Показано с 1 по 17 из 17.

Не пойму- опять, похоже, вражина пробрался! (заявка № 9896)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37

    Thumbs up Не пойму- опять, похоже, вражина пробрался!

    Всем привет!
    Последнее время (дней 10 может) мой комп стал подтормаживать в работе. Я занервничал, сделал глубокое сканирование NOD32- все чисто. Смотрел автозагрузку- тоже ничего интересного не нашел. А сегодня при выходе из ждущего режима выскочило сообщение, мол обнаружена критическая ошибка виндов, зайдите на сайт, скачайте и установите программу для устранения ошибки. Адрес сайта, ессно, левый абсолютно (название списАть забыл). Комп домашний, установлены NOD32 2.7 Control Center и Outpost Firewall Pro ver. 4.0.971.7030 (584). Поскольку часто работает жена- могла че-нить и зацепить или открыть по незнанию (говорит правда, ничего левого не открывала). Необходимые логи прикрепляю. Спецы, гляньте, есть ли что-нить криминальное?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ac3filter.cpl','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS40n.ocx','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx','');
     QuarantineFile('C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS20.ocx','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\NETCAM~1.OCX','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS10.ocx','');
     QuarantineFile('D:\MyPhoneExplorer\DLL\ShellMgr.dll','');
     QuarantineFile('c:\windows\svchost.exe','');
     DeleteFile('c:\windows\svchost.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
    O16 - DPF: {2344525C-D704-48EE-92AF-61A423443503} (RewardNetwork amLauncher Class) - http://affiliate.rewardnetwork.net/codebase/launcher/WSautoshop.cab
    O16 - DPF: {298BFFEE-662D-11D5-ADAF-00E0810232D7} (lgbplay Class) - https://video.manheim.com/lib/LiveSound.dll
    O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
    O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
    O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://eib.keb.co.kr/XecureObject/xw40_install.cab
    O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
    O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Важно! Обратите внимание на это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Необходимо установить SP2 и последующие обновления!
    Иначе будете тут постоянным клиентом
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    MaXim Скрипт выполнил, строки "пофиксил". Файлы карантина- это все файлы, которые показываются через файл-> просмотр карантина? Их там штук 20, на 2 мега, все высылать? Новые скрипты прилагаю.
    Bratez Я думаю, SP2 и обновления не установить на данный комп. Винда стоИт нелицензионная, обновиться с Майкрософта не захочет поди? Или можно попытаться?
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Очевидный зловред удален, остальное скорее всего чистое, но все таки пришлите, если не сложно, случаи бывают разные.

    SP2 не требует проверки подлинности, но потребует повторной активации. Большинство более поздних обновлений, по крайней мере - критические, также устанавливаются без проверки.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    Bratez ОК, все файлы из карантина отправил, гляньте их, пожалуйста. И еще вопрос- после установки SP2 можно будет сделать активацию аналогично SP1, т.е. reset-ом?

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    И еще вопрос- после установки SP2 можно будет сделать активацию аналогично SP1, т.е. reset-ом?
    Мы не даём консультаций по использованию крэков и других средств, нарушающих лицензию ПО.

  9. #8
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    Цитата Сообщение от MaXim Посмотреть сообщение
    Мы не даём консультаций по использованию крэков и других средств, нарушающих лицензию ПО.
    Ой, сорьки! И правда, о чем это я???
    Ладно, мужики, огромное спасибо за помощь!

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Ладно, мужики, огромное спасибо за помощь!
    Не спешите радоваться. Ещё не пришел результат анализа некоторых файлов...

  11. #10
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    Цитата Сообщение от MaXim Посмотреть сообщение
    Не спешите радоваться. Ещё не пришел результат анализа некоторых файлов...
    Ну так я не радуюсь, я жду... Вдруг мой комп поразил новый мега-вирус? Вообще поражение вирусом раз в пол-года кмк вполне терпимый результат.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    C:\WINDOWS\svchost.exe - Trojan-PSW.Win32.LdPinch.atw
    C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx, C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll - Trojan-PSW.Win32.Nilage.zd (по Kaspersky).

    Bratez, говоришь остальные файлы чистые?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx');
     DeleteFile('C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи. В срочном порядке меняйте все пароли.

  13. #12
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    MaXim, дзенькую бардзо! Скрипт выполнил, на мой взгляд после этого в эксплорере пошустрее залетал компьютер. А пароли- да там ниче интересного-то нет, авторизация на сайтах/форумах да ася 9-значная. Неужели понадобится кому-нить? (на всяк случай поменял) Логи прилагаю...
    Вложения Вложения

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    В логах чисто.
    MaXim, дзенькую бардзо!
    С переводом, пожалуйста Это кстати на каком языке Вы сказали?
    А пароли- да там ниче интересного-то нет, авторизация на сайтах/форумах да ася 9-значная.
    Странно, что в течении этих 10 дней Вы ещё ей пользовались.
    Неужели понадобится кому-нить?
    У Вас найдено два трояна, ворующих пароли. Значит кому-то понадобилось. Попытайтесь вспомнить, где Вы эти трояны могли получить. Если будут какие-то ссылки, тогда мне в личку. На форуме не публикуйте.

    Кстати, было бы хорошо отправить файлы карантина ещё в вир. лаб NOD'а. Поищите у нас на форуме их адрес.

    Ну и как обычно даю ссылку, на рекомендации по профилактики.

    Вы можете нас отблагодарить так Мы будем Вам очень благодарны!
    В качестве вариантов ещё почитайте тут и тут

    Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

    Удачи!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997

    Talking

    Цитата Сообщение от MaXim Посмотреть сообщение
    С переводом, пожалуйста Это кстати на каком языке Вы сказали?
    bardzo dziękuję (PL)=Danke Schoen(D)=Thank You Very Much(GB)=щиро дякую(UA)= большое спасибо(RUS)=Muchas gracias(Е)=Muito obrigada(POR)=Mille Grazie(I)
    Сорри за ОТ.

  16. #15
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    37
    MaXim Это по-польски, но я больше ничего не знаю. Про трояны ничего не скажу, но уверен, что их подцепила жинка где-то, я хожу только по проверенным местам, они у меня все в избранном. А она шарится где попало- рэмблером поиск включит, и пошла 20 страниц ссылок лопатить. Так что тут не угадаешь. По остальным ответам- спасибо, принял к сведению.

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Если что обращайтесь, но лучше будьте здоровы

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-PSW.Win32.LdPinch.byx (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) Тошкин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Похоже trojan ahoy опять (заявка №62958)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.03.2011, 18:00
    2. Похоже опять вирус!
      От Tanya1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.01.2010, 13:46
    3. Вражина в системе?
      От Vtii в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 16.06.2009, 19:14
    4. Пробрался вирус
      От inf в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.06.2008, 15:18
    5. Пробрался norBtok.exe, помогите вылечить!!!
      От KayNaL в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.02.2006, 17:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00023 seconds with 23 queries