Просмотр полной версии : Пожалуйста, помогите!
У меня всплывают не с того не с сего баннеры прямо на рабочем столе, точнее не баннеры, а графические объекты :? и открываются страницы типа:
http://www.intern-etadvertising.com/normal/yyy65.html, http://www.myfuncards.com/?partner=ZUxdm209&spu=true
После сканирования систеы различными антивирусами, было удалено громное количество вирусов, троянов и ругих вредоносных програм, но проблема осталась (окна попрежнему открываются), после долгих поисков я наткнулся на этот сайт.
Просканировал систему антивирусом AVZ (БАЗА ОТ 12.01.2006 10:46)
ТОЛЬКО ВСЕ ДЕЙСТВИЯ Я ДЕЛАЛ В ОБЫЧНОМ РЕЖИМЕ, Т,К, БЕЗОПАСНЫЙ ТЕПЕРЬНЕ ГРУЗИТСЯ ВООБЩЕ.
он кое-что удалил:
C:\Documents and Settings\roman\Local Settings\Temporary Internet Files\Content.IE5\WXYZGPEF\Installer[1].exe >>>>> AdvWare.Win32.Look2Me.ab
C:\Installer.exe >>>>> AdvWare.Win32.Look2Me.ab
C:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP37\A0022521.dll >>>>> AdvWare.ToolBar.Ucmore.a
C:\WINDOWS\system32\miupgrd.dll >>>>> AdvWare.Win32.Look2Me.ab
C:\WINDOWS\system32\utbmon.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\AVAST\DATA\moved\Installer.exe.vir >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP4\A0009103.exe >>>>> AdvWare.Toolbar.Ucmore
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP56\A0038335.exe >>>>> AdvWare.Win32.SurfAccuracy.d
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP64\A0038860.exe >>>>> Porn-Tool.Win32.ABox.a
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039079.dll >>>>> AdvWare.ToolBar.Ucmore.a
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039080.dll >>>>> AdvWare.Toolbar.Ucmore
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039091.ocx >>>>> AdvWare.AzSearch.b
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039096.exe >>>>> Trojan-Downloader.Win32.IstBar.ij
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039097.exe >>>>> Trojan-Downloader.Win32.IstBar.gen
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039154.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039165.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039324.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039328.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039341.exe >>>>> AdvWare.Zestyfind удаление запрещено настройкой
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039532.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039536.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP74\A0041170.EXE >>>>> Trojan-Downloader.Win32.Small.buy
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP76\A0042603.exe >>>>> AdvWare.AdURL.c
C:\WINDOWS\cXFx\asappsrv.dll --> Подозрение на Keylogger или троянскую DLL
НО ОКНА ПРОДОЛЖАЮТ ВСПЛЫВАТЬ, ЧТО МОЖНО СДЕЛАТЬ????? ПОМОГИТЕ!!! ПОЖАЛУЙСТА
1. Выключить восстановление системы как описано в правилах.
2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
3. Перегрузиться и повторить все логи.
после лечение прислать файлы (искать из программы AVZ):
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
c:\secure32.html
из программы HijackThis пофиксить строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe
А вообще хочется спросить где, собственно, антивирус?
1. Выключить восстановление системы как описано в правилах.
2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
3. Перегрузиться и повторить все логи.
Все сделал как просили ..... Только ещеразговорю,компьютер не грузится теперь в безопасном режиме, остальное сделал все как надо.
c:\windows\cxfx\command.exe
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\gp2sl3f71.dll
C:\WINDOWS\system32\tAembed.dll
C:\WINDOWS\system32\drivers\i386p.sys
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
после лечение прислать файлы (искать из программы AVZ):
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
c:\secure32.html
из программы HijackThis пофиксить строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe
ЭТИХ ФАЙЛОВ В СИСТЕМЕ НЕТ, ХОТЬ УБЕЙТЕ
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\WINDOWS\system32\paytime.exe
windows\winsysban3.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
ЭТОТ ФАЙЛ ЯВЛЯЕТСЯ СТАРТОВОЙ СТРАНИЦЕЙ, НО ЕГО НЕТ, его AVAST далил, но мне вручную не поменять стартовую страницу.
c:\secure32.html
Остальные файлы нашел, они в архиве ....
И что значит профиксить???
c:\windows\cxfx\command.exe
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\gp2sl3f71.dll
C:\WINDOWS\system32\tAembed.dll
C:\WINDOWS\system32\drivers\i386p.sys
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
Файлы созданные за вчера и сегодня:
mv4ml9h11.dll
tAembed.dll
gp2sl3f71.dll - эти система не дает скопировать
файлы выслал на e-mail, т.к. они превышают 1 Mb
Из списка:
нет в системе:
c:\windows\cxfx\command.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
c:\windows\cxfx\command.exe
А как искал? Через АВЗ как написано в правилах?
А как искал? Через АВЗ как написано в правилах?
:X :X опс ...................... нет .................. в ручную ............
Попробуй через АВЗ.
Ок ок ок
Попробуй через АВЗ.
ОГО :no:
Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...
ОГО :no:
что?
искать нужно из AVZ со включенной галкой противодействия руткитам.
про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491
Все файлы выслал на e-mail
блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...
Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?:)
что?
искать нужно из AVZ со включенной галкой противодействия руткитам.
про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491
Сейчас сделаем ;)
ВСЕ, ПОФИКСИЛ :)
Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?:)
да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...
да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...
Ну пока нет возможности копировать залоченные файлы так лучше чем ничего.
Сейчас сделаем ;)
ВСЕ, ПОФИКСИЛ :)
из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"
среди присланных в 1 и 2 архиве файл i386p.sys - троян, его нужно удалять.
в последнем письме command.exe - тоже троян
удаляйте эти файлы, перезагружайтесь, делайте новые логи
среди присланных в 1 и 2 архиве файл i386p.sys - троян, его нужно удалять.
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll
Не, все удалилось :)
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll
папу нам не прислали, поэтому сделать вывод о его существовании не могу. хотя это еще вопрос - кто кого прикрывает...
2 DINAMIT : файлы atmtd.dll* удаляйте - они выкачиваются трояном command.exe из интернета
(кстати, баннеры на рабочем столе ставит именно command.exe)
и ждем новые логи.
Баннеры вроде не выскакивают :) НО вот ууушки, вот что выскочило, когда я перезагрузился:
http://www.dealiotoday.com/normal/yyy102.html
http://vaclick.epilot.com/click.aspx?x=efu9sl9kFGBdtaLVhLIQXvFv3TlHUgo7kn%2F Ns7Ls01R14nXHh%2F4ej6Ky1ijJ6NdKqCRtNFKVt86HZ8q1D1u 74Jj4PxXVL2mWRtYTI5Hn9UaxOvWSXqN4xMPpSAbHbXxMXap2o UuaOfX4%2F7fzmsgDH%2B2BM1sGgv7ZcBgOaFU0SXgdtjtGjnz kKd9FtgkwSo%2Bd0wImbqW%2FhmyDGwgniPktVLlMZ1UMA6gnj QhYz0WBfUtvZuJp%2BftcspSyWT0AA%2FvvMFohX%2Bsj3SrQf IRG7SXbC%2FzTtQb3dpH0xPWDOZBZrSk82wfq9VgjHpOUj8poT xtKKYKpqfa4D47PZsnq3tWW6AEbRjWDGgQ1
Ну, судя по всему осталось самое неприятное look2me (http://virusinfo.info/showthread.php?t=4481)
:embarasse БАННЕР ВЫПОЛЗ, причем было затишье и тут одновременно баннер и окно с ууууу.... Наверно это один и тот же, но сейчас как-то не постоянно раньшетак в каждую минуту ....
:embarasse БАННЕР ВЫПОЛЗ, причем было затишье и тут одновременно баннер и окно с ууууу.... Наверно это один и тот же, но сейчас как-то не постоянно раньшетак в каждую минуту ....
look2me выкачивает всякую дрянь из инета. Нужно его сначала прибить.
Ну, судя по всему осталось самое неприятное look2me (http://virusinfo.info/showthread.php?t=4481)
Мне делать все что указано здесь?
Мне делать все что указано здесь?
Не всё. Там несколько способов. Нужно выбрать любой на вкус.
Не всё. Там несколько способов. Нужно выбрать любой на вкус.
Сейчас попробую .......
Зайцев Олег
29.01.2006, 23:02
Файлики пришли, точный диагноз по ним:
cXFx\command.exe = AdWare.Win32.CommAd.a
system32\drivers\i386p.sys = Trojan.Win32.Agent.of (это трояно-руткитный драйвер, зашифрованный к тому-же)
Эти два файла нужно прибить через отложенное удалене AVZ (файл/отложенное удаление), перезагрузиться и убедиться, что они убились.
Судя по последним логам Geser прав - это классический Look2me, если не поможет инструкция по указанной ссылке, то проще снять HDD, прицепить к другому ПК и прибить "зверя" ...
ВСЕ ВРОДЕ БОЛЬШЕ НИЧЕГО НЕ ВСПЛЫВАЕТ :) ВСЕМ ОГРОМНОЕ СПАСИБО !!!!!!!!!!!!!!!! САЙТ СУПЕР!!!!!!!!!
Всегда рады :) Только не плохо бы для контроля еще раз сделать логи.
Всегда рады :) Только не плохо бы для контроля еще раз сделать логи.
ВОТ ЛОГИ ...... ЕЩЕ РАЗ СПАСИБО !!!!
из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"
В HijackThis пофиксить
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mpicda.dll (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\gp2sl3f71.dll (file missing)
ВОТ ЛОГИ ...... ЕЩЕ РАЗ СПАСИБО !!!!
Ещё немного хлама -
O23 - Service: Abangid - - (no file)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
Тоже пофиксить.
А вот Hosts я бы не чистил, меньше будет шансов зацепить какой-нибудь гадости в будующем, Look2Me честно туда добавил своих конкурентов :P
ВСЕ, ПОСМОТРИТЕ, ПЛИЗ ЕЩЕ РАЗ, А ТО МАЛО ЛИ ;)
В принципе для полного счастья можно в АВЗ->Менеджер расширений проводника удалить
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\guard.tmp
но это уже косметика, так всё чисто
В принципе для полного счастья можно в АВЗ->Менеджер расширений проводника удалить
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\guard.tmp
но это уже косметика, так всё чисто
ВСЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot