Снова Errorsafe и еще какой-то sample
Не удается самостоятельно справиться с выскакиванием errorsafe. Также обнаружено, что компьютер долго "отправляется на перезагрузку" - ждет завершения загадочной программы с названием Sample, о чем свидетельствует появляющееся окно. После нажатия в этом окне кнопки "Завершить сейчас" машина наконец перезагружается.
Прошу помощи.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В программе Hijackthis пофиксите строкуПрограмма AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\lqpdxgll.dll",realsetСистема будет перезагружена. После перезагрузки, загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=9842 и сделайте новые логи, начиная с п. 10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\oqkqpgqv.dll',''); QuarantineFile('wingsa32.dll',''); QuarantineFile('urqpppp.dll',''); QuarantineFile('c:\windows\agrsmmsg.exe',''); QuarantineFile('C:\WINDOWS\system32\pmkji.dll',''); QuarantineFile('C:\WINDOWS\system32\lqpdxgll.dll',''); QuarantineFile('C:\WINDOWS\system32\urqpppp.dll',''); DeleteFile('C:\WINDOWS\system32\pmkji.dll'); DeleteFile('C:\WINDOWS\system32\lqpdxgll.dll'); DeleteFile('C:\WINDOWS\system32\urqpppp.dll'); DeleteFile('urqpppp.dll'); DeleteFile('wingsa32.dll'); DeleteFile('C:\WINDOWS\system32\oqkqpgqv.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
готово
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
В программе Hijackthis пофиксите строчкиПрограмма AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: pmkji - C:\WINDOWS\ O20 - Winlogon Notify: urqpppp - C:\WINDOWS\ O20 - Winlogon Notify: wingsa32 - C:\WINDOWS\Система будет перезагружена. После перезагрузки, снова загрузите содержимое карантина и повторно сделайте логи, начиная с п.10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('aswBoot.exe',''); DeleteFile('C:\WINDOWS\system32\pmkji.dll'); DeleteFile('C:\WINDOWS\system32\urqpppp.dll'); DeleteFile('C:\WINDOWS\system32\oqkqpgqv.dll'); DeleteFile('aswBoot.exe'); ExecuteSysClean; RebootWindows(true); end.
Выполнил.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
В программе Hijackthis пофиксите строкиСообщения перестали вылезать?Код:O2 - BHO: (no name) - {19C3BF1F-8982-4618-AD90-B04138C845FC} - C:\WINDOWS\system32\pmkji.dll (file missing) O2 - BHO: (no name) - {43DE05EB-4F4B-4ED9-BE0D-09F3EA6B3936} - C:\WINDOWS\system32\urqpppp.dll (file missing) O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\oqkqpgqv.dll (file missing)
Пофиксено.
Да, спасибо огромное - Errorsafe больше не появляется.
С Sample, увы, изменений нет: после нажатия "перезагрузить" появляется "подождите... не отвечает... Прекратить сейчас?"
Подскажите, плз - кто это может быть?
Последний раз редактировалось SMajor; 18.05.2007 в 20:49.
Последний карантин AVZ почему-то не дошелЗагрузите, пожалуйста, его повторно по ссылке http://virusinfo.info/upload_virus.php?tid=9842 . Еще немного по поводу подозрительных вещей в логах: вот эту программу - C:\Program Files\XoftSpySE\XoftSpy.exe сами ставили? Даже, если сами, попробуйте убрать задания по ее запуску из планировщика задач. И еще строчка интересная в hosts:
Если не сами писали, то тоже лучше убрать.Код:10.10.10.175 intra.volia.net
Карантин отправил повторно,
XoftSpySE поставил сам, когда начал искать средства против errorsafe, уже грохнул (все равно от нее никакого толку - детектит что-ни-попадя, а за лечилку денег хотят).
Строчка 10.10.10.175 intra.volia.net правильная, это мой туннель, убрать не могу - без нее работать не будет.
Скажите, плз - нет ли идей как победить Sample?
Она все еще присутствует?
У вас много программ висят в трее? Попробуйте поочередно их выгружать, и перезагружаться. Возможно, виновника удастся отследить таким образом.
К сожалению, Sample не задели вообще - увы, он присутствует даже более надежно, чем операционка
В трее 4 значка: индикатор тачпада, Аутлук, регулятор громкости и неактивный ActiveSync - мой традиционный набор. А вот Sample появился недавно и, по-моему, одновременно с ErrorSafe.
На всякий случай попробую поиграть с треем, результаты отпишу.
Можно еще сделать так.
в АВЗ - сервис - менеджер автозапуска. Слева вверху изображение дискетки - сохранить протокол. Сохраненный протокол прикрепите сюда, я либо кто-то другой посмотрим, и напишем ключи, которые можно будет поочередно отключать без ущерба системе, для проверки.
А можно и аctivesync выгрузить, зачем он в трее без дела сидит, а перед подключением pda , загружать.
Поможет утилита : http://www.micrologics.co.uk/library/ast/
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
От ActiveSync-а отделаться удалось легко.
Протокол автозапуска - прикреплен.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
Пробуйте
Может, еще кто добавитКод:C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Lingvo Launcher C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, LingvoTraining C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, PRONoMgr.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, H/PC Connection Agent C:\Program Files\Notebook Maximizer\maximizer_startup.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Notebook Maximizer C:\Program Files\Punto Switcher\ps.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Punto Switcher C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, CeEKEY C:\Program Files\TOSHIBA\Power Management\CePMTray.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, CeEPOWER C:\Program Files\TOSHIBA\TouchPad\TPTray.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, TPNF C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\igfxtray.exe rdpclip
Отключил.
Результата, увы, нет (см. лог), - Sample продолжает работать.
Что можно придумать еще?
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
Сделайте ещё раз логи.
Готово.
Последний раз редактировалось SMajor; 22.05.2007 в 11:02.
Я имел ввиду те три лога, которые Вы делали первоначально.
Уважаемый(ая) SMajor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
