Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Общекомпьютерный »
Как вирусы проникают на комп в папку windows\ system32? (страница 2)

Версия для печати (настроить)
Страницы: 1 2 3

Новая тема | Написать ответ

Подписаться

Автор Тема:   Как вирусы проникают на комп в папку windows\ system32?
Grog
Member

Сообщений: 1157
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 14 Июля 2006 23:03ИнфоПравкаОтветитьIP

А вот мой:


цитата:
Logfile of HijackThis v1.99.1
Scan saved at 21:59:58, on 14-07-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\drivers\IMountSRV.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\PriorityPacketIII\PcNicCtl.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\Logi_MwX.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE
C:\WINDOWS\system32\spoolsvv.exe
C:\Program Files\RMClock\RMClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Common Files\PCSuite\Services\NclBTHandler.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.2.*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 05
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Windows\Temp\svchost.exe 1
O4 - HKLM\..\Run: [я_zsk[UAUAP_NFHKWVNF] C:\WINDOWS\system32\_zskwrkni05\FNVWKHFN_PAUAU[.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\RunServices: [я_zsk[UAUAP_NFHKWVNF] C:\WINDOWS\system32\_zskwrkni05\FNVWKHFN_PAUAU[.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\testtestt.exe
O4 - HKCU\..\Run: [RMClock] "C:\Program Files\RMClock\RMClock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GpsGate] "C:\Program Files\Franson\GpsGate\GpsGateXP.exe"
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [я_zsk[UAUAP_NFHKWVNF] C:\WINDOWS\system32\_zskwrkni05\FNVWKHFN_PAUAU[.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ссылка
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ссылка
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ссылка
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\system32\drivers\IMountSRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: IntelPcNicCtl (PcNicCtl.exe) - Intel Corporation - C:\Program Files\Intel\PriorityPacketIII\PcNicCtl.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe


IP свой убрал.

[Это сообщение изменил Mixa1024 (изменение 14 Июля 2006 23:46).]

Mixa1024
Moderator

Сообщений: 2526
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 14 Июля 2006 23:07ИнфоПравкаОтветитьIP

цитата:
O4 - HKCU\..\Run: [я_zsk[UAUAP_NFHKWVNF] C:\WINDOWS\system32\_zskwrkni05\FNVWKHFN_PAUAU[.exe

Это еще что такое?

Grog
Member

Сообщений: 1158
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 14 Июля 2006 23:18ИнфоПравкаОтветитьIP

Mixa1024
Я его уже удалял раза 3 за последние 5 минут. Оно самовосстанавливается.

А вот нетстат

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.


C:\>netstat /a

Active Connections

Proto Local Address Foreign Address State
TCP Laptop:echo Laptop:0 LISTENING
TCP Laptop:discard Laptop:0 LISTENING
TCP Laptop:daytime Laptop:0 LISTENING
TCP Laptop:qotd Laptop:0 LISTENING
TCP Laptop:chargen Laptop:0 LISTENING
TCP Laptop:epmap Laptop:0 LISTENING
TCP Laptop:microsoft-ds Laptop:0 LISTENING
TCP Laptop:2431 Laptop:0 LISTENING
TCP Laptop:1026 Laptop:0 LISTENING
TCP Laptop:1084 localhost:1085 ESTABLISHED
TCP Laptop:1085 localhost:1084 ESTABLISHED
TCP Laptop:12025 Laptop:0 LISTENING
TCP Laptop:12080 Laptop:0 LISTENING
TCP Laptop:12080 localhost:1152 TIME_WAIT
TCP Laptop:12110 Laptop:0 LISTENING
TCP Laptop:12119 Laptop:0 LISTENING
TCP Laptop:12143 Laptop:0 LISTENING
TCP Laptop:netbios-ssn Laptop:0 LISTENING
TCP Laptop:1151 maila.microsoft.com:smtp TIME_WAIT
UDP Laptop:echo *:*
UDP Laptop:discard *:*
UDP Laptop:daytime *:*
UDP Laptop:qotd *:*
UDP Laptop:chargen *:*
UDP Laptop:snmp *:*
UDP Laptop:microsoft-ds *:*
UDP Laptop:isakmp *:*
UDP Laptop:1037 *:*
UDP Laptop:1038 *:*
UDP Laptop:1039 *:*
UDP Laptop:1040 *:*
UDP Laptop:1041 *:*
UDP Laptop:1042 *:*
UDP Laptop:1043 *:*
UDP Laptop:1044 *:*
UDP Laptop:1045 *:*
UDP Laptop:1046 *:*
UDP Laptop:1047 *:*
UDP Laptop:1048 *:*
UDP Laptop:1049 *:*
UDP Laptop:1050 *:*
UDP Laptop:1051 *:*
UDP Laptop:1052 *:*
UDP Laptop:1053 *:*
UDP Laptop:1054 *:*
UDP Laptop:1055 *:*
UDP Laptop:1056 *:*
UDP Laptop:1058 *:*
UDP Laptop:1059 *:*
UDP Laptop:1060 *:*
UDP Laptop:1061 *:*
UDP Laptop:1062 *:*
UDP Laptop:1064 *:*
UDP Laptop:1065 *:*
UDP Laptop:1066 *:*
UDP Laptop:1067 *:*
UDP Laptop:1081 *:*
UDP Laptop:4500 *:*
UDP Laptop:1900 *:*
UDP Laptop:netbios-ns *:*
UDP Laptop:netbios-dgm *:*
UDP Laptop:router *:*
UDP Laptop:1900 *:*

C:\Nikolay>

Mixa1024
Moderator

Сообщений: 2527
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 15 Июля 2006 00:06ИнфоПравкаОтветитьIP

Также, смущает:
код:
 UDP Laptop:router *:*


Всё же, замени свой файерволл, однако...

И, перед окончательным дигнозом, желательно nmap -P0 -v <your ip> сделать, чтобы глянуть на открытые порты. С другой машины, само собой
В любом случае, рекомендую:

1. Отключиться от сети;
2. Установить НОРМАЛЬНЫЙ файерволл
3. Полное сканирование системы. С Авастом не работал, т.к. он не является корп. антивирусом, советую установить SAV 10 CE, если не найдешь, где взять -- в мыло
4. Удалить нах все плагины и кукезы от юзаемого браузера
5. Убить себя™, т.е., начать работать не под админом а под юзером, назначив себе в шаге (1) максимально урезанные права, либо шаги (2) -- (4) производить в Safe Mode with networking support

Current music: Nina: Until All Your Dreams Come True

Grog
Member

Сообщений: 1159
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 15 Июля 2006 00:34ИнфоПравкаОтветитьIP

Mixa1024
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

Вот ещё зверь какой-то.

Сейчас делаю загрузочный полный скан с правом аваста тереть всё что ему не понравится. Есть надежда что новая база распознает моего зверя.

Mixa1024
Moderator

Сообщений: 2528
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 15 Июля 2006 00:56ИнфоПравкаОтветитьIP

Grog
цитата:
Trojan-Proxy.Win32.Xorpix.v

Rootkit: Нет
Синонимы: BackDoor.Uragan (DrWeb)

Устанавливается в систему дроппером Trojan-Dropper.Win32.Small.aps. Размещается в папке C:\Documents and Settings\All Users\Документы\Settings\, имя файл - artm_new.dll, размер 19482 байта, у файл установлены атрибуты "скрытый" и "системный". Регистрируется как расширение Winlogon.
Данная троянская программа активно защищается от обнаружения и удаления:
1. При помощи монопольной блокировки ограничивается доступ к файлу artm_new.dll
2. Ключ реестра c регистрацией в качестве Winlogon расширения постоянно пересоздается, что делает бесполезным его удаление через редактор реестра или менеджеры автозапуска

Удаление вручную
1. Закрыть все запущенные приложения
2. Запустить AVZ, активировать AVZ Guard.
3. Зайти в менеджер автозапуска AVZ, найти элемент Winlogon, ссылающийся на artm_new.dll и удалить его. Это операция может не потребоваться, т.к. в результате работы AVZ Guard на изученном образце происходит самоуничтожение ключа в результате попытки его пересоздания
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
5. После перезагрузки найти и удалить artm_new.dll. Эту операцию в принципе можно сделать и после шага 3 - при помощи отложенного удаления


Во видишь, мое предположение про скрытый прокси/ роутер подтверждается...

Grog
Member

Сообщений: 1160
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 15 Июля 2006 01:49ИнфоПравкаОтветитьIP

Mixa1024

Avast находит comdj32.dll и удаляет до следующей перезагрузки.

Спасибо за описание, буду лечить по полной программе.

Harizma
Member

Сообщений: 2326
Откуда: городок не уступающий Багдаду..
Регистрация: Март 2001

написано 15 Июля 2006 01:59ИнфоПравкаОтветитьIP

Grog
А не проще ли забэкапить данные и все заново переустановить?
+ свежий оутпост и др. веб.

Grog
Member

Сообщений: 1161
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 15 Июля 2006 02:21ИнфоПравкаОтветитьIP

Harizma

Это несколько дней займёт, да неуверен что всё восстановится, плюс надо новый диск покупать, места в данный момент гигабайт 20-30 всего свободно на всех компах. Так что не вариант, может когда лаптоп буду менять так сделаю.

Добавление от 15 Июля 2006 02:38:

ссылка

Взял 2 недельный триал. Вещь стоящая, нашла сразу 3 трояна которые Adaware & Avast не видели.

Harizma
Member

Сообщений: 2327
Откуда: городок не уступающий Багдаду..
Регистрация: Март 2001

написано 15 Июля 2006 02:55ИнфоПравкаОтветитьIP

Grog
Если на ноуте есть резак, то можно сделать общий образ диска на DVD посредвством ссылка
Даже если его и нет, то можно и по сети.
А далее уже изголяться - разбить диск на 2 части, на второй "перенести" всю важную инфу, а потом уже ставить новую ОС. Вопрос лишь в том, что неизвесто какой емкости диск и сколько свободы у него осталось..(?)

> Это несколько дней займёт
- На первый взгляд, эта фраза несколько пугает..
Но что, на ноуте есть масса специализированного лицензионного ПО ?

Добавление от 15 Июля 2006 02:59:

А имена троянов выявленных SUPERAntiSpyware Professional случаем не записал?

Grog
Member

Сообщений: 1162
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 15 Июля 2006 03:34ИнфоПравкаОтветитьIP

Harizma
Диск 80 гигов, свободно 3 из них 30 бэкапятся регулярно - Foto, Video, My documents, My music. Софта гигов на 40. Плюс контакты и как назло телефон поменял, проблемы с кодировками и старой версией PCsuite. Основная заморочка с софтом и играми. Да и не наш этот метод из-за пары другой троянов винду переставлять. Особо если пароли потом старые оставить.

Скан ещё идёт, лог файл потом сюда выложу.

Harizma
Member

Сообщений: 2328
Откуда: городок не уступающий Багдаду..
Регистрация: Март 2001

написано 15 Июля 2006 04:22ИнфоПравкаОтветитьIP

Grog
> Да и не наш этот метод из-за пары другой троянов винду переставлять.
- Это верно. Но слегка выше ты сам же где-то заикнулся о тотальном хаке и как следствие, смене всех паролей. Оттуда и пожелание..

> Скан ещё идёт, лог файл потом сюда выложу.
- А SUPERAntiSpyware позволяет создать загрузочный диск и провериться в безопасном режиме? Дело в том, что некоторое вредноносное ПО после инсталляции даже самых мудрых лечиловок зачастую уже обладают ALGOритмами сокрытия своих следов, нежели, если бы они попали на уже защищенную почву. Был прикол, когда система нормально начинала работать, только после полного "обнуления" винта.(!)

Зёбра
берёзовый брунька

Сообщений: 3911
Откуда: Санкт-Петербург,Россия
Регистрация: Июнь 2003

написано 15 Июля 2006 10:31ИнфоПравкаОтветитьIP

Grog
В VundoFix запускаешь killvundo.bat, вставляешь туда имя ненавистного процесса и жмёшь Enter.Затем HijackThisом последний раз удаляешь и всё. Более он не самовосстанавливается. Попробуй.

[Это сообщение изменил Зёбра (изменение 15 Июля 2006 11:01).]

Grog
Member

Сообщений: 1163
Откуда: Engine Control Room
Регистрация: Апрель 2003

написано 16 Июля 2006 16:51ИнфоПравкаОтветитьIP

Ура! Почти здоров. То есть ещё пока не уверен полностью.

Вылечился только по совету Михи, т.к. пользоваться тем VundoFix что я скачал по совету Зёбры я не смог быстро научиться, а Превосходная вещь AVZ имела подробную инструкцию.

В ходе лечения я искал лёгких путей через google с программой, которая может автоматически убить этот полиморфный вирус artm_new.dll.
Было протестировано несколько программ. SuperAntiSpyware его видит, в памяти, в регистре и на диске - но не лечит, Avast видит что-то своё - comdj32.dll но не лечит, и не видит вируса в памяти.

По ходу были протестированы программы: Avast, SUPERAntiSpyware, Hijackthis, VundoFix, AVZ, PREVX1. Самой отстойной оказалась PREVX1, которая не видела вируса якобы внесённого в базу в оперативке, реестре и на диске, но пыталась удалить файл конкурентов SUPERAnti Spyware утверждая что это опаснейший вирус. Интереса ради я ей это позволил, но SuperAntiSpyware который был выключен в момент удаления своего файла при последующей загрузке самовосстановился и даже не стал трогать обидчика из стана бестолковых конкурентов, вводящих пользователей в заблуждение.

Я пока не нашёл лог программы SuperAntiSpyware, забиваю вручную что она нашла и удалила

Trojan.ARTM/Polymorph (только нашла!)

C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTS\SETTINGS\ARTM_NEW.DLL
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg(DllName - C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTS\SETTINGS\ARTM_NEW.DLL)
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg(Startup - artm_newreg)
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg(Impersonate - AQAAA==)
HKLM\Software\Microsoft\Windows\WindowsNT\CurrentVersion\Winlogon\Notify\artm_newreg(Asynchronous -AQAAAA==)

Trojan.CamCap C:\Windows\system32\TheMatrixHasYou.exe

Trojan.Kernels8/32 C:\Windows\system32\kernels8.exe

Trojan.SpoolSVV/32 C:\Windows\system32\spoolsvv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run (spoolsvv - C:\Windows\system32\spoolsvv.exe)

Trojan.TaskDir C:\Windows\system32\ipod.raw.exe
C:\Windows\system32\taskdir.exe
C:\Windows\system32\zlbw.dll
HKCU\Software\Microsoft\Windows\CurrentVersio\Run (taskdir - C:\Windows\system32\taskdir.exe)

Trojan.Unknown Origin C:\Windows\system32\_ZSKWRKNI05MKQTWSH]KPACJGKH.exe
C:\Windows\system32\vx.tll

Trojan.VXGame/32 C:\Windows\system32\dlh9jkdq1.exe
C:\Windows\system32\dlh9jkdq5.exe
C:\Windows\system32\dlh9jkdq6.exe
C:\Windows\system32\dlh9jkdq7.exe
C:\Windows\system32\vxgame1.exe
C:\Windows\system32\vxgamet2.exe
C:\Windows\system32\vxgamet3.exe

Unclassified.Unknown Origin/System C:\Windows\system32\dlh9jkdq2.exe
C:\Windows\system32\vxgame2.exe

Adware.IST/ISTBar (Slotch Bar)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main (BandRest - )
HKUS\S-1-5-21-789336058-xxxxx\SOFTWARE\Microsoft\Internet Explorer\Main (BandRest - )

Осталось разобраться что там такое виделось Avastu и с файрваллом. Платный вариант я не хочу.

И в заключение AVZ - MUST HAVE!Мощнейшая программа, я ещё не видел равных по набору фукнкций и возможностей!

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики
Страницы: 1 2 3

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика