-
Junior Member
- Вес репутации
- 62
Снова Errorsafe и еще какой-то sample
Не удается самостоятельно справиться с выскакиванием errorsafe. Также обнаружено, что компьютер долго "отправляется на перезагрузку" - ждет завершения загадочной программы с названием Sample, о чем свидетельствует появляющееся окно. После нажатия в этом окне кнопки "Завершить сейчас" машина наконец перезагружается.
Прошу помощи.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В программе Hijackthis пофиксите строку
Код:
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\lqpdxgll.dll",realset
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oqkqpgqv.dll','');
QuarantineFile('wingsa32.dll','');
QuarantineFile('urqpppp.dll','');
QuarantineFile('c:\windows\agrsmmsg.exe','');
QuarantineFile('C:\WINDOWS\system32\pmkji.dll','');
QuarantineFile('C:\WINDOWS\system32\lqpdxgll.dll','');
QuarantineFile('C:\WINDOWS\system32\urqpppp.dll','');
DeleteFile('C:\WINDOWS\system32\pmkji.dll');
DeleteFile('C:\WINDOWS\system32\lqpdxgll.dll');
DeleteFile('C:\WINDOWS\system32\urqpppp.dll');
DeleteFile('urqpppp.dll');
DeleteFile('wingsa32.dll');
DeleteFile('C:\WINDOWS\system32\oqkqpgqv.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=9842 и сделайте новые логи, начиная с п. 10 правил
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
В программе Hijackthis пофиксите строчки
Код:
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: pmkji - C:\WINDOWS\
O20 - Winlogon Notify: urqpppp - C:\WINDOWS\
O20 - Winlogon Notify: wingsa32 - C:\WINDOWS\
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('aswBoot.exe','');
DeleteFile('C:\WINDOWS\system32\pmkji.dll');
DeleteFile('C:\WINDOWS\system32\urqpppp.dll');
DeleteFile('C:\WINDOWS\system32\oqkqpgqv.dll');
DeleteFile('aswBoot.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, снова загрузите содержимое карантина и повторно сделайте логи, начиная с п.10 правил.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
В программе Hijackthis пофиксите строки
Код:
O2 - BHO: (no name) - {19C3BF1F-8982-4618-AD90-B04138C845FC} - C:\WINDOWS\system32\pmkji.dll (file missing)
O2 - BHO: (no name) - {43DE05EB-4F4B-4ED9-BE0D-09F3EA6B3936} - C:\WINDOWS\system32\urqpppp.dll (file missing)
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\oqkqpgqv.dll (file missing)
Сообщения перестали вылезать?
-
-
Junior Member
- Вес репутации
- 62
Пофиксено.
Да, спасибо огромное - Errorsafe больше не появляется.
С Sample, увы, изменений нет: после нажатия "перезагрузить" появляется "подождите... не отвечает... Прекратить сейчас?"
Подскажите, плз - кто это может быть?
Последний раз редактировалось SMajor; 18.05.2007 в 20:49.
-
Последний карантин AVZ почему-то не дошел Загрузите, пожалуйста, его повторно по ссылке http://virusinfo.info/upload_virus.php?tid=9842 . Еще немного по поводу подозрительных вещей в логах: вот эту программу - C:\Program Files\XoftSpySE\XoftSpy.exe сами ставили? Даже, если сами, попробуйте убрать задания по ее запуску из планировщика задач. И еще строчка интересная в hosts:
Код:
10.10.10.175 intra.volia.net
Если не сами писали, то тоже лучше убрать.
-
-
Junior Member
- Вес репутации
- 62
Карантин отправил повторно,
XoftSpySE поставил сам, когда начал искать средства против errorsafe, уже грохнул (все равно от нее никакого толку - детектит что-ни-попадя, а за лечилку денег хотят).
Строчка 10.10.10.175 intra.volia.net правильная, это мой туннель, убрать не могу - без нее работать не будет.
-
Junior Member
- Вес репутации
- 62
Скажите, плз - нет ли идей как победить Sample?
-
Она все еще присутствует?
У вас много программ висят в трее? Попробуйте поочередно их выгружать, и перезагружаться. Возможно, виновника удастся отследить таким образом.
-
-
Junior Member
- Вес репутации
- 62
К сожалению, Sample не задели вообще - увы, он присутствует даже более надежно, чем операционка
В трее 4 значка: индикатор тачпада, Аутлук, регулятор громкости и неактивный ActiveSync - мой традиционный набор. А вот Sample появился недавно и, по-моему, одновременно с ErrorSafe.
На всякий случай попробую поиграть с треем, результаты отпишу.
-
Можно еще сделать так.
в АВЗ - сервис - менеджер автозапуска. Слева вверху изображение дискетки - сохранить протокол. Сохраненный протокол прикрепите сюда, я либо кто-то другой посмотрим, и напишем ключи, которые можно будет поочередно отключать без ущерба системе, для проверки.
-
-
А можно и аctivesync выгрузить, зачем он в трее без дела сидит, а перед подключением pda , загружать.
Поможет утилита : http://www.micrologics.co.uk/library/ast/
-
-
Junior Member
- Вес репутации
- 62
От ActiveSync-а отделаться удалось легко.
Протокол автозапуска - прикреплен.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
Пробуйте
Код:
C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Lingvo Launcher
C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, LingvoTraining
C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, PRONoMgr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, H/PC Connection Agent
C:\Program Files\Notebook Maximizer\maximizer_startup.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Notebook Maximizer
C:\Program Files\Punto Switcher\ps.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Punto Switcher
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, CeEKEY
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, CeEPOWER
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, TPNF
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
rdpclip
Может, еще кто добавит
-
-
Junior Member
- Вес репутации
- 62
Отключил.
Результата, увы, нет (см. лог), - Sample продолжает работать.
Что можно придумать еще?
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
-
Я имел ввиду те три лога, которые Вы делали первоначально.
-