На днях словила троян модифицированный Win32/Adware.Look2Me. У меня ХР, из антивирусов - только NOD32. Действовала по инструкции в Правилах. Суть вопроса - что мне делать дальше???? :'-(

ЗЫ. Все, что просили отправила, только WService.EXE не нашла. Теперь иду дальше по пунктам, как предложил RiC
Сегодняшние логи

Нужно прислать как описано в правилах:

C:\WINDOWS\system32\dnl4013qe.dll
C:\winstall.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.exe
C:\WINDOWS\system32\qmv.dll
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\guard.tmp

Угу, "узнаю брата Васю". О дальнейших действиях читайте, например, здесь: http://virusinfo.info/showthread.php?t=4346
Для начала, конечно, хорошо бы найти компоненты зверя, хотя бы вот это (имя файла, скорее всего, будет уже другое):
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
и проверить его в онлайне у Dr.Web и KAV. Тогда будет понятнее, чем гонять. Хотя, может быть, его и NOD сумеет выгнать, если правильно режим работы монитора выставить?

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.exe

также прошу прислать C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.dll

Угу, "узнаю брата Васю".
Там кроме Васи ещё и Петя, и всё прочее семейство :P
Что дают Look2Me, Spambot, Dumador, Prorat
Следующие действия -
1. Прислать всё, что просили плюс если найдёте - WService.EXE
2. Скачать CureIt - ссылка есть в правилах.
3. Загрузиться в SafeMode и проверить диск С: с помошью CureIt.
4. Запустить Hijack сделать Fix для
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
5. Пуск/Выполнить 2 команды
net stop TlntSvr
sc config TlntSvr start= disabled
перезагрузиться и повторить логи, по идее после этого должен выжить Look2Me им займёмся после избавления от остальной "компании".

Присланные (все три зверьки):
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
C:\WINDOWS\system32\drivers\i386p.sys

AntiVir Found Trojan/Zapchast.AD, Trojan/Spy.Smal.dg.24.B
ArcaVir Found Trojan.Spy.Small.Dg
Avast Found Win32:Trojano-3173
AVG Antivirus Found nothing
BitDefender Found Trojan.Torpig.C
ClamAV Found nothing
Dr.Web Found Trojan.PWS.Gamma, Trojan.NtRootKit.60
F-Prot Antivirus Found nothing
Fortinet Found Spy/Torpig
Kaspersky Anti-Virus Found Trojan.Win32.Zapchast.ad, SpamTool.Win32.Mailbot.b, Trojan-Spy.Win32.Small.dg
NOD32 Found Win32/PSW.Agent.NAG, Win32/SpamTool.Mailbot.B
Norman Virus Control Found W32/Agent.LHX
UNA Found nothing
VBA32 Found Trojan.Win32.Zapchast.ad, Backdoor.IRCBot.10 (paranoid heuristics), Trojan-Spy.Win32.Small.dg (probable variant)

Присланные (все три зверьки):
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
C:\WINDOWS\system32\drivers\i386p.sys

Думадор похоже не выжил, ну и фиг с ним -
Эту пару стереть в SafeMode
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
последнего - C:\WINDOWS\system32\drivers\i386p.sys
AVZ -
Файл/отложенное удаление
выбрать и перезагрузиться,
что подчистить в Hijack я уже писал.

После повторите логи - будем ловить Look2Me .

Значит так, все сделала точно следуя указаниям, НО:
1. Не найден C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
2.В HJT не найдены O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" и O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
Остальное потерла.
Новые логи

Вопрос - я в логах не вижу NOD, прокоторый вы упомянули, он всё-же установлен или нет ?

RiC
Забыла написать, его сегодня удалил один мастер-ломастер. Но я могу снова поставить, только не знаю, когда это лучше сделать: сейчас или позже.

ещё одна правка


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"


Запускаете блокнот и копируете из рамки текст, затем вставляете в блокнот, после выбираете файл/сохранить и пишите имя файла "1.reg" обязательно в кавычках, после 2 раза из проводника щёлкаете на файл и соглашаетесь добавить данные в реестр.

RiC
Забыла написать, его сегодня удалил один мастер-ломастер. Но я могу снова поставить, только не знаю, когда это лучше сделать: сейчас или позже.
Пока не надо ставить, сейчас будем мучать другой антивирус, от нода мы не добьёмся того, что нужно.

Следующую рекомендацию надо выполнить без ошибок, в противном случае Windows придётся переустанавливать :( Я постараюсь написать как можно подробнее.
А вам пока надо скачать демо версию Dr.Web (ftp://ftp.drweb.com/pub/drweb/windows/drweb-433-win-ru.exe) но не устанавливать, она довольно большая по размеру - около 8 мб.

RiC

и соглашаетесь добавить данные в реестр
Готово.
Ой, мамочки, предупреждаю - я чайник!!!

Look2Me на самом деле очень противная зараза и вывести её достаточно сложно, я пока сочиняю подробную инструкцию, подождите немного.

Установка - будем ставить минимум необходимого-

Запуск, я пропущу экраны на которых весь выбор состоит из кнопки "далее"

Добираемся до "Вид установки", здесь надо выбрать "Выборочную"

Следующий экран - НЕНУЖНЫЕ компоненты -
1. Консольный сканер.
2. Сканер для дос
3. Spider Mail для рабочих станций (по желанию это проверка почты на вирусы)

остальное нужно.
Ещё несколько раз "далее".

Вопрос про "адрес, имя, пароль" - давите "отмена".

Регистрация -
Выбираете "зарегистрировать сейчас" и "получить демонстрационный ключ" дальше заполняее анкету и регистрируете программу.

вопрос про перезагрузку - отвечаете НЕТ

После в трее появляется зелёный паук с красным крестом
нажимаете на него правой кнопкой мыши - и выбираете "Update" или "Обновить"

Если возникнет вопрос о перезагрузке - опять НЕТ - ещё рано.

Выкачиваете из вложения к этой теме архив drweb32.zip это архив, в нём 1 файл - drweb32.ini распаковываете и записываете его в каталог c:\Program files\DrWeb вместо того файла, который в нём лежит.

Файл нужно заменить обязательно.

После перезагружаетесь и делаете лог исследование системы в AVZ.

Если что-то не получается и после перезагрузки выйдет синий экран - загружаетесь в режиме защиты от сбоев и через установку/удаление программ удаляете антивирус.
Если после перезагрузки получите "ошибка Winlogon" - ничего не нажимайте, подождите немного Windows продолжит загружаться, просто не трогайте это окно и сделайте лог AVZ, окно потом уберём вместе с ошибкой.

Писал так долго потому, что повторял все шаги на тестовом компьютере с установленной L2M - в итоге у меня Look2Me помер тихо и без синих экранов :)

Все прошло без особых ЧП, но с жутким торможением. На последнюю стадию у меня ушел почти час!
Лог приложила
ЗЫ. Можно и на ТЫ перейти :D

Вместо доктора надо каспера ставить чтоб потом остатки не чистить..

Пожалуйста.
Зер гуд, L2M похоже помер - уборка мусора -

AVZ -
Сервис - Менеджер автозапуска,
раздел Winlogon
выделяем файл
C:\WINDOWS\system32\k0260afsed260.dll
давим на кнопку с крестом.
Закрываем.
Опять Сервис - Менеджер расширений проводника
здесь 2-е.
C:\WINDOWS\system32\pocn20.dll
C:\WINDOWS\system32\guard.tmp
так-же по очереди на крест.

Чтобы небыло тормозов -
На паука правой кнопкой "Setting"
раздел "On acess scan mode"
ставим точку напротив "Smart".

Ещё раз перезагрузка и новый лог напоследок.

Вместо доктора надо каспера ставить чтоб потом остатки не чистить..
В прошлый раз эта бета от каспера похоранила компьютер, хватит экспериментов, выпустят релиз - тогда будет каспер, пока наф, я лучше Noaher`овский киллер переделаю, чтобы на русской винде работал, благо он в сорцах.

RiC
Эти двое не удаляются:
C:\WINDOWS\system32\pocn20.dll
C:\WINDOWS\system32\guard.tmp

RiC
Эти двое не удаляются:
C:\WINDOWS\system32\pocn20.dll
C:\WINDOWS\system32\guard.tmp
Просто галки с них поснимайте, пускай болтаются, толку от них уже всё-равно никакого.

Галки сняла, перезагрузила.
Вылетает окно: Windows не удалось найти "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" Проверьте, что имя было введено правильно, и повторите попытку.
Лог, который напоследок:

в прошлый раз там бул драйвер доктора Ж) надо наоборот пробовать Ж))

а вобще - действительно надо написать Lock2Me киллер...

если у тебя не получится - я сам займусь

Галки сняла, перезагрузила.
Вылетает окно: Windows не удалось найти "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" Проверьте, что имя было введено правильно, и повторите попытку.
Лог, который напоследок:
Look2Me помер, совет для избавления от ibm00001.exe я уже давал вот - http://virusinfo.info/showpost.php?p=63396&postcount=11 надо создать указанный мною файл 1.reg файл и добавить его в реестр, глюк должен пройти, это доктор прихлопнул трояна, от которого в реестре остался мусор.
Извиняюсь, но я иду спать, у нас уже рассвет скоро :)

Вот кстати ещё мелочь -
Выбираете пуск->выполнить и пишите -
notepad %windir%\system32\drivers\etc\hosts
открывается текстовый файл, в котором написано много и по английски,нужно вычистить из него всё, кроме строки
127.0.0.1 localhost
После этот файл нужно сохранить.

RiC
Спасибо тебе огромное!!!!!!!!!!!!!!!!!
Я очень-очень-очень тебе благодарна!!!!!!!!
:* :* :* :чмок: :beer:

в прошлый раз там бул драйвер доктора Ж) надо наоборот пробовать Ж))
а вобще - действительно надо написать Lock2Me киллер...
если у тебя не получится - я сам займусь
Ладно проехали, но всё-равно жалко - кому-то пришлось переставлять винду :(

RiC
Спасибо тебе огромное!!!!!!!!!!!!!!!!!
Я очень-очень-очень тебе благодарна!!!!!!!!


Пожалуйста ... я ущёл :)

Ещё один совет - Доктора в таком виде как он сейчас установлен лучше наверное удалить, т.к. я отключил один нужный модуль SpiderMail, Вам нужно его будет или переустановить заново или поставить другой антивирус :)

RiC

notepad %windir%\system32\drivers\etc\hosts
Только сейчас сделала :)

Доктора лучше наверное удалить
И енто сделала :)
Спасибо еще раз, огромнейшее :beer:

Народ
Жизнь меня ничему не учит, опять словила старого знакомого :) Помогите плииз, кто чем сможет, опираясь на предыдущий опыт, пршла все пункты как по правилам, высылаю то, что просили в предыдущий раз (по крайней мере, то что он выдал на тот список) и естессно логи:

off: драйвер для коврика :)

c:\mousepad.exe

Знатный зверинец :) все присланные файлы Трояны или AdWare. По DrWeb:
C:\Documents and Settings\Als\Local Settings\Temporary Internet Files\Content.IE5\4X6BC96N\winsysupd12[1].exe - инфицирован Trojan.Popuper
C:\Documents and Settings\Als\Local Settings\Temporary Internet Files\Content.IE5\TNT3H2BP\drsmartload[1].exe - программа-AdWare Adware.DollarRevenue
C:\drsmartload1.exe - программа-AdWare Adware.DollarRevenue
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.dll - инфицирован Trojan.PWS.Snap
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00006.dll - инфицирован Trojan.PWS.Banker.1529
C:\WINDOWS\system32\guard.tmp - программа-AdWare Adware.Look2me
C:\winstall.exe - инфицирован Trojan.Fakealert
C:\winsysupd12.exe - инфицирован Trojan.Popuper
Удаляйте их через AVZ Отложенное удаление.

AndreyKa
Ок, удалила, пошла на перезагрузку

Теперешние логи

Пришлите файл:
c:\mousepad.exe
Look2me попробуем пролечить так:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, применить отложенное удаление файлов Look2me
C:\WINDOWS\system32\en2ml1f11.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\Mavcrtd.dll
3. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер

Отправила
Пошла лечить
1 и 3 файлы - не найдены, второй удален

c:\mousepad.exe - Trojan.Click.930

Логи, после перезагрузки:

c:\mousepad.exe - удалить
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, применить отложенное удаление файлов Look2me
C:\WINDOWS\system32\sqoolss.dll
после этого зайти в C:\WINDOWS\system32\ посмотреть какие файлы с расширениме dll созданы сегодня и все удалить через отложенное удаление АВЗ
3. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер

да, перед удалением файлы скопировать и прислать нам

Сорри, что так долго! У меня тут такой кошмар с подключением был, я уже испугалась, что все - винду надо переставлять. Geser все сделала, логи после последней перезагрузки:

Теперь похоже чисто. Осталось некоторые хвосты подчистить

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe"
O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\

Это пофиксить в HijackThis

C:\WINDOWS\SYSTEM32\msupdate32.dll если есть - прислать

Geser
Профиксила
Прислала dll
:))

C:\WINDOWS\SYSTEM32\msupdate32.dll нужно удалить.
C:\gimmysmileys.exe тоже.

А антивирус вообще есть какой-то?

Ещё к списку Gesera -
c:\mousepad.exe
c:\program files\network monitor\netmon.exe
нам и в мусорку.

Отправила
c:\mousepad.exe
c:\program files\network monitor\netmon.exe
Geser
Антивиря, к сожалению, сейчас нет

Антивиря, к сожалению, сейчас нет
Вообще ты нам поставляешь классные свеженькие троянчики, но я бы всё же посоветовал поставить антивирус :)

Geser
:)))

Должен вас предупредить, что ваши пароли на почту, на доступ к сайтам и т.д. скорее всего были похищены. Поменяйте все пароли.

AndreyKa
Млин, который раз уже меняю :)))))