Помогите УБИТЬ заразу!

Andrey_Kr> Я так понимаю есть возможность запускать программы, меня интересует смогут ли стартовать HiJack и Gmer:

Нет блокировщик полностью все блокирует. Он загружается даже в защищенном режиме и не дает выполнять никакие действия.

Andrey_Kr> http://www2.gmer.net/gmer.zip
Andrey_Kr> http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe

А что это такое?

Alek> А что это такое?
Программы для анализа системы

Повторное заражение случайно не с флэшки происходит? Еще, как вариант, в корне диска D находится autorun.inf который запускает вирус. При восстановлении системы насколько я понял изменяется только диск C

у меня ни разу ни на одной машине эту тему антивирусы не излечили. только вручную..

1.загрузитесь в сэйфмоде с поддержкой командной строки
есть шанс, что в нем эта прога не заблокирует комп.
потом зайдите в профиль под которым это окно появляется и удалите все времнные файлы. по умолчанию они находятся в
"C:\Documents and Settings\имя пользователя\Local Settings\Temp\" и tmp
проверьте "C:\Documents and Settings\имя пользователя\Главное меню\Программы\Автозагрузка\" там не должно быть ничего личного
2. проверьте папку windows и windows\system32 на предмет файлов, которые появились позднее даты появления вируса. стирайте их. или если жалко, переместите в какуюнить папку.
3. проверте в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit должен быть userinit.exe,
4. проверте ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
в них находятся ссылки на программы, которые запускаются автоматически. стирайте оттуда все, в чем не уверены.
5. затем попробуйте загрузиться в обычном режиме. если окно пропадет, выполните п.4 еще раз.
запустите пуск/программы/стандартные/служебные/сведения о системе. в ней: программная среда/автоматически загружаемые программы. там можно посмотреть откуда они запускаются.. и удаляйте все подозрительные файлы из этого списка..

Accept> у меня ни разу ни на одной машине эту тему антивирусы не излечили. только вручную..

CureIt с полтора месяца назад без проблем убил и стёр одну из ранних версий информера.

Accept> 1.загрузитесь в сэйфмоде с поддержкой командной строки
Accept> есть шанс, что в нем эта прога не заблокирует комп.

Нынешние варианты наглухо блокируют запуск всех консолей,панелей и т.д. к сожалению

xo> Нынешние варианты наглухо блокируют запуск всех консолей,панелей и т.д. к сожалению

Поэтому только с внешнего диска грузиться.

Вопрос: эти трояны только от админа устанавливаются? По идее, от пользователя если установятся, то не должны мешать работе админского аккаунта. А значит, под ним можно загрузиться и почистить. Ну и не стоит работать под администратором. Что-то мне подсказывает, что Алек именно это и делает.

HolyBoy> Вопрос: эти трояны только от админа устанавливаются? По идее, от пользователя если установятся, то не должны мешать работе админского аккаунта. А значит, под ним можно загрузиться и почистить. Ну и не стоит работать под администратором. Что-то мне подсказывает, что Алек именно это и делает.

Я тоже под админом, бо задрачивают бесконечные "запуски от имени адм" и т.д.
Думаю, что в этом случае и под админом троян тоже вылезет.Если уж инфицировал систему, то во все учетки. ИМХо. Проверять пока не тянет

Alek> 2. Файлы вируса.
Alek> Обнаружил два файла относящиеся кэтому вирусу. Возможно их больше! Файл в корне "програм файл" под именем plugin.exe прикидывается макромедиа флешплеером. И файл в папке темп который имеет разное имя но вида EB75.TMP, FE43.TMP и т.п. Вычислить его можно по дате.

Папку TEMP вообще желательно очищать чаще. И системную и пользовательскую.

Искать и проверять файлы в %Windir%/system32 и %Windir%/system32/drivers с именами, похожими на случайные/пародиями на имена системных файлов или просто скрытые. Еще обычно они без подписи. простейший способ проверки - cmd + attrib + dir.

Alek> 4. Каким то образом вирус повреждает или блокирует ветку реестра куда прописывается и получить к ней доступ невозможно! Оснастка ERD Commander просто выгружается при попытке доступа.

Скорее всего меняет права. Надо стать владельцем ветки реестра и всех потомков и разрешить доступ на запись (обычно - всем).



...

Кроме того часто создаются службы со случайным именем и осмысленным (стыренным) описанием. И их тоже просто так не отключить, так как нет прав на их ветки в реестре. Тоже надо сначала ставить права, а потом их отключать в управлении компьютером (ИМХО лучше не удалять, т.к. если гадость запутистся как-то еще, она будет проверять наличие, а не активность)

Alek> Да, сразу говорю источником заразы оказался сайт mobiledevice.ru на который я заходил почти ежедневно читать компьютерные новости. Точнее похоже не сам сайт а подгружаемая на него реклама.

Лучше читать VirusInfo - Главная
Говоришь мазила у тебя... поставь AdBlock Plus и настрой, чтобы рекламу резал нафиг.

Alexandrc> Лучше читать VirusInfo - Главная
Alexandrc> Говоришь мазила у тебя... поставь AdBlock Plus и настрой, чтобы рекламу резал нафиг.
Лучше NoScript, а еще лучше и то и другое

Cormorant> Расскажу о своей проблеме
Скачайте http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe запустите и нажмите кнопку "Do a system scan and save a logfile". Полученный лог прикрепите сюда.
Запускаются ли regedit и gpedit.msc через "Пуск"->"Выполнить" ?

Andrey_Kr> Скачайте http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe запустите и нажмите кнопку "Do a system scan and save a logfile". Полученный лог прикрепите сюда.

два варианта: из безопасного режима и нормальный

Andrey_Kr> Запускаются ли regedit и gpedit.msc через "Пуск"->"Выполнить" ?

нет, пишет; не могу найти файл c:\windows\regedit.exe (а он есть)

Andrey_Kr> Кстати, для начала лучше воспользоваться утилитой от Dr Web ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe
Andrey_Kr> Утилита была создана для восстановления настроек системы после действия трояна plastix .

скачал и запустил в безопасном режиме от записи администратора. перезагрузился. изменений нет

Cormorant> два варианта: из безопасного режима и нормальный
Из этого списка все знакомо ?:

O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll

 

Отметьте эти строки и нажмите fixed :

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

 

Перезагрузите компьютер и повторите сканирование еще раз в нормальном режиме
Если исчезнет строка O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing, сеть должна появиться, с остальным сейчас подумаю

Andrey_Kr> Из этого списка все знакомо ?:

да, это знакомые все вещи, ничего подозрительного в них нет

---

попробую перегрузится и отметить то что попросили.

Cormorant> Расскажу о своей проблеме
Cormorant> Ноут MSI. Vista SP1 родная лицензионная. Уже где-то с месяц при загрузке системы одним из первых выходит вот такое сообщение:

cut image

А что пишется в журнале системных событий?

Cormorant> драйвера не запускаются. Служба восстановления сама отключилась (первым делом как это словил полез восстанавливаться на более раннее состояние - хрен, служба не работает:

Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

Cormorant> в диспетчере не могу посмотреть что запущено от всех пользователей. При запуске управления компьютером выдается такое:

cut image

В меню Администрирование (или Панель управление - Администрирование) должно быть несколько отдельных пунктов, которые входят в Управление компьютером.

Cormorant> При попытках подключения к сетям система вылетала в "синий экран".
Cormorant> Параллельно, в другом разделе (на D) стоит Win7. Из под нее последовательно запускал аваст, нод32, кур-ит. Пару-тройку червяков отловил, но это не исправило положения.

В семёрке всё работает?
Тогда зачем Виста?

Cormorant> Скорее всего куплю другой винт, солью на него все доки со старого и запущу восстановление из скрытого ноутбучного раздела. Но может есть более простые способы решения проблемы?

Сначала я бы переставил висту поверх текущей, и то как один из крайних случаев.

damnedkluev> Да, apple-вский bonjour я тоже всегда отключал в службах.
damnedkluev> Но доступа к реестру и политикам оно не портило.

Я так понимаю сервис был криво удален, оставив следы в системе. Сеть точно из-за этого не работает. Если следы не удалятся, тогда нужно чистить при помощи lspfix
Вот описание способа удаления:

Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием:


sc stop "Bonjour Service"
sc delete "Bonjour Service"
exit


и запустите его. Тем самым Вы остановите и удалите сервис. Удалить папку Program Files\Bonjour\ без снятия защиты с нее, скорее всего, не удастся, поэтому удалим ее чуть позже,а сейчас нам нужно очистить реестр. Существует способ удаления "навязчивого сервиса" из реестра вручную, но, если Вы не специалист в данном вопросе, лучше не рисковать, а скачать LSP-Fix. Скачав, запустите, согласитесь (С помощью галочки I know what I'm doing), что Вы действительно действуете, находясь в здравом уме и твердой памяти, а затем выделите mdnsnsp.dll в окне слева и нажмите кнопку ">>", чтобы mdnsnsp.dll переместилось в правое окно, с последующим бравым надавливанием на кнопку "Finish". Все, перегружаем компьютер, удаляем злосчастную папку Program Files\Bonjour\

 

damnedkluev> А что пишется в журнале системных событий?

есть ошибки. завтра на свежую голову их процитирую

damnedkluev> Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

не один раз спасал систему откатом

damnedkluev> В меню Администрирование (или Панель управление - Администрирование) должно быть несколько отдельных пунктов, которые входят в Управление компьютером.

в безопасном режиме управление запускается, в нормальном нет. в нормальном, например, открыв свойства компьютера я не могу запустить диспетчер устройств

damnedkluev> В семёрке всё работает?
damnedkluev> Тогда зачем Виста?

семерка по моим прогнозам проработает до марта месяца, это evaluation copy. правда она пишет что она активирована..но хз, скорее в марте перестанет работать.

damnedkluev> Сначала я бы переставил висту поверх текущей, и то как один из крайних случаев.

установочного диска под рукой не имею и не хочу потерять инфу, слить ее пока некуда, это порядка 60 гб

Andrey_Kr> Я так понимаю сервис был криво удален, оставив следы в системе. Сеть точно из-за этого не работает. Если следы не удалятся, тогда нужно чистить при помощи lspfix

я так понимаю, сеть не работает из-за того что не включены драйверы, не только сети, но и дисплея, модема и прочего. т.е. проблема глубже.

damnedkluev>> Тогда зачем Виста?
Cormorant> семерка по моим прогнозам проработает до марта месяца, это evaluation copy.

Дык, можно ж купить нормальную Windows7Home. У нас она стоит 2-3т.р., причем 32-битовая дороже 64-х


damnedkluev> Вот служба восстановления, ИМХО, вещь вредная больше, чем полезная.

Cormorant> не один раз спасал систему откатом

В висте есть более полезная вещь под названием "Восстановление системы". Это когда запускаешься с установочного диска предлагается на выбор: либо поставить систему либо восстановить. Проверено на личном ноуте с инсталяшки Home Premium для ББ, работает