше????
ЗЫ. Все, что просили отправила, только WService.EXE не нашла. Теперь иду дальше по пунктам, как предложил RiC
Сегодняшние логи
Последний раз редактировалось Ksuha; 02.03.2006 в 16:06.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Угу, "узнаю брата Васю". О дальнейших действиях читайте, например, здесь: http://virusinfo.info/showthread.php?t=4346
Для начала, конечно, хорошо бы найти компоненты зверя, хотя бы вот это (имя файла, скорее всего, будет уже другое): O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
и проверить его в онлайне у Dr.Web и KAV. Тогда будет понятнее, чем гонять. Хотя, может быть, его и NOD сумеет выгнать, если правильно режим работы монитора выставить?
Там кроме Васи ещё и Петя, и всё прочее семейство
Что дают Look2Me, Spambot, Dumador, Prorat
Следующие действия -
1. Прислать всё, что просили плюс если найдёте - WService.EXE
2. Скачать CureIt - ссылка есть в правилах.
3. Загрузиться в SafeMode и проверить диск С: с помошью CureIt.
4. Запустить Hijack сделать Fix для
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
5. Пуск/Выполнить 2 команды net stop TlntSvr sc config TlntSvr start= disabled
перезагрузиться и повторить логи, по идее после этого должен выжить Look2Me им займёмся после избавления от остальной "компании".
Последний раз редактировалось RiC; 05.01.2006 в 13:33.
AntiVir Found Trojan/Zapchast.AD, Trojan/Spy.Smal.dg.24.B
ArcaVir Found Trojan.Spy.Small.Dg
Avast Found Win32:Trojano-3173
AVG Antivirus Found nothing
BitDefender Found Trojan.Torpig.C
ClamAV Found nothing
Dr.Web Found Trojan.PWS.Gamma, Trojan.NtRootKit.60
F-Prot Antivirus Found nothing
Fortinet Found Spy/Torpig
Kaspersky Anti-Virus Found Trojan.Win32.Zapchast.ad, SpamTool.Win32.Mailbot.b, Trojan-Spy.Win32.Small.dg
NOD32 Found Win32/PSW.Agent.NAG, Win32/SpamTool.Mailbot.B
Norman Virus Control Found W32/Agent.LHX
UNA Found nothing
VBA32 Found Trojan.Win32.Zapchast.ad, Backdoor.IRCBot.10 (paranoid heuristics), Trojan-Spy.Win32.Small.dg (probable variant)
Думадор похоже не выжил, ну и фиг с ним -
Эту пару стереть в SafeMode
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
последнего - C:\WINDOWS\system32\drivers\i386p.sys
AVZ -
Файл/отложенное удаление
выбрать и перезагрузиться,
что подчистить в Hijack я уже писал.
Запускаете блокнот и копируете из рамки текст, затем вставляете в блокнот, после выбираете файл/сохранить и пишите имя файла "1.reg" обязательно в кавычках, после 2 раза из проводника щёлкаете на файл и соглашаетесь добавить данные в реестр.
Следующую рекомендацию надо выполнить без ошибок, в противном случае Windows придётся переустанавливать Я постараюсь написать как можно подробнее.
А вам пока надо скачать демо версию Dr.Web но не устанавливать, она довольно большая по размеру - около 8 мб.
Запуск, я пропущу экраны на которых весь выбор состоит из кнопки "далее"
Добираемся до "Вид установки", здесь надо выбрать "Выборочную"
Следующий экран - НЕНУЖНЫЕ компоненты -
1. Консольный сканер.
2. Сканер для дос
3. Spider Mail для рабочих станций (по желанию это проверка почты на вирусы)
остальное нужно.
Ещё несколько раз "далее".
Вопрос про "адрес, имя, пароль" - давите "отмена".
Регистрация -
Выбираете "зарегистрировать сейчас" и "получить демонстрационный ключ" дальше заполняее анкету и регистрируете программу.
вопрос про перезагрузку - отвечаете НЕТ
После в трее появляется зелёный паук с красным крестом
нажимаете на него правой кнопкой мыши - и выбираете "Update" или "Обновить"
Если возникнет вопрос о перезагрузке - опять НЕТ - ещё рано.
Выкачиваете из вложения к этой теме архив drweb32.zip это архив, в нём 1 файл - drweb32.ini распаковываете и записываете его в каталог c:\Program files\DrWeb вместо того файла, который в нём лежит.
Файл нужно заменить обязательно.
После перезагружаетесь и делаете лог исследование системы в AVZ.
Если что-то не получается и после перезагрузки выйдет синий экран - загружаетесь в режиме защиты от сбоев и через установку/удаление программ удаляете антивирус.
Если после перезагрузки получите "ошибка Winlogon" - ничего не нажимайте, подождите немного Windows продолжит загружаться, просто не трогайте это окно и сделайте лог AVZ, окно потом уберём вместе с ошибкой.
Писал так долго потому, что повторял все шаги на тестовом компьютере с установленной L2M - в итоге у меня Look2Me помер тихо и без синих экранов
Последний раз редактировалось RiC; 30.01.2006 в 20:56.
Пожалуйста.
Зер гуд, L2M похоже помер - уборка мусора -
AVZ -
Сервис - Менеджер автозапуска,
раздел Winlogon
выделяем файл
C:\WINDOWS\system32\k0260afsed260.dll
давим на кнопку с крестом.
Закрываем.
Опять Сервис - Менеджер расширений проводника
здесь 2-е.
C:\WINDOWS\system32\pocn20.dll
C:\WINDOWS\system32\guard.tmp
так-же по очереди на крест.
Чтобы небыло тормозов -
На паука правой кнопкой "Setting"
раздел "On acess scan mode"
ставим точку напротив "Smart".
Вместо доктора надо каспера ставить чтоб потом остатки не чистить..
В прошлый раз эта бета от каспера похоранила компьютер, хватит экспериментов, выпустят релиз - тогда будет каспер, пока наф, я лучше Noaher`овский киллер переделаю, чтобы на русской винде работал, благо он в сорцах.
Уважаемый(ая) Ksuha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: