PDA

Просмотр полной версии : Пожалуйста, помогите!



DINAMIT
29.01.2006, 16:52
У меня всплывают не с того не с сего баннеры прямо на рабочем столе, точнее не баннеры, а графические объекты :? и открываются страницы типа:
http://www.intern-etadvertising.com/normal/yyy65.html, http://www.myfuncards.com/?partner=ZUxdm209&spu=true

После сканирования систеы различными антивирусами, было удалено громное количество вирусов, троянов и ругих вредоносных програм, но проблема осталась (окна попрежнему открываются), после долгих поисков я наткнулся на этот сайт.
Просканировал систему антивирусом AVZ (БАЗА ОТ 12.01.2006 10:46)
ТОЛЬКО ВСЕ ДЕЙСТВИЯ Я ДЕЛАЛ В ОБЫЧНОМ РЕЖИМЕ, Т,К, БЕЗОПАСНЫЙ ТЕПЕРЬНЕ ГРУЗИТСЯ ВООБЩЕ.
он кое-что удалил:
C:\Documents and Settings\roman\Local Settings\Temporary Internet Files\Content.IE5\WXYZGPEF\Installer[1].exe >>>>> AdvWare.Win32.Look2Me.ab
C:\Installer.exe >>>>> AdvWare.Win32.Look2Me.ab
C:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP37\A0022521.dll >>>>> AdvWare.ToolBar.Ucmore.a
C:\WINDOWS\system32\miupgrd.dll >>>>> AdvWare.Win32.Look2Me.ab
C:\WINDOWS\system32\utbmon.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\AVAST\DATA\moved\Installer.exe.vir >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP4\A0009103.exe >>>>> AdvWare.Toolbar.Ucmore
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP56\A0038335.exe >>>>> AdvWare.Win32.SurfAccuracy.d
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP64\A0038860.exe >>>>> Porn-Tool.Win32.ABox.a
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039079.dll >>>>> AdvWare.ToolBar.Ucmore.a
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039080.dll >>>>> AdvWare.Toolbar.Ucmore
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039091.ocx >>>>> AdvWare.AzSearch.b
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039096.exe >>>>> Trojan-Downloader.Win32.IstBar.ij
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039097.exe >>>>> Trojan-Downloader.Win32.IstBar.gen
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039154.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039165.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039324.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039328.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039341.exe >>>>> AdvWare.Zestyfind удаление запрещено настройкой
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039532.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039536.dll >>>>> AdvWare.Win32.Look2Me.ab
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP74\A0041170.EXE >>>>> Trojan-Downloader.Win32.Small.buy
D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP76\A0042603.exe >>>>> AdvWare.AdURL.c
C:\WINDOWS\cXFx\asappsrv.dll --> Подозрение на Keylogger или троянскую DLL

НО ОКНА ПРОДОЛЖАЮТ ВСПЛЫВАТЬ, ЧТО МОЖНО СДЕЛАТЬ????? ПОМОГИТЕ!!! ПОЖАЛУЙСТА

Geser
29.01.2006, 16:57
1. Выключить восстановление системы как описано в правилах.
2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
3. Перегрузиться и повторить все логи.

MOCT
29.01.2006, 17:18
после лечение прислать файлы (искать из программы AVZ):
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
c:\secure32.html


из программы HijackThis пофиксить строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe

Geser
29.01.2006, 17:30
А вообще хочется спросить где, собственно, антивирус?

DINAMIT
29.01.2006, 17:30
1. Выключить восстановление системы как описано в правилах.
2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
3. Перегрузиться и повторить все логи.

Все сделал как просили ..... Только ещеразговорю,компьютер не грузится теперь в безопасном режиме, остальное сделал все как надо.

Geser
29.01.2006, 17:46
c:\windows\cxfx\command.exe
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\gp2sl3f71.dll
C:\WINDOWS\system32\tAembed.dll
C:\WINDOWS\system32\drivers\i386p.sys
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll

Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.

DINAMIT
29.01.2006, 17:51
после лечение прислать файлы (искать из программы AVZ):
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
c:\secure32.html


из программы HijackThis пофиксить строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe

ЭТИХ ФАЙЛОВ В СИСТЕМЕ НЕТ, ХОТЬ УБЕЙТЕ
c:\windows\cxfx\command.exe
C:\WINDOWS\cXFx\asappsrv.dll
C:\WINDOWS\TEMP\mc21.tmp
msctl32.dll
C:\WINDOWS\system32\paytime.exe
windows\winsysban3.exe
C:\WINDOWS\system32\mvp6l97s1.dll
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\nqmarta.dll
ЭТОТ ФАЙЛ ЯВЛЯЕТСЯ СТАРТОВОЙ СТРАНИЦЕЙ, НО ЕГО НЕТ, его AVAST далил, но мне вручную не поменять стартовую страницу.
c:\secure32.html

Остальные файлы нашел, они в архиве ....
И что значит профиксить???

DINAMIT
29.01.2006, 18:06
c:\windows\cxfx\command.exe
c:\program files\network monitor\netmon.exe
C:\WINDOWS\system32\gp2sl3f71.dll
C:\WINDOWS\system32\tAembed.dll
C:\WINDOWS\system32\drivers\i386p.sys
C:\windows\winsysupd3.exe
C:\WINDOWS\system32\paytime.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll

Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.

Файлы созданные за вчера и сегодня:
mv4ml9h11.dll
tAembed.dll
gp2sl3f71.dll - эти система не дает скопировать
файлы выслал на e-mail, т.к. они превышают 1 Mb


Из списка:
нет в системе:
c:\windows\cxfx\command.exe
C:\WINDOWS\system32\mpicda.dll
C:\WINDOWS\system32\kldukx.dll
c:\windows\cxfx\command.exe

Geser
29.01.2006, 18:08
А как искал? Через АВЗ как написано в правилах?

DINAMIT
29.01.2006, 18:12
А как искал? Через АВЗ как написано в правилах?

:X :X опс ...................... нет .................. в ручную ............

Geser
29.01.2006, 18:13
Попробуй через АВЗ.

DINAMIT
29.01.2006, 18:14
Попробуй через АВЗ.
Ок ок ок

DINAMIT
29.01.2006, 18:16
Попробуй через АВЗ.

ОГО :no:

MOCT
29.01.2006, 18:19
Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...

MOCT
29.01.2006, 18:20
ОГО :no:
что?
искать нужно из AVZ со включенной галкой противодействия руткитам.
про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491

DINAMIT
29.01.2006, 18:26
Все файлы выслал на e-mail

Geser
29.01.2006, 18:26
блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...
Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?:)

DINAMIT
29.01.2006, 18:28
что?
искать нужно из AVZ со включенной галкой противодействия руткитам.
про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491

Сейчас сделаем ;)

ВСЕ, ПОФИКСИЛ :)

MOCT
29.01.2006, 18:42
Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?:)
да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...

Geser
29.01.2006, 18:45
да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...
Ну пока нет возможности копировать залоченные файлы так лучше чем ничего.

MOCT
29.01.2006, 18:46
Сейчас сделаем ;)
ВСЕ, ПОФИКСИЛ :)

из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"

среди присланных в 1 и 2 архиве файл i386p.sys - троян, его нужно удалять.

в последнем письме command.exe - тоже троян

удаляйте эти файлы, перезагружайтесь, делайте новые логи

Geser
29.01.2006, 18:48
среди присланных в 1 и 2 архиве файл i386p.sys - троян, его нужно удалять.

Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll

DINAMIT
29.01.2006, 18:56
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll

Не, все удалилось :)

MOCT
29.01.2006, 18:59
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll
папу нам не прислали, поэтому сделать вывод о его существовании не могу. хотя это еще вопрос - кто кого прикрывает...

2 DINAMIT : файлы atmtd.dll* удаляйте - они выкачиваются трояном command.exe из интернета

(кстати, баннеры на рабочем столе ставит именно command.exe)

и ждем новые логи.

DINAMIT
29.01.2006, 19:08
Баннеры вроде не выскакивают :) НО вот ууушки, вот что выскочило, когда я перезагрузился:
http://www.dealiotoday.com/normal/yyy102.html
http://vaclick.epilot.com/click.aspx?x=efu9sl9kFGBdtaLVhLIQXvFv3TlHUgo7kn%2F Ns7Ls01R14nXHh%2F4ej6Ky1ijJ6NdKqCRtNFKVt86HZ8q1D1u 74Jj4PxXVL2mWRtYTI5Hn9UaxOvWSXqN4xMPpSAbHbXxMXap2o UuaOfX4%2F7fzmsgDH%2B2BM1sGgv7ZcBgOaFU0SXgdtjtGjnz kKd9FtgkwSo%2Bd0wImbqW%2FhmyDGwgniPktVLlMZ1UMA6gnj QhYz0WBfUtvZuJp%2BftcspSyWT0AA%2FvvMFohX%2Bsj3SrQf IRG7SXbC%2FzTtQb3dpH0xPWDOZBZrSk82wfq9VgjHpOUj8poT xtKKYKpqfa4D47PZsnq3tWW6AEbRjWDGgQ1

Geser
29.01.2006, 19:22
Ну, судя по всему осталось самое неприятное look2me (http://virusinfo.info/showthread.php?t=4481)

DINAMIT
29.01.2006, 19:23
:embarasse БАННЕР ВЫПОЛЗ, причем было затишье и тут одновременно баннер и окно с ууууу.... Наверно это один и тот же, но сейчас как-то не постоянно раньшетак в каждую минуту ....

Geser
29.01.2006, 19:25
:embarasse БАННЕР ВЫПОЛЗ, причем было затишье и тут одновременно баннер и окно с ууууу.... Наверно это один и тот же, но сейчас как-то не постоянно раньшетак в каждую минуту ....
look2me выкачивает всякую дрянь из инета. Нужно его сначала прибить.

DINAMIT
29.01.2006, 19:26
Ну, судя по всему осталось самое неприятное look2me (http://virusinfo.info/showthread.php?t=4481)

Мне делать все что указано здесь?

Geser
29.01.2006, 19:29
Мне делать все что указано здесь?
Не всё. Там несколько способов. Нужно выбрать любой на вкус.

DINAMIT
29.01.2006, 19:35
Не всё. Там несколько способов. Нужно выбрать любой на вкус.
Сейчас попробую .......

Зайцев Олег
29.01.2006, 23:02
Файлики пришли, точный диагноз по ним:
cXFx\command.exe = AdWare.Win32.CommAd.a
system32\drivers\i386p.sys = Trojan.Win32.Agent.of (это трояно-руткитный драйвер, зашифрованный к тому-же)
Эти два файла нужно прибить через отложенное удалене AVZ (файл/отложенное удаление), перезагрузиться и убедиться, что они убились.
Судя по последним логам Geser прав - это классический Look2me, если не поможет инструкция по указанной ссылке, то проще снять HDD, прицепить к другому ПК и прибить "зверя" ...

DINAMIT
30.01.2006, 13:52
ВСЕ ВРОДЕ БОЛЬШЕ НИЧЕГО НЕ ВСПЛЫВАЕТ :) ВСЕМ ОГРОМНОЕ СПАСИБО !!!!!!!!!!!!!!!! САЙТ СУПЕР!!!!!!!!!

Geser
30.01.2006, 14:09
Всегда рады :) Только не плохо бы для контроля еще раз сделать логи.

DINAMIT
30.01.2006, 16:18
Всегда рады :) Только не плохо бы для контроля еще раз сделать логи.

ВОТ ЛОГИ ...... ЕЩЕ РАЗ СПАСИБО !!!!

Geser
30.01.2006, 16:34
из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"

В HijackThis пофиксить
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mpicda.dll (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\gp2sl3f71.dll (file missing)

RiC
30.01.2006, 16:39
ВОТ ЛОГИ ...... ЕЩЕ РАЗ СПАСИБО !!!!

Ещё немного хлама -

O23 - Service: Abangid - - (no file)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

Тоже пофиксить.

А вот Hosts я бы не чистил, меньше будет шансов зацепить какой-нибудь гадости в будующем, Look2Me честно туда добавил своих конкурентов :P

DINAMIT
30.01.2006, 17:02
ВСЕ, ПОСМОТРИТЕ, ПЛИЗ ЕЩЕ РАЗ, А ТО МАЛО ЛИ ;)

Geser
30.01.2006, 17:15
В принципе для полного счастья можно в АВЗ->Менеджер расширений проводника удалить
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\guard.tmp

но это уже косметика, так всё чисто

DINAMIT
30.01.2006, 17:32
В принципе для полного счастья можно в АВЗ->Менеджер расширений проводника удалить
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\guard.tmp

но это уже косметика, так всё чисто

ВСЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!