После "работы" отдного командировочного в офисе, на компутере стали твориться жуткие дела:
очень долго грузится, работать почти невозможно - очень долго грузятся приложения или не грузятся вообще, пропал инет - самое важное...
система: WinXPRuProf SP2+касперский(старый) с необновленными базами...
каспера снес, поставил нортона Сorp 10.0.2.2000 с последними базами.
отключил восстановление системы, удалил ручками системную и пользовательскую папку Temp (содержимое), кэш эксплорера, из системного каталога винды выкинул несколько подозрительных ехе-файликов, проверил систему нортоном - он поудалял кучу разных троянов, но не до конца - при загрузке системы, какая-то зараза все равно вылазит, он ее дословно: "частично вылечил частично поместил в карантин", и при каждой загрузке нортон выдает сообщение об ошибке отправки электронной почты в связи с неправильно настроенной сетью.
после всего проделанного система стала грузиться более-менее, но заставить выйти в инет - не получается, как и не получается до конца удалить всю заразу
PS. кстати, в автозагрузке в реестре сидел adirka . я отключил его загрузку, а нортон его ваще удалил, но это всего лишь один из... многих присутствовавших
Последний раз редактировалось Strangers; 12.04.2007 в 22:19.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.Перегрузиться.
Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.Перегрузиться.
скачайте последнею версию авз и
сделайте новые логи с ней , эти удалите- они старые .
П.С. Если бы наоборот поставили нового каспера с последними базами меньше бы чистить пришлось.
Отключите наконец систем рестор , а то не будем успевать лечить , опять будет троянов восстанавливать.
Последний раз редактировалось drongo; 13.04.2007 в 14:27.
инет заработал, спасибо
-Отключите наконец систем рестор
еще вчера
вот что нашел нортон во время ночной проверки:
Trojan Horse
Trojan.Abwiz.F
Trojan.Packed.13
Trojan.Peacomm
Trojan.Mespam
Adware.SurfSideKick
Adware.ZQuest
Adware.UCMore
SecurityRisk.Downldr
Infostealer
Infostealer.Bzup
хорошо, хорошо, не посмотрел что вышла новая версия, закачал только обновления
кстати качал очень долго - более 40 минут - такое впечатление, что не adsl - а диалап
и еще : при открытии IE какая-то зараза открывает еще одно или два окна и пытается куда-то ломиться....
инет периодически пропадает, для того чтобы достучаться куда-то, вт.ч. и сюда, приходится закрывать эксплорер, открывать новое окно, только после этого можно куда-нибудь попасть.
с машин в сети выхода в инет нету.
даже сайт провайдера не открывается...
спасибо за помощь, а по поводу нортона могу сказать следующее: никогда не мог терпеть каспера за его тормоза на любом железе...
самый большой недостаток нортона - обновление антивирусной базы, все остальное - меня устраивает
а зараза которая может обойти как нортона так и каспера появляется регулярно - наша задача регулярно обновляться
кстати, это уже не в тему, но может подскажете как вот это понимать :
(обнаружил у себя дома)
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll: CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll: CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll: CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll: WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll: LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll: LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll: NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll: NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll: NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll: NtSetValueKey (338 ) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll: NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll: NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll: NtTerminateProcess (348 ) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll: NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll: ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll: ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll: ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll: ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll: ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll: ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll: ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll: ZwWriteVirtualMemory (1178 ) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll: CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll: ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll: ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll: DdeConnect (108 ) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll: DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll: DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll: DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll: EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll: ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll: FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll: FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll: PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll: PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll: SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll: SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll: SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll: SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll: SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll: SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll: SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll: SendNotifyMessageA (578 ) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll: SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll: SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll: SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll: SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll: SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll: SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: