Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
Пребывая в сети, особенно через модем,... все тормозит...да и еще различные окна всплывают, даже после их блокировки. После установки Outpost Firewall,
при загрузке Windows, показыват:
Run a DLL as an App
Скрытый процесс запрашивает исходящее соединение
Процесс: C:\Windows\Sistem32\RunDLL32.exe
Запущен:C:\Windows\Sistem32\Winlogon.exe
а при выходе в сеть показывает:
Скрытый процесс запрашивает исходящее соединение
Процесс:C:\Program Files\Internet Explorer\Explorer.exe
Запущен:C:\Windows\Sistem32\Winlogon.exe
.... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
Как сказано в правилах, прилагаю последние логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Дней 5 назад словил какую-то гадость из нета, как мне кажется, все сходства на Look2me. Выгонял эту дрянь, следуя всем вашим правилам, и вроде бы от основного хлама избавился. Но все-таки не до конца.
.... просто я в первый раз с этим сталкиваюсь и поэтому прошу помощи.
Как сказано в правилах, прилагаю последние логи.
Не только L2M но и спамбот, правда похоже был.
Прислать -
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\symsvcsa.exe
C:\WINDOWS\system32\mvlsl9371.dll
C:\WINDOWS\Updreg.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\ADMDLL.dll
C:\WINDOWS\system32\dyscript.dll
C:\WINDOWS\system32\LIBBZ2.dll
Потом прибить paytime.exe, остальных надо сначала на дорсмотр.
Все сделал как вы сказали:
1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов. Вопрос: "Как мне прислать остальные?"
2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
нажимаю на Fix, но все без изменений.
Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
Подскажите,пожалуйста, дальнейшие действия.
Последние логи.
Все сделал как вы сказали:
1- прислать.....выполнил как описано в правилах, но AVZ нашел только пару файлов.
присланные файлы - один кусок радмина, второй - библиотека компрессии. все это ерунда.
Сообщение от Салех
Вопрос: "Как мне прислать остальные?"
надо искать из AVZ при включенном режиме противодействия руткитам
Сообщение от Салех
2- В Hijack сделать Fix... но строки (O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\mvlsl9371.dll) уже не было, вместо нее появилась (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\en2ol1f31.dll), позднее еще раз отсканил, выдает уже (O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\gp42l3ho1.dll)
нажимаю на Fix, но все без изменений.
да, этот кусок из HJT Вы не исправите
Сообщение от Салех
Еще вот хотел добавить, что непонятные вещи происходят с выходом в сеть,что через выделенный канал, что через модем, то я могу зайти, то не могу, может ли вся эта зараза как-то влиять на это? Просто раньше такое никогда не наблюдалось.
Одним словом, у меня такое ощущение, что комп просто кишит этой тварью...
Подскажите,пожалуйста, дальнейшие действия.
Последние логи.
да, некоторый зоопарк наблюдается
нужно включить в AVZ противодействие руткитам (закладка "Параметры поиска") и после этого искать файлы. если файл не находится по полному пути, тогда искать только по имени файла. пришлите файлы:
C:\WINDOWS\Updreg.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\symsvcsa.exe
c:\program files\common files\epson\ebapi\eebsvc.exe
C:\WINDOWS\system32\aza2l3ho1.dll (или любой другой файл который будет указан в строке, начинающейся на "O20" в свежем логе HijackThis)
C:\WINDOWS\system32\wysdmoe2.dll
C:\WINDOWS\system32\TpansportSerial.dll
C:\WINDOWS\system32\ccl3d32.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\sldpsrv.dll
C:\WINDOWS\system32\sjvsvc.dll
C:\WINDOWS\system32\pzrfproc.dll
C:\WINDOWS\system32\swrmfilt.dll
после этого идите в AVZ в "Менеджер расширений проводника" и удаляйте последнюю группу указанных мной файлов.
Снова пытался сделать как вы сказали, но многое не получается.
Что конкретно:
- нужно было прислать файлы:
C:\WINDOWS\Updreg.exe
C:\Documents and Settings\All Users\Application Data\Beep Mpeg Atom Dart\2 bias.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\LOADLO~1\drvgrid.exe
c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe
C:\WINDOWS\system32\symsvcsa.exe
c:\program files\common files\epson\ebapi\eebsvc.exe
но у меня снова AVZ, со всеми вкл. настройками, находит только пару файлов:
C:\WINDOWS\Updreg.exe( дата создания 13.02.2005)
c:\program files\common files\epson\ebapi\eebsvc.exe( дата создания 13.02.2005)
которые я даже не могу отправить в карантин( нажимаю "отправить в карантин", но в карантине их нет)
По-поводу остальных файлов, я их вижу в разделах, например"менеджер автозапуска", также копирую, но все бестолку..
В этом же раэделе пытался удалить файл(C:\WINDOWS\system32\....), который постоянно меняется. Сначало он удаляется, потом снова появляется.
Я уже не знаю как со всем этим бороться. Подскажите, пожалуйста, как мне быть.
Прилагаю последние логи.
Снова делаю как вы говорите, но и на этот раз есть что-то неладное.
Вы меня попросили прислать файлы с С:\windows\system32, созданные вчера и сегодня, а я присылаю вам 2-е папки: 1-ая ( с 12.01.2006 по 16.01.2006), 2-ая ( с 17.01.2006 по 20.01.2006) в которых находятся файлы, созданные с момента заражения компа.
Еще хотел сказать про файлы, которые должны были быть в папке "2", но они просто не копируются из "system32", пишет, что объект используется другим пользователем или программой. В основном это те файлы, которые нельзя профиксить в hijack, которые, в добавок, еще меняются, куда-то пропадают и сами появляются (например "ir22l5fo1.dll","s2880cluefq80.dll")
А вот эти файлы вообще появились у меня на глах ( "tEpi32.dll", "guard.tmp" и "PerfStringBackup.TMP")
Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".
Не представляю, что здесь творится, но я буду очень рад, когда прибью весь этот "инкубатор".
Look2Me собственной персоной - способов убиения несколько - все описаны - http://virusinfo.info/showthread.php?p=64292 выбирайте, самый правильный Imho с загрузочного CD (BartPE или ERD) - антивирусом
Из всех приведенных способов лечения, воспользовался Dr.Webом ( 2-мя версиями), и, как мне кажется, атака прошла успешно.
Посмотрите, пожалуйста, мои последние логи, и посоветуйте, что мне надо сделать, чтобы "убить" эту ... до конца.
Ребята! Спасибо Вам Всем Большое, за то, что помогли мне справиться с этим вирусом. Спасибо за то, что существует такой замечательный сайт.
P.S. над это отметить... ...
Уважаемый(ая) Салех, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Салех
Спасибо за то, что существует такой замечательный сайт. 
...
