PDA

Просмотр полной версии : Помогите пожалуйста



Салех
18.01.2006, 05:45
Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
Пребывая в сети, особенно через модем,... все тормозит...да и еще различные окна всплывают, даже после их блокировки. После установки Outpost Firewall,
при загрузке Windows, показыват:
Run a DLL as an App
Скрытый процесс запрашивает исходящее соединение
Процесс: C:\Windows\Sistem32\RunDLL32.exe
Запущен:C:\Windows\Sistem32\Winlogon.exe
а при выходе в сеть показывает:
Скрытый процесс запрашивает исходящее соединение
Процесс:C:\Program Files\Internet Explorer\Explorer.exe
Запущен:C:\Windows\Sistem32\Winlogon.exe

.... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
Как сказано в правилах, прилагаю последние логи.

RiC
18.01.2006, 08:19
Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
.... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
Как сказано в правилах, прилагаю последние логи.
Не только L2M но и спамбот, правда похоже был.
Прислать -
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\symsvcsa.exe
C:\WINDOWS\system32\mvlsl9371.dll
C:\WINDOWS\Updreg.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\ADMDLL.dll
C:\WINDOWS\system32\dyscript.dll
C:\WINDOWS\system32\LIBBZ2.dll

Потом прибить paytime.exe, остальных надо сначала на дорсмотр.

В Hijack сделать Fix -
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\lvpm0971e.dll (file missing)
O20 - Winlogon Notify: msctl32.dll - msctl32.dll (file missing)
O20 - Winlogon Notify: msctl32.dll- - C:\WINDOWS\
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\jtnu0759e.dll (file missing)
O20 - Winlogon Notify: NetCache- - C:\WINDOWS\
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll

Из этогого пофиксить то, что сами не добавляли в "Доверенные сайты"
O15 - Trusted Zone: http://www.e-gold.com
O15 - Trusted Zone: http://*.megastock.ru
O15 - Trusted Zone: http://*.oplata.info
O15 - Trusted Zone: http://*.paymer.com
O15 - Trusted Zone: http://www.psyshop.com
O15 - Trusted Zone: http://*.publicant.ru
O15 - Trusted Zone: http://www.solidinvestment.com.
O15 - Trusted Zone: http://www.studiotraffic.com
O15 - Trusted Zone: http://*.telepat.ru
O15 - Trusted Zone: http://www.webmoney.ru
O15 - Trusted Zone: http://*.webmoney.ru
O15 - Trusted Zone: http://*.wmtransfer.com

Повторить логи.

Вот здесь (http://virusinfo.info/showthread.php?p=64292) описаны почти все известные способы убить L2M. Который в логе тоже есть, правда слегка "покусанный" касперским (не хватает Guard`a).

Салех
19.01.2006, 05:25
Все сделал как вы сказали:
1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов. Вопрос: "Как мне прислать остальные?"
2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
нажимаю на Fix, но все без изменений.
Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
Подскажите,пожалуйста, дальнейшие действия.
Последние логи.

MOCT
19.01.2006, 07:46
Все сделал как вы сказали:
1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов.

присланные файлы - один кусок радмина, второй - библиотека компрессии. все это ерунда.



Вопрос: "Как мне прислать остальные?"

надо искать из AVZ при включенном режиме противодействия руткитам



2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
нажимаю на Fix, но все без изменений.

да, этот кусок из HJT Вы не исправите



Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
Подскажите,пожалуйста, дальнейшие действия.
Последние логи.
да, некоторый зоопарк наблюдается

нужно включить в AVZ противодействие руткитам (закладка "Параметры поиска") и после этого искать файлы. если файл не находится по полному пути, тогда искать только по имени файла. пришлите файлы:

C:\WINDOWS\Updreg.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\symsvcsa.exe
c:\program files\common files\epson\ebapi\eebsvc.exe

C:\WINDOWS\system32\aza2l3ho1.dll (или любой другой файл который будет указан в строке, начинающейся на "O20" в свежем логе HijackThis)
C:\WINDOWS\system32\wysdmoe2.dll
C:\WINDOWS\system32\TpansportSerial.dll
C:\WINDOWS\system32\ccl3d32.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\sldpsrv.dll
C:\WINDOWS\system32\sjvsvc.dll
C:\WINDOWS\system32\pzrfproc.dll
C:\WINDOWS\system32\swrmfilt.dll

после этого идите в AVZ в "Менеджер расширений проводника" и удаляйте последнюю группу указанных мной файлов.

AndreyKa
19.01.2006, 11:36
Из присланных:
C:\WINDOWS\system32\ADMDLL.dll - Program.RemoteAdmin.21

Салех, вам действительно нужен Remote Administrator?

Салех
19.01.2006, 16:29
Сообщение от Andreyka
Салех, вам действительно нужен Remote Administrator?

Я его уже удалил. Или вы хотели что-нибудь посоветовать?

MOCT
19.01.2006, 16:42
Я его уже удалил. Или вы хотели что-нибудь посоветовать?
ну и правильно, что удалили - радмин это большая брешь в безопасности

Салех
19.01.2006, 23:46
Снова пытался сделать как вы сказали, но многое не получается.
Что конкретно:
- нужно было прислать файлы:

C:\WINDOWS\Updreg.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\symsvcsa.exe
c:\program files\common files\epson\ebapi\eebsvc.exe

но у меня снова AVZ, со всеми вкл. настройками, находит только пару файлов:

C:\WINDOWS\Updreg.exe( дата создания 13.02.2005)
c:\program files\common files\epson\ebapi\eebsvc.exe( дата создания 13.02.2005)

которые я даже не могу отправить в карантин( нажимаю "отправить в карантин", но в карантине их нет)
По-поводу остальных файлов, я их вижу в разделах, например"менеджер автозапуска", также копирую, но все бестолку..
В этом же раэделе пытался удалить файл(C:\WINDOWS\system32\....), который постоянно меняется. Сначало он удаляется, потом снова появляется.

Я уже не знаю как со всем этим бороться. Подскажите, пожалуйста, как мне быть.
Прилагаю последние логи.

Geser
19.01.2006, 23:50
Зайти в c:\windows\system32, скопировать и выслать все файлы созданные сегодня и вчера

Geser
19.01.2006, 23:51
Так же нужно прислать
C:\WINDOWS\system32\LIBBZ2.dll
C:\WINDOWS\system32\MSJET35.DLL
C:\WINDOWS\system32\Sky2PCUI.dll
C:\WINDOWS\system32\SkyDll.dll

Салех
20.01.2006, 07:53
Снова делаю как вы говорите, но и на этот раз есть что-то неладное.
Вы меня попросили прислать файлы с С:\windows\system32, созданные вчера и сегодня, а я присылаю вам 2-е папки: 1-ая ( с 12.01.2006 по 16.01.2006), 2-ая ( с 17.01.2006 по 20.01.2006) в которых находятся файлы, созданные с момента заражения компа.
Еще хотел сказать про файлы, которые должны были быть в папке "2", но они просто не копируются из "system32", пишет, что объект используется другим пользователем или программой. В основном это те файлы, которые нельзя профиксить в hijack, которые, в добавок, еще меняются, куда-то пропадают и сами появляются (например "ir22l5fo1.dll","s2880cluefq80.dll")
А вот эти файлы вообще появились у меня на глах ( "tEpi32.dll", "guard.tmp" и "PerfStringBackup.TMP")
Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".

RiC
20.01.2006, 08:37
Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".
Look2Me собственной персоной - способов убиения несколько - все описаны - http://virusinfo.info/showthread.php?p=64292 выбирайте, самый правильный Imho с загрузочного CD (BartPE или ERD) - антивирусом :)

Салех
20.01.2006, 15:51
Из всех приведенных способов лечения, воспользовался Dr.Webом ( 2-мя версиями), и, как мне кажется, атака прошла успешно.
Посмотрите, пожалуйста, мои последние логи, и посоветуйте, что мне надо сделать, чтобы "убить" эту ... до конца.

Geser
20.01.2006, 16:04
Если есть следующие файлы - прислать:
C:\WINDOWS\system32\tEpi32.dll
C:\WINDOWS\system32\iuetcplc.dll

Салех
20.01.2006, 16:28
у меня эти файлы в Dr.Webe в папке "Infected.!!!" мечутся.

Geser
20.01.2006, 16:39
у меня эти файлы в Dr.Webe в папке "Infected.!!!" мечутся.
Ну тогда вроде чисто

Салех
20.01.2006, 17:43
Ребята! Спасибо Вам Всем Большое, за то, что помогли мне справиться с этим вирусом.:druzja: Спасибо за то, что существует такой замечательный сайт. :good:
P.S. над это отметить...:beer: ...:116: