Показано с 1 по 17 из 17.

Помогите пожалуйста (заявка № 4483)

  1. #1
    Салех
    Guest

    Помогите пожалуйста

    Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
    Пребывая в сети, особенно через модем,... все тормозит...да и еще различные окна всплывают, даже после их блокировки. После установки Outpost Firewall,
    при загрузке Windows, показыват:
    Run a DLL as an App
    Скрытый процесс запрашивает исходящее соединение
    Процесс: C:\Windows\Sistem32\RunDLL32.exe
    Запущен:C:\Windows\Sistem32\Winlogon.exe
    а при выходе в сеть показывает:
    Скрытый процесс запрашивает исходящее соединение
    Процесс:C:\Program Files\Internet Explorer\Explorer.exe
    Запущен:C:\Windows\Sistem32\Winlogon.exe

    .... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
    Как сказано в правилах, прилагаю последние логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Цитата Сообщение от Салех
    Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
    .... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
    Как сказано в правилах, прилагаю последние логи.
    Не только L2M но и спамбот, правда похоже был.
    Прислать -
    C:\WINDOWS\system32\paytime.exe
    C:\WINDOWS\system32\symsvcsa.exe
    C:\WINDOWS\system32\mvlsl9371.dll
    C:\WINDOWS\Updreg.exe
    C:\WINDOWS\system32\NeroCheck.exe
    C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
    C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
    c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
    C:\WINDOWS\system32\ADMDLL.dll
    C:\WINDOWS\system32\dyscript.dll
    C:\WINDOWS\system32\LIBBZ2.dll

    Потом прибить paytime.exe, остальных надо сначала на дорсмотр.

    В Hijack сделать Fix -
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\lvpm0971e.dll (file missing)
    O20 - Winlogon Notify: msctl32.dll - msctl32.dll (file missing)
    O20 - Winlogon Notify: msctl32.dll- - C:\WINDOWS\
    O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\jtnu0759e.dll (file missing)
    O20 - Winlogon Notify: NetCache- - C:\WINDOWS\
    O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll

    Из этогого пофиксить то, что сами не добавляли в "Доверенные сайты"
    O15 - Trusted Zone: http://www.e-gold.com
    O15 - Trusted Zone: http://*.megastock.ru
    O15 - Trusted Zone: http://*.oplata.info
    O15 - Trusted Zone: http://*.paymer.com
    O15 - Trusted Zone: http://www.psyshop.com
    O15 - Trusted Zone: http://*.publicant.ru
    O15 - Trusted Zone: http://www.solidinvestment.com.
    O15 - Trusted Zone: http://www.studiotraffic.com
    O15 - Trusted Zone: http://*.telepat.ru
    O15 - Trusted Zone: http://www.webmoney.ru
    O15 - Trusted Zone: http://*.webmoney.ru
    O15 - Trusted Zone: http://*.wmtransfer.com

    Повторить логи.

    Вот здесь описаны почти все известные способы убить L2M. Который в логе тоже есть, правда слегка "покусанный" касперским (не хватает Guard`a).
    Последний раз редактировалось RiC; 18.01.2006 в 08:28.

  4. #3
    Салех
    Guest
    Все сделал как вы сказали:
    1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов. Вопрос: "Как мне прислать остальные?"
    2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
    нажимаю на Fix, но все без изменений.
    Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
    Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
    Подскажите,пожалуйста, дальнейшие действия.
    Последние логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    138
    Цитата Сообщение от Салех
    Все сделал как вы сказали:
    1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов.
    присланные файлы - один кусок радмина, второй - библиотека компрессии. все это ерунда.

    Цитата Сообщение от Салех
    Вопрос: "Как мне прислать остальные?"
    надо искать из AVZ при включенном режиме противодействия руткитам

    Цитата Сообщение от Салех
    2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
    нажимаю на Fix, но все без изменений.
    да, этот кусок из HJT Вы не исправите

    Цитата Сообщение от Салех
    Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
    Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
    Подскажите,пожалуйста, дальнейшие действия.
    Последние логи.
    да, некоторый зоопарк наблюдается

    нужно включить в AVZ противодействие руткитам (закладка "Параметры поиска") и после этого искать файлы. если файл не находится по полному пути, тогда искать только по имени файла. пришлите файлы:

    C:\WINDOWS\Updreg.exe
    C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
    C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
    c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
    C:\WINDOWS\system32\symsvcsa.exe
    c:\program files\common files\epson\ebapi\eebsvc.exe

    C:\WINDOWS\system32\aza2l3ho1.dll (или любой другой файл который будет указан в строке, начинающейся на "O20" в свежем логе HijackThis)
    C:\WINDOWS\system32\wysdmoe2.dll
    C:\WINDOWS\system32\TpansportSerial.dll
    C:\WINDOWS\system32\ccl3d32.dll
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\sldpsrv.dll
    C:\WINDOWS\system32\sjvsvc.dll
    C:\WINDOWS\system32\pzrfproc.dll
    C:\WINDOWS\system32\swrmfilt.dll

    после этого идите в AVZ в "Менеджер расширений проводника" и удаляйте последнюю группу указанных мной файлов.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,627
    Вес репутации
    1294
    Из присланных:
    C:\WINDOWS\system32\ADMDLL.dll - Program.RemoteAdmin.21

    Салех, вам действительно нужен Remote Administrator?

  7. #6
    Салех
    Guest
    Сообщение от Andreyka
    Салех, вам действительно нужен Remote Administrator?
    Я его уже удалил. Или вы хотели что-нибудь посоветовать?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    138
    Цитата Сообщение от Салех
    Я его уже удалил. Или вы хотели что-нибудь посоветовать?
    ну и правильно, что удалили - радмин это большая брешь в безопасности

  9. #8
    Салех
    Guest
    Снова пытался сделать как вы сказали, но многое не получается.
    Что конкретно:
    - нужно было прислать файлы:

    C:\WINDOWS\Updreg.exe
    C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
    C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
    c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
    C:\WINDOWS\system32\symsvcsa.exe
    c:\program files\common files\epson\ebapi\eebsvc.exe

    но у меня снова AVZ, со всеми вкл. настройками, находит только пару файлов:

    C:\WINDOWS\Updreg.exe( дата создания 13.02.2005)
    c:\program files\common files\epson\ebapi\eebsvc.exe( дата создания 13.02.2005)

    которые я даже не могу отправить в карантин( нажимаю "отправить в карантин", но в карантине их нет)
    По-поводу остальных файлов, я их вижу в разделах, например"менеджер автозапуска", также копирую, но все бестолку..
    В этом же раэделе пытался удалить файл(C:\WINDOWS\system32\....), который постоянно меняется. Сначало он удаляется, потом снова появляется.

    Я уже не знаю как со всем этим бороться. Подскажите, пожалуйста, как мне быть.
    Прилагаю последние логи.
    Вложения Вложения

  10. #9
    Geser
    Guest
    Зайти в c:\windows\system32, скопировать и выслать все файлы созданные сегодня и вчера

  11. #10
    Geser
    Guest
    Так же нужно прислать
    C:\WINDOWS\system32\LIBBZ2.dll
    C:\WINDOWS\system32\MSJET35.DLL
    C:\WINDOWS\system32\Sky2PCUI.dll
    C:\WINDOWS\system32\SkyDll.dll

  12. #11
    Салех
    Guest
    Снова делаю как вы говорите, но и на этот раз есть что-то неладное.
    Вы меня попросили прислать файлы с С:\windows\system32, созданные вчера и сегодня, а я присылаю вам 2-е папки: 1-ая ( с 12.01.2006 по 16.01.2006), 2-ая ( с 17.01.2006 по 20.01.2006) в которых находятся файлы, созданные с момента заражения компа.
    Еще хотел сказать про файлы, которые должны были быть в папке "2", но они просто не копируются из "system32", пишет, что объект используется другим пользователем или программой. В основном это те файлы, которые нельзя профиксить в hijack, которые, в добавок, еще меняются, куда-то пропадают и сами появляются (например "ir22l5fo1.dll","s2880cluefq80.dll")
    А вот эти файлы вообще появились у меня на глах ( "tEpi32.dll", "guard.tmp" и "PerfStringBackup.TMP")
    Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Цитата Сообщение от Салех
    Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".
    Look2Me собственной персоной - способов убиения несколько - все описаны - http://virusinfo.info/showthread.php?p=64292 выбирайте, самый правильный Imho с загрузочного CD (BartPE или ERD) - антивирусом

  14. #13
    Салех
    Guest
    Из всех приведенных способов лечения, воспользовался Dr.Webом ( 2-мя версиями), и, как мне кажется, атака прошла успешно.
    Посмотрите, пожалуйста, мои последние логи, и посоветуйте, что мне надо сделать, чтобы "убить" эту ... до конца.
    Вложения Вложения

  15. #14
    Geser
    Guest
    Если есть следующие файлы - прислать:
    C:\WINDOWS\system32\tEpi32.dll
    C:\WINDOWS\system32\iuetcplc.dll

  16. #15
    Салех
    Guest
    у меня эти файлы в Dr.Webe в папке "Infected.!!!" мечутся.

  17. #16
    Geser
    Guest
    Цитата Сообщение от Салех
    у меня эти файлы в Dr.Webe в папке "Infected.!!!" мечутся.
    Ну тогда вроде чисто

  18. #17
    Салех
    Guest
    Ребята! Спасибо Вам Всем Большое, за то, что помогли мне справиться с этим вирусом. Спасибо за то, что существует такой замечательный сайт.
    P.S. над это отметить... ...

  • Уважаемый(ая) Салех, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите пожалуйста
      От ekuz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2012, 13:07
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 15:49
    3. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23
    4. Помогите пожалуйста!
      От Девочка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2008, 21:31
    5. ПОЖАЛУЙСТА ПОМОГИТЕ
      От владик в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2008, 23:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00304 seconds with 17 queries