homepage hijackers =(

Printable View

20.06.2006, 14:07
Андрей2006

Вложений: 1

homepage hijackers =(

[COLOR=black][FONT=Verdana]homepage hijackers =( вообщем все делаю как тут [URL="http://virusinfo.info/showthread.php?t=1235"][COLOR=#800080]http://virusinfo.info/showthread.php?t=1235[/COLOR][/URL] а когда в AVZ тыркаю [B]"Выполнить отмеченные скрипты"[/B] то у меня комп перезагружается =( и лог не сохраняется,[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]зато есть лог из hijackthis но не знаю поможет сильно ли он 1 решить мою траблу =( [/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]зы: почему у меня комп перезагружается, когда я выполняю отмеченные скрипты ?? %(
[COLOR=black][FONT=Verdana]Заранее очень благодарен таким людям как Вы. Спасибо.[/FONT][/COLOR]
[/FONT][/COLOR]
20.06.2006, 14:50
pig

Эти файлы пришлите, как описано в Приложении 2:
[code]C:\WINDOWS\system32\itunesff.exe
C:\dfndr.exe
C:\kybrd.exe
C:\nwnm.exe
C:\WINDOWS\System32\YSTEM3~1\winspool.exe
C:\WINDOWS\DOBE~1\WAUCLT~1.EXE
C:\WINDOWS\zM7Mzs0\command.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\vbsys2.dll[/code]

Эти строки можно попробовать сразу пофиксить через HijackThis:
[code]O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
[/code]

А вот это худо:
[code]O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\i442leho1h4c.dll[/code]
Это, насколько я понимаю, Look2Me. Попробуйте [url=http://virusinfo.info/showpost.php?p=74469&postcount=10]вот этот совет[/url].
20.06.2006, 19:59
Андрей2006

Вложений: 1

обидно =(
[LEFT][COLOR=lime]+[/COLOR]C:\WINDOWS\system32\itunesff.exe
[COLOR=lime]+[/COLOR]C:\dfndr.exe
[COLOR=lime]+[/COLOR]C:\kybrd.exe
[COLOR=lime]+[/COLOR]C:\nwnm.exe
[COLOR=lime]+[/COLOR]C:\WINDOWS\System32\YSTEM3~1\winspool.exe
[COLOR=lime]+[/COLOR]C:\WINDOWS\DOBE~1\WAUCLT~1.EXE
[COLOR=red]-[/COLOR]C:\WINDOWS\zM7Mzs0\command.exe
[COLOR=lime]+[/COLOR]C:\WINDOWS\System32\wpabaln.exe
[COLOR=red]-[/COLOR]C:\WINDOWS\System32\vbsys2.dll

[LEFT][COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-611111193423} -
[COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-611111193429} -
[COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
[COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
[COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[COLOR=lime]+[/COLOR]O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
[COLOR=red]-[/COLOR]O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)[/LEFT]

[LEFT][COLOR=red]-[/COLOR]O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\i442leho1h4c.dll

[/LEFT]

[COLOR=black][FONT=Verdana]там где “-“ пофиксить не получилось =( посоветуйте как от них можно избавиться ?

"Это, насколько я понимаю, Look2Me. Попробуйте вот этот совет". - Вроде сделал, как было сказано, но все равно homepage hijackers не пропадают

проверьте еще раз лог может, что не удалилось? =(

[/FONT][/COLOR]

[/LEFT]
20.06.2006, 20:22
pig

Вы файлы прислали? Совет по изгнанию Look2Me пробовали? IMHO, сначала надо его задавить, после этого AVZ должна запуститься (если ей не AntiVir мешал, конечно).
20.06.2006, 20:37
Андрей2006

[COLOR=black]Я запускаю AVZ и когда нажимаю выполнение отмеченных скриптов у меня комп перезагружается, это даже тогда когда я отключаю антивирус =([/COLOR][COLOR=black][/COLOR]
20.06.2006, 20:57
RiC

[QUOTE=Андрей2006][COLOR=black]Я запускаю AVZ и когда нажимаю выполнение отмеченных скриптов у меня комп перезагружается, это даже тогда когда я отключаю антивирус =([/COLOR][COLOR=black][/COLOR][/QUOTE]
Попробуйте пропустить 8-й пункт из правил, сделайте только второй скрипт AVZ, он не должен виснуть, судя по логу Hijack должен быть ещё и Rootkit :( которого Hijack не видит.
20.06.2006, 20:59
Андрей2006

"Вы файлы прислали?" Я их пофиксел, но -C:\WINDOWS\zM7Mzs0\command.exe & -C:\WINDOWS\System32\vbsys2.dll не фиксяца
и когда я хочу найти эти файлы в директории C:\WINDOWS\System32 и C:\WINDOWS\zM7Mzs0 я их не не вижу и папки zM7Mzs0 тоже. =(
20.06.2006, 21:59
RiC

[QUOTE=Андрей2006]Я их пофиксел, но -C:\WINDOWS\zM7Mzs0\command.exe & -C:\WINDOWS\System32\vbsys2.dll не фиксяца
[/QUOTE]
Ладно поехали, в конце сделаете свежий лог Hijack и попробуете ещё раз второй лог AVZ из правил, не получится - сделайте лог вот [url=http://www.gmer.net/gmer.zip]этой[/url] утилитой (в ней надо перейти на закладку Rootkit в правой колонке снять последнюю галку (files) и нажать Skan после этого скопировать полученный отчет).
Скачайте [url=ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe]CureIt[/url], [url=http://www.f-secure.com/tools/f-look2me.zip]f-look2me[/url]

1. [url=http://virusinfo.info/showthread.php?t=5025]Создайте Reg файл[/url] следующего содержимого -

[code]
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E27EA9-FCF3-444F-BD80-20543BA5D946}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24E27EA9-FCF3-444F-BD80-20543BA5D946}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar\TrustIn Bar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Popups]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"TISA"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6BBD6756-F9BA-4A7E-8C94-A801F740A608}]

[-HKEY_CLASSES_ROOT\CLSID\{6BBD6756-F9BA-4A7E-8C94-A801F740A608}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]

[-HKEY_CLASSES_ROOT\CLSID\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F365382D-CF21-45BA-80CF-B868C6ED9634}]

[-HKEY_CLASSES_ROOT\CLSID\{F365382D-CF21-45BA-80CF-B868C6ED9634}]

[-HKEY_CLASSES_ROOT\CLSID\{a19ef336-01d4-48e6-926a-fe7e1c747aed}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a19ef336-01d4-48e6-926a-fe7e1c747aed}"-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Trust Cleaner"=-
"TrustIn Popups"=-
[/code]

и добавьте его в реестр.

2. Зайдите в установку/удаление программ и удалите программы, если таковые есть -
[b]Trust Cleaner
TrustIn Bar
TrustIn Contextual Ads
Trustin Popups
TrustIn Search Assistant
Trust Cleaner Promo[/b]

3. Удалите файлы и каталоги из приведенного ниже списка -
[b]C:\Program Files\TrustIn Popups
C:\Program Files\TrustIn Bar
C:\Program Files\TrustIn Contextual
C:\Program Files\TrustIn Popups
C:\Program Files\TrustIn Search
%Temp%\wschtm35.dll
%Temp%\srsvc.exe
C:\WINDOWS\local.html
C:\WINDOWS\SYSTEM32\tisa.dll
C:\WINDOWS\SYSTEM32\lut.dat
C:\WINDOWS\SYSTEM32\tisa.cnf
C:\WINDOWS\SYSTEM32\ticads.exe
C:\WINDOWS\SYSTEM32\tctool.exe
C:\WINDOWS\SYSTEM32\ticont.dll
C:\WINDOWS\SYSTEM32\tpopup.ex
C:\WINDOWS\SYSTEM32\tconini.dat
C:\WINDOWS\SYSTEM32\lcch.dat
C:\WINDOWS\onlineshopping.ico
C:\WINDOWS\removeadware.ico
C:\WINDOWS\sexpersonals.ico
C:\WINDOWS\local.html
C:\WINDOWS\SYSTEM32\tu.exe
C:\WINDOWS\SYSTEM32\ttu.exe
C:\WINDOWS\videoslots.ico[/b]

4. Перезагрузитесь.

5. Удалите AVG антивирус, У Вас установлены AVG и Antivir, последний более эффективен и держать 2-х смысла нет, зато глюки будут.

6. Запустите Hijack и пофиксите строки -
[code]
R3 - URLSearchHook: (no name) - {BA765E66-B8F5-B100-F3B8-902C836D09C5} - C:\WINDOWS\System32\zvw.dll
O4 - HKCU\..\Run: [Trust Cleaner] C:\Program Files\Trust Cleaner\TrustCleaner.exe
O4 - HKCU\..\Run: [Enbo] "C:\WINDOWS\System32\YSTEM3~1\winspool.exe" -vt ndrv
O4 - HKCU\..\Run: [Ktyifkp] C:\Program Files\?іcrosoft.NET\lѕass.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.globosoft.info/globobar.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\netdde.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\mv86l9ls1.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\zM7Mzs0\command.exe (file missing)
[/code]

7. Распакуйте и запустите f-Look2me.

8. Перезагрузитесь.

9. Запустите CureIt. и Проверьте диск C:

10. Запустите AVZ зайдите в "Файл"=>"Восстановление системы" отметте все пункты и нажмите "Выполнить...".

11 Перезагрузитесь.

12. Пока хватит, сделайте логи о которых я писал в самом начале, посмотрим что останется.
21.06.2006, 00:41
Андрей2006

Вложений: 1

Все сделал, как было написсано выше
вот логи
21.06.2006, 08:38
Андрей2006

только homepage hijackers не устроне =(
21.06.2006, 09:25
MOCT

[QUOTE=Андрей2006]только homepage hijackers не устроне =([/QUOTE]
теперь моя очередь давать советы.

1. запустите HijackThis, после сканирования отметьте галочками строки
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\zM7Mzs0\command.exe (file missing)
и пофиксите их

2. запомните имя файла, который в отчете HijackThis стоит в строке начинающейся как "O20 - Winlogon Notify:"

3. запустите AVZ. в нем запустите AVZGuard. потом в пункте "Файл" выберите "Отложенное удаление файла", там укажите имя файла, которое запомнили в пункте 2. если предложит создать карантин - соглашайтесь.

4. не выключая AVZGuard произведите перезагрузку системы.

5. после загрузки попробуйте создать логи AVZ снова, ну и новый лог HijackThis тоже пришлите.
21.06.2006, 10:39
Андрей2006

Вложений: 1

сделал, как было написано выше и все равно когда делаю лог через AVZ комп перезагружается
вот лог hijackthis
21.06.2006, 10:47
MOCT

[QUOTE=Андрей2006]сделал, как было написано выше и все равно когда делаю лог через AVZ комп перезагружается
вот лог hijackthis[/QUOTE]
а просто сделать "Файл\Исследование системы" тоже не дает???

в логе Hijack'а стало получше - гадость (которую тут почему-то все приняли за Look2Me) исчезла.

попробуйте из программы AVZ ("Сервис\Поиск файлов на диске") поискать файл C:\WINDOWS\zM7Mzs0\command.exe - что-то он не хочет исчезать из логов.

да, и если в папке AVZ\Quarantine что-то есть - пришлите по правилам форума.
21.06.2006, 11:40
Андрей2006

[COLOR=black]СПАСИБО ВСЕМ БОЛЬШОЕ БОЛЬШОЕ !!! Вы меня спасли !!! Век не забуду !! [/COLOR]
[COLOR=black] [/COLOR]
[COLOR=black]homepage hijackers больше не замечено ! ууряяя ! [/COLOR]
[COLOR=black] [/COLOR]
[COLOR=black][quote=MOCT][/COLOR]
[COLOR=black]попробуйте из программы AVZ ("Сервис\Поиск файлов на диске") поискать файл C:\WINDOWS\zM7Mzs0\command.exe - что-то он не хочет исчезать из логов.[/quote][/COLOR]
[COLOR=black]Странно, почему-то не находит.[/COLOR]
[COLOR=black] [/COLOR]
[COLOR=black][quote=MOCT][/COLOR]
[COLOR=black]да, и если в папке AVZ\Quarantine что-то есть - пришлите по правилам форума.[/quote][/COLOR]
[COLOR=black]нет там все пусто.[/COLOR]
[COLOR=black] [/COLOR]
[COLOR=black] [/COLOR]
21.06.2006, 13:10
MOCT

[quote=Андрей2006][COLOR=black]СПАСИБО ВСЕМ БОЛЬШОЕ БОЛЬШОЕ !!! Вы меня спасли !!! Век не забуду !! [/COLOR]
[/quote]
все же желательно сделать логи и прислать файлы, которые до этого не прислали. а то там может еще десяток троянов остаться...