|
Хакеры пытаются кончить мой комп. Помогите плииз.
Несколько дней назад с компом начали происходить странные вещи. Он виснет постоянно,
процессы прут, но вчера вообще самостоятельно менялся рабочий стол, думал вируса поймал, проверил все Симантеком, Адвеером, ДрВебом с сайта, и когда зашел на сайт Симантека, там решил тоже в онлайне протеститься, пишет что половина портов открыты, атака хакеров! Два раза переустанавливал виндовс, все программы остались на С в програмфайлс, а Пуск/программы было пусто.. Когда я выхожу в skype, internetcall у меня в процессах занимает до 100% памяти.. Хотя раньше и скайп и осел и инет работали одновременно и все летало. Вот лог сделал..подскажите в нем есть что-нибудь глючное? Logfile of HijackThis v1.99.1 Scan saved at 21:11:45, on 05.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\VITALY~2.VIT\LOCALS~1\Temp\Rar$EX01.016\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [InternetCalls] "C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe" -nosplash -minimized O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe |
Vitaly2007
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe - отключи. Иногда грузит прилично. O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE - проверь и попробуй отключи. O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - может это и ломится обновиться. O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll видимо что-то нортоновсое. O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll Отрубай. Проверка на подлинность. Связана с каким-то обновлением. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 Удаляй всё страницы на фиг. Скачай AVZ. Достаточно хорошо отлавливает перехватчиков. Symantec тебя задушил конкретно :). Совет - поставь Agnitum Outpost и заноси подозрительное в запрещённые. |
Цитата:
прислушайся к советам yurfed проверь что за такое за WgaLogon.dll и NavLogon.dll - подозрительные кому нужен то твой компьютер? - максимум какой нить новый шпион или червь у тебя |
Цитата:
|
В данном логе всё чисто. Но: изменение рабочего стола, половина портов - не чисто.
А в журнале файерволла, или каким-нибудь сниффером и т. д. - не смотрели установленные соединения (ИЭ не должен быть открыт)? |
Yurfed, :hi:
"Скачай AVZ. Достаточно хорошо отлавливает перехватчиков." — скачал, сделал расширенное исследование системы многого там не понимаю.. Прикрепляю лог, посмотрите пожалуйста. "Symantec тебя задушил конкретно ." — задушил? считаете надо поменять антивирус? "Совет - поставь Agnitum Outpost и заноси подозрительное в запрещённые." — стоял он у меня, но это было что-то невозможное, возможно я не мог понять как его настроить, но в итоге постоянно вопросы, не мог разобраться какие действия разрешать, какие нет.. Мне очень нужен скайп, я пользуюсь им постоянно, а когда файрвол ставлю невозможно ни скайпом ни инетом пользоваться.. |
Цитата:
Какими процессами/файлами открыто большинство портов? Можно просмотреть например этим. Посмотрите Process Explorer-ом - - какие dll-ы загружены у internetcalls.exe, и не только. К примеру, сгруппируйте процессы, а также Dll-ы по всем процессам, по графе "компания". Что не от МС и тех компаний, чьи программы установлены, - тот "ассортимент", среди которого надо искать виновника. Если, конечно, он есть и имеющаяся картина не программного характера... Цитата:
Если так и будет продолжаться, можно поискать детектором скрытых процессов: Rootkit Unhooker (но сначала обязательно прочитать справку). |
A0006711.exe - по телепатическому приему :) - вылитый Trojan-Downloader.Win32.Adload.l // Trojan-Downloader.Win32.INService.z
System Restore можно отключить временно и A0006711 перейдёт в небытие, но ненадолго. В System Restore файл попадает копированием после запуска в основном месте, а перечисленные средства ничего не нашли, так? Значит, оригинал (или оригинал + тот, который его притащил) где-то есть и его надо найти. Самый простой путь - поискать побайтные копии exe-файлов в папке Виндоус и Программы (то есть, надо зайти в System Restore. Я сужу об этом легко, потому что показ всего скрытого и системного у меня включен, и главное - ФАТ. Недавно же с удивлением узнал, что на НТФС системные папки так просто, убиранием галочки, не появляются на виду). Но этот файл может сопровождаться букетом двоюродных братьев, и раз в нём самом не признали недруга, могли пропустить и остальных. Эти могут быть (чистые догадки): unregister.exe file.exe SearchRelevant.dll а также по этим именам (некоторые - частично) prxsvc loadadv msoff IBM0000 Поэтому, чтобы не блуждать в догадках, лучший способ - проверьте системный диск онлайн-Касперским, тот эту ораву хорошо находит. |
yurfed
Цитата:
Как отключить, научи. (подробно) Vitaly2007 С логом тебе лучше сюда. http://virusinfo.info/forum.php |
Цитата:
|
Цитата:
(Кстати, там же кто-то от нужды болтать языком впустую посоветовал ему "формат диска С" :fool: Он и сделал...) Упомянутый уважаемый эксперт сказал, что по логу АВЗ признаков заражения нет, что это ошибка распаковки, и если бы там что-то было, он бы сказал. Когда это говорит не кто-нибудь, а сам NickGolovko, я (да и большинство имеющих касание с компьютером) должен молчать в тряпочку. :yes: Но что АВЗ будет детектировать 100 % - гарантию этого никто не давал и не даст. И сказанное - просто расшифровка того, что означает запись в прямом смысле, - а не оценка содержимого файла (тем более, если файл не был раскрыт - я не знаю, раскрывается ли он или нет, если такая запись в логе). Я, конечно, тоже не знакомился с содержимым (сказал же: телепатически + поиск). Но логичные подозрения, как могли увидеть по поиску и после ознакомления с материалами по всем ссылкам, согласитесь, имеются. К тому же, одной точкой восстановления меньше - от этого система не рухнет. Вы же даже формат делали? Давайте, загрузите этот файл на www.virustotal.com - пусть проверят комплексно. (что вирусы поражают файлы в папке восстановления системы, потому что доступ туда для антивируса закрыт - это правильно, но это - резерв (к тому же, они будут попадать туда после запуска и автоматически, даже без установки оседать там). Не встречал упоминания, что активная зараза действовала с этой папки. Хотя могу ошибаться.) |
Erekle, если мне не изменяет память, имена файлов в точках восстановления всегда генерируются автоматически для избежания совпадений, поэтому вероятность что это вирус из-за названия файла невелика..
В принципе исходя из заголовка темы, автору следует вначале ознакомится с какой-либо статьей по "безопасной" работе в интернет и сравнительными обзорами антивирусов\фаерволлов. Как вариант, ознакомившись с этой статьей перестать боятся злобных хакеров, в качестве антивируса использовать DrWeb\KAV\AntiVir\Avast\Nod32(в связке со сканером DrWeb), в качестве фаерволла - Outpost\ZoneAlarm\Sunbelt Personal Firewall\входящий в состав антивируса(?), antispyware на ваш вкус. Ищется все в гугле, помощь по настройке там-же. Также неплохо бы обновить используемое п\о, драйвера и.т.д. |
XXXler, да... Но семизначный номер... а по поиску все результаты одинаковы, и картина такая же.
Можно ведь зайти в эту папку и просмотреть информацию в окошке подсказки у каждого файла, или в Свойствах. Если предположение окажется верным, потом можно искать оригинал за пределами папки, и одним дело может не ограничиться (или же проверить той программой, которая хорошо их распознаёт). |
Цитата:
|
Да что в этом поиске относится к определению "файл", то же (НЕ кликать!) самое и есть. :)
И по ссылкам с предыдущего поиска можно увидеть, что эта семизначка = троян, и что он часто находится в списке собратьев по принципу +1, скопированных с какой-то программы, - которая, очевидно, с завидной прилежностью реинкарнировалась. Почему-то думается, что нормальные программы так не поступают. Не стоит, впрочем, зацикливаться. Это неактивный файл, и может только помочь в поиске. |
Erekle, вы несколько преувеличиваете, либо недопонимаете алгоритм работы System Restore в WinXP. Постараюсь обосновать.
Восстановление системы ставит хук на события создание\дозапись\удаление файлов и создание\удаление каталогов, и пользуясь фильтром по расширению отслеживает операции с ними. Так-же гдето раз в сутки выполняется полное резервное копирование новых\измененных, относительно предыдущей рабочей точки восстановления, файлов, также возможен вызов через собственное API. Следовательно вирусы попадают туда весьма естественным путем :) . В пределах точки восстановления идет сквозная номерация файлов в формате Axxxxxxx (7 - значный счетчик), оригинальным остается только расширение, соотвествие имя файла_в_точке_восстановления -> его_расположение_на_диске заносится в файл change.log точки восстановления. Точки восстановления откатываются либо вручную, либо вызовом через собственное API. Также следует различать действия System Restore, резервирования конфигурации оборудования (создает дубль ветки реестра HKLM\SYSTEM\CurrentControlxxx автоматом при удачном запуске Win) и System File Check (SFC, следит за фиксированным списком системных файлов проверяя их по цифровым подписям и восстанавливая в случае необходимости) Следовательно гадание гуглом на имени файла в точке восстановления - весьма туманное и безрезультатное занятие. |
XXXler - спасибо.
Сквозная номерация файлов в формате Axxxxxxx (7 - значный счетчик) - теперь дошло. "Наш" номер умещается в четырёхзначных. Тогда следует удивляться совпадению. Но во внутренности мы всё-таки не заглядывали. :) |
Извините, я здесь в первый раз...Строго не судите...
Я так и не понял, была ли проведена полная проверка компьютера пострадавшим? В его логе мне не понравилось одно место, связанное с C:\WINDOWS\system32\svchost.exe Похоже на трояна, с которым я недавно боролся. Он хорошо отлавливается КAV/ КIS 6.0 , которые определяют его, как активную угрозу (то есть, как я понимаю, процесс, внедрившийся в автозапуск). Хотелось бы узнать, чем это всё закончилось, так как, к сожалению с подобными вещами приходится сталкиваться раз по 10 на дню. К сожалению, такие трояны хорошо переносятся через флешку по USB. Еще у него один из признаков - не работает автозапуск при вставке нового носителя информации... Есть ли такое у пострадавшего? |
Проверял двумя антивирусами и hijackthis.
У него нет C:\WINDOWS\system32\svchost.exe в автозагрузке, только в процессах. А почему похож на трояна? О расстройстве автозапуска при вставке нового носителя информации не видно. Но оно, в первую очередь, может быть связано с настройкой действия при вставке флешки. |
| Время: 01:19. |
Время: 01:19.
© OSzone.net 2001-