Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] А может это и не вирус вовсе? (http://forum.oszone.net/showthread.php?t=105580)

oleg65 23-04-2008 01:42 787197
А может это и не вирус вовсе?
 
Вложений: 1
Всем доброго времени суток!Есть вот такой вопрос знатокам вашего клуба. При работе на компе каждый раз после какого-либо действия(открытие-закрытие окон,переход по страницам в интернет)выскакивает вот такая табличка:



Может кто подскажет,что это за зверь?

yurfed 23-04-2008 07:29 787243
oleg65,
А может это дворник был?
Он шёл по сельской местности,
К ближайшему орешнику,
За новою метлой.

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe !!!!!
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime (ненавязчивый сервис)
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM') (говорилка в автозапуске необходима аж два раза?)
O17 - HKLM\System\CCS\Services\Tcpip\..\{40BA718D-430E-4B2C-8B01-21F30BAC7624}: NameServer = 62.219.186.7 192.117.235.235
O17 - HKLM\System\CS1\Services\Tcpip\..\{40BA718D-430E-4B2C-8B01-21F30BAC7624}: NameServer = 62.219.186.7 192.117.235.235

Pili 23-04-2008 08:59 787276
oleg65, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\sofos32x.dll','');
 DeleteFile('C:\WINDOWS\sofos32x.dll');
 DelBHO('{73776361-F206-4A50-9687-801C6FE9BA31}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (пофиксить то что останется)
Цитата:
O2 - BHO: Sofos - {73776361-F206-4A50-9687-801C6FE9BA31} - C:\WINDOWS\sofos32x.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYIL
O9 - Extra button: (no name) - DctMapping - (no file)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...aniaFWBInitial Setup1.0.0.15-3.cab
это ваш провайдер?
Цитата:
62.219.186.7
address: Bezeq International
address: 40 hashacham st.
address: Petach Tikva 49170 Israel
address: Bezeq International
address: 40 hashacham st.
address: Petach Tikva 49170 Israel

Котяра 23-04-2008 20:56 787771
oleg65, это ВИРУС!

Pili 23-04-2008 21:41 787795
Точнее Trojan.FakeAlert из семейства SmitFraud

oleg65 24-04-2008 01:22 787940
Спасибо что успокоили!
Pili
А выполнить скрипт смогу только в выходные.Это удалённый комп(не смогу перезагрузить).
В любом случае спасибо.

Pili 24-04-2008 09:53 788043
oleg65, ок, и ещё повторите логи virusinfo_syscheck.zip и hijackthis
провайдер ваш?

yurfed 24-04-2008 12:40 788138
oleg65, Pili, совсем недавно приносили Notebook, настолько запущеный. ~3000! Trojan.FakeAlert наравне с Trojan.Win32.Zapchast + по мелочи :). Вылечилось стандартно с CureIt, Avira и hijackthis. После 12 часов контрольной работы, небыло ни одного ложного окна от FakeAlert, с предложением посетить какой-то сайт и скачать оттуда некую утилиту.
Лечение проводилось с загрузочного СД. Тип действия- удалять.

oleg65 28-04-2008 13:24 790755
Вложений: 1
Доброго всем времени суток!Вот новые логи после проделанных скриптов.Табличка с нескромным предложением выскакивать перестала.Спасибо всем огромное,отдельное спасибо Pili !

Pili 28-04-2008 13:29 790759
oleg65, quarantine.zip нельзя выкладывать, уберите его через профиль - файлы
sofos32x.dll это Trojan-Downloader.Win32.Peregar.cj по Касперскому, для инф-ии:
Цитата:
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.28 TR/BHO.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.28 -
AVG 7.5.0.516 2008.04.27 Downloader.Generic7.GDM
BitDefender 7.2 2008.04.28 Trojan.Renos.NCA
CAT-QuickHeal 9.50 2008.04.26 TrojanDownloader.Peregar.ak
ClamAV 0.92.1 2008.04.28 Trojan.Downloader-33019
DrWeb 4.44.0.09170 2008.04.28 -
eSafe 7.0.15.0 2008.04.27 Win32.Peregar.ak
eTrust-Vet 31.3.5741 2008.04.28 Win32/Burgspill!generic
Ewido 4.0 2008.04.27 Downloader.Peregar.ak
F-Prot 4.4.2.54 2008.04.27 W32/Downloader.H.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.28 Trojan-Downloader.Win32.Peregar.cj
FileAdvisor 1 2008.04.28 -
Fortinet 3.14.0.0 2008.04.28 W32/Peregar.AK!tr.dldr
Ikarus T3.1.1.26 2008.04.28 Trojan-Downloader.Win32.Peregar.ak
Kaspersky 7.0.0.125 2008.04.28 Trojan-Downloader.Win32.Peregar.cj
McAfee 5282 2008.04.25 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Delflob.I
NOD32v2 3058 2008.04.27 -
Norman 5.80.02 2008.04.25 W32/DLoader.GOIH
Panda 9.0.0.4 2008.04.27 Trj/Downloader.MDW
Prevx1 V2 2008.04.28 Generic.Malware
Rising 20.42.01.00 2008.04.28 -
Sophos 4.28.0 2008.04.28 -
Sunbelt 3.0.1056.0 2008.04.17 Trojan-Downloader.Codec.gen
Symantec 10 2008.04.28 Trojan.Fakeavalert
TheHacker 6.2.92.294 2008.04.26 Trojan/Downloader.Peregar.ak
VBA32 3.12.6.5 2008.04.28 Trojan-Downloader.Win32.Peregar.ak
VirusBuster 4.3.26:9 2008.04.27 -
Webwasher-Gateway 6.6.2 2008.04.28 Trojan.BHO.Gen
Странно, но на 28.04.08 DrWeb, NOD32, McAfee, Avast его не определяют
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
В остальном в логах чисто, проблем больше никаких не наблюдается? Trojan Remover можете деинсталлировать, имхо, пользы от этой программы почти никакой (как и от SpyEraser)
Цитата:
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
что из этого не нужно?

oleg65 29-04-2008 01:51 791257
Pili, спасибо за совет. На днях сделаю.

Цитата:
Цитата Pili
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя »
Честно говоря, даже не представляю зачем нужны первые две службы.

Кстати, так и не смог найти как на форуме выражают благодарность.

Pili 29-04-2008 08:05 791302
oleg65, службы
Если не нужно, выполните скрипт
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
end.
службу SSDPSRV (SSDP Discovery Service) не трогал, сами решите.
Чтобы отключить автозапуск со съемных новителей, скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените (поможет в защите от зловредов типа autorun)
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.
Если проблема решена, можете отметить тему решенной, см. настройки темы, благодарность - полезное сообщение


Время: 05:36.

Время: 05:36.
© OSzone.net 2001-