Поклонник ФФ > 10-09-2006 11:45:00 |
Случилась неприятная штука К ФФ (1.5.0.6 , остается и на 2.0.b) прицепился какой-то гад (даже не знаю, что это - шпион, троян или еще что-то). Делает он следующее. При запуске системы, он запускает самостоятельно firefox.exe и пытается открыть страницу uortex.no-ip.org по протоколу TCP:2000 Фаервол (Агнитум) определяет, что ФФ рвется в инет (отнего я и узнала, что этот no-ip существует). Если ему разрешить доступ в интернет, то он открывает просто пустую страницу маленького размера, которая повисает в левом верхнем углу экрана. Если ему запретить доступ в инет, то он продолжается туда рваться с интервалом в минуту (примерно), и Агнитум его все время может поймать. Но вот ни один антишпион его не видит. Если в процессах убить firefox.exe и потом просто перезапустить браузер, то этот no-ip.org исчезает. Точнее, он где-то остается, но браузер больше не пытается открыть страницу uortex.no-ip.org (по крайней мере, Агнитум его больше не определяет). Предпринятые меры борьбы. Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер его не нашли. Тогда пришлось удалить ФФ, через реестр, найти все записи на firefox.exe и просто их удалить. Но осталась одна запись, там было что-то вроде D:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1", которая отказалась удаляться (!), при попытке просмотреть ее в реестре, это тоже не удалось (машина сказала: "Доступ запрещен"). После перезагрузки системы эта запись из реестра исчезла. Но если переустановить ФФ, то все повторяется: ФФ опять запускается автоматически и пытается открыть стр. uortex.no-ip.org Вот такая беда. Что делать, помогите! Мне очень нравится ФФ и не хочется от него отказываться из-за таких проблем. Тем более, все равно не ясно, продолжает ли этот гад свою деятельность, даже при отсутствии ФФ. Спасибо заранее. Поклонник ФФ. |
Sergeys > 10-09-2006 12:07:52 |
Удали профиль (создав предварительно резервную копию) и переустанови Firefox. |
LithTech > 10-09-2006 13:00:36 |
Похоже на обычный троян. Думаю стоит поискать его процесс через ProcessExplorer. |
Поклонник ФФ > 10-09-2006 13:58:41 |
Все удалял, все профили, что нашел, безжалостно. Что значит, поискать в ProcessExplorer. Есть у меня такая прога, но она показывает, что запущен ФФ, и все. А что мне с этого. Я его убиваю каждый раз при запуске системы. Это максимум, чего удалось добиться, а убить навсегда не получается. Вот такая беда. |
Sergeys > 10-09-2006 14:57:17 |
Как может быть запущена программа, которую удалили??? Это означает, что она не удалена или есть еще (например 1.5.0.* - firefox.exe и 2.0b2 - firefox.exe, но первая устанавливается в папку с именем "Firefox", a вторая в папку Bon Echo - если это nightly, возможно и профилей несколько), но расположена где-то в другом месте. |
LithTech > 10-09-2006 15:59:57 |
Поклонник ФФ Если только 1 процесс показывает, то у системы большие проблемы Выложи скрин из ProcessExplorer, может что интересное будет... |
ego > 10-09-2006 16:20:20 |
Если WinXP, запусти программу msconfig (Пуск-Выполнить) и посмотри вкладку Автозагрузка. Шпион не в Firefox, а в системе. |
ПоклонникФФ > 10-09-2006 17:00:00 |
Сейчас уже не могу сделать скриншот, потому что я удалила программу. ФФ сам запускается при старте, если он установлен. Если его нет, то в процессах ничего нет. Но если его снова установить, то все повторяется. Вот в чем проблема. Постараюсь выполнить совет ego. Потом напишу о результатах. Спасибо за отклик. |
ПоклонникФФ > 10-09-2006 17:04:08 |
Нет, в автоматической загрузке ничего нет. Я ее обычно контролирую через Regorganizer, но и при просмотре msconfig, тоже ничего нет. Может, надо теперь опять поставить ФФ, чтобы этот гад себя проявил... |
LithTech > 10-09-2006 18:04:44 |
ПоклонникФФ ФФ тут не причем. Что он стоит, что нет - трояну один фиг. Он все равно может в процессах висеть. Его то и надо отловить... Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер
Доктор Веб встарину нифига и не находил. А щас даже не знаю. Аваст, Акронис - это что за звери? Нужен нормальный антивирь, типа касперского, нода, нортона. Это если вручную трояна отлавливать лень... Червь лучше пропишется как служба, чем просто так в автозагрузку. |
Zmeys > 10-09-2006 18:47:44 |
Если есть желание... Kaspersky Anti-Virus 6.0 (Beta386) Коды активации для бета-сборок старше 304-ой Замечание за нарушение правил п. 4.9 Sergeys |
zabba > 10-09-2006 20:22:51 |
Аваст, Акронис - это что за звери?
Акронис не знаю,а Аваст зверь нормальный. Тут вопрос спорный. |
LithTech > 10-09-2006 20:48:41 |
zabba Не ну понятно. Это против шпионов или антивирь? Нужен то именно 2-й.
Для шпионов порекомендую SpyBot' ом проверить... |
ПоклонникФФ > 10-09-2006 21:45:00 |
Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста. |
ПоклонникФФ > 10-09-2006 22:49:52 |
Короче, при переустановке ФФ2 бета, опять та же история. Вот что пишет Агнитум: FIREFOX.EXE TCP локальное:любое 1396 uortex.no-ip.org 2000 Режим обучения ИСХ LEARN 22:43:04 54 сек. 0 байт 0 байт 0 байт/с ---
Если кто-нибудь подскажет, что с этой заразой делать, то будет большое спасибо. |
baklan > 10-09-2006 23:02:11 |
может в реестре надо поискать uortex.no-ip.org он же где то прописан , если не через третью прогу запускается. Ну и firefox.exe просмотреть все ключи |
ПоклонникФФ > 10-09-2006 23:30:52 |
Нет в реестре, искала Regorganizer'ом Проверила SpyBot' ом - Тоже молчит, ничего не видит. Что еще можете предложить, други? Не переставлять же систему из-за такой мелочи (хотя не знаю, что эта "мелочь" творит на моей машине)... |
Sky > 11-09-2006 00:33:24 |
Поклонник ФФ, а ты точно удаляла профиль пользователя? Это папка в C:\Documents and Settings\[user]\Application Data\Mozilla\Firefox\Profiles\ Попробуй всю папку Profiles удалить (на всякий случай, лучше ее предварительно куда-нибудь скопировать) и запустить FF. Добавлено Пнд 11 Сен 2006 00:36:18 : Хотя если после загрузки Лис сам запускается, то это вряд ли поможет... |
Wiccanmist > 11-09-2006 00:48:11 |
А у тебя винда легальная? Если да, попробуй Defender Можно еще вот это (проверки подленности не требует) После установки обновления винды, запусти Диск где винда стоит:\WINDOWS\system32\MRT.exe Средство удаления вредоносных программ Правда гарантий нет ... А вообще, я бы порекомендовал раздобыть NAV 2006 Еще есть Он-лайн проверки, например OneCare (проверки на подленность не требует, запускать тока в ИЕ, в других браузерах не работает, предсталяет собой чистильщик+исправляльщик реестра+антивир сканер) Можно и он-лайн NAV запустить (опять таки в ИЕ) У других производителей антивиров так же есть он-лайн сервисы, они бесплатны, чем черт не шутит, может поможет |
Merlyel > 11-09-2006 00:49:50 |
А в <%windows dir%>/system32/drivers/etc/lmhosts случайно не забит этот uortex.no-ip.org как localhost? |
Serg_T > 11-09-2006 03:16:46 |
Можно попробовать ещё в autoruns внимательно всё посмотреть (http://download.sysinternals.com/Files/Autoruns.zip), а в ProcessExplorer надо выставить чтоб процессы в виде дерева отображались, чтоб родительский процесс был виден. PS:Странно, но по uortex.no-ip.org ничего нет |
Al_H > 11-09-2006 11:39:15 |
Можно попробовать ещё в autoruns внимательно всё посмотреть
Вот именно. У меня подобное было. Если Файрфокс установлен браузером по умолчанию, причин может быть две. 1. Какой-то троян ломится в Сеть на этот адрес. Естественно, запускается Файрфокс. Но сам Файрфокс тут ни при чем, его запускает система в ответ на открытие адреса. 2. Какая-то программа (возможно, троян) стоит в автозагрузке. По какой-то причине - из-за удаления или сбоя - система нужный файл найти не может. Каждый раз она запускает поиск, и каждый раз автоматически находит ближайший файл в папке. В папке лежит файл-ссылка на сайт, что бывает у многих программ и библиотек. Запускается ссылка, и система запускает браузер по умолчанию. И в этом случае Файрфокс не виноват. И решение: поискать в файлах строку с этим адресом, и поискать в autoruns несанкционированные строки. |
bopUK > 11-09-2006 14:20:56 |
Его можно поймать так: скачать программку HijackThis (ссылки можно найти в яндексе, напр. http://softsearch.ru/programs/123-687-hijackthis-download.shtml), просканировать ей систему (лучше перегрузить систему, просканировать программой) и результат выложить хоть сюда. По этому логу и можно поймать засланца. |
ПоклонникФФ > 11-09-2006 15:54:15 |
Когда ФФ запускается при старте системы, то с ним еще идет какой-то файл WS2HELP.dll!WahQueueUserApc+0x5c Может ли эта библиотеку быть источником проблем? Или так и должно быть? |
Wiccanmist > 11-09-2006 16:18:40 |
Я не понимаю, как антивирусный сканер не может удалить злонамеренное ПО???? А комп в безопасном режиме загружала? И в этом же режиме проверки антивирусами запускала? Кстати, а ФФ запускается значит при старте систем да? Есть такая простенькая утилитка Windows Startup Inspector Иногда она может видеть гадости, которые хотят грузиться в системе, часто можно их удалить, если не получается, тогда кидаемя к более продвинутым вещам... Добавлено Пнд 11 Сен 2006 16:36:30 : ПоклонникФФ пишетПродолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.
Не все файлы доступны сканерам, например те которые в данный момент работают (хотя новейшие версии ведущих игроков антивирного рынка давно уже умеют все проверить!) или те которые связаны с Восстановлением системы, т.к. они находятся в папке System Volume Information доступа к которой нет. С работающими файлами можно справиться перезагрузившись в безопасном режиме (кажется F8 жмем перед загрузкой ОС и выбираем пункт, безопасный режим). Пейдж файлы можно чистить, контрольные точки удалить - через Строку Свойства контекстного меню "Мой компьютер" На вкладке Восстановление системы ставим галку на Отключить восстановление системы, ждем пока будут удалены все файлы этой папки, а потом убираем галку, чтоб снова активировать восстановление, файлы подкачки регулируются в Дополнительно, параметры быстродействия, вкладка дополнительно, кнопка изменить, галка у Без файла подкачки, кнопка задать, потом после удаления этих файлов снова активируем первоначальные параметры. |
ПоклонникФФ > 11-09-2006 23:16:52 |
Спасибо други за советы. Они помогли понять в чем дело. Al_H подсказал правильный механизм работы трояна: он запускает любой браузер по умолчанию. Если поставить по умолчанию Флок, то с системой запустится Флок, если Макстон, то запустится Макстон. На сайте Хакер.ру даже объясняют, как сделать такую гадость. Вот цитата:
"В Windows есть хорошая API-функция ShellExecute, она открывает файлы и запускает программы. Вызвать эту функцию - все равно, что дважды клацнуть по указнному файлу. Документы будут открываются в Word'е, файлы с расширением TXT - в блокноте, а EXE... они просто запускаться Это мы и используем - запустим браузер сами! Допустим, мы хотим запустить Internet Explorer. Вызовем ShellExecute так: ShellExecute(0, 'open', 'iexplore.exe', nil, nil, SW_HIDE); Первый параметр - хендл окна-владельца открытого браузера. У нас 0 - владельца нет. Второй и третий параметры - операция (у нас "open" - т.е. открыть) и программа, к которой эта операция дожна быть применена. Четвертый параметр - PAnsiChar-строка с параметрами. Мы ничего не передаем, у нас там nil. Предпоследний, пятый параметр, тоже PAnsiChar-строка - директория по умолчанию. У нас опять-таки nil. И наконец последний, самый интересный параметр - константа, определяющая способ запуска программы, в которой будет открыт документ. Здесь мы передаем SW_HIDE, и наш браузер запускается в скрытом виде! Т.е., говоря языком VCL-форм в Delphi, ее главное окно имеет свойство Visible:=FALSE. Поэтому когда мы сами откроем Internet Explorer по умолчанию, пользователь (или, как говорит дотошный читатель, "ламер") ничего не заметит. Увидеть и закрыть запущенный таким образом браузер можно только в менеджере задач, по Ctr+Alt+Del. Кстати, в Windows 2000/XP для этого понадобится зайти на вкладку "Процессы", потому что на вкладке "Приложения" iexplore.exe не видно Сам троян может узнать, запустился ли браузер, проверив значение, которое возвратит ShellExecute. Если оно больше 32 - все о'кей."
Именно только в процессах и виден браузер, запускающийся сам собой. По совету одного из участников, я воспользовалась программой HijachThis, которая мне записала следующее (это все, что работало после перезагрузки). На момент записи в качестве браузера по умолчанию стоял Макстон, он и присутствует в процессах: Logfile of HijackThis v1.99.1 Scan saved at 22:27:52, on 11.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Intel\Wireless\Bin\EvtEng.exe D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe D:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe D:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe D:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE D:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE D:\Program Files\Eset\nod32krn.exe D:\Program Files\Agnitum\Outpost Firewall\outpost.exe D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\Program Files\F-Secure Internet Security\Common\FCH32.EXE D:\WINDOWS\system32\svchost.exe D:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE D:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe D:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe D:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe D:\Program Files\Maxthon LEM Pack\Maxthon.exe D:\WINDOWS\ATK0100\HControl.exe D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe D:\WINDOWS\SOUNDMAN.EXE D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe D:\Program Files\Skype\Phone\Skype.exe D:\Program Files\SlickRun\sr.exe D:\WINDOWS\ATK0100\ATKOSD.exe D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe D:\Documents and Settings\Zazi\Рабочий стол\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 163.28.146.2:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll O3 - Toolbar: eSnips - {ED1184DA-E57E-4480-99D0-A16809037F54} - D:\Program Files\eSnips\SnipBar.dll O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zTrashReg] d:\program files\trashreg\trashreg.exe /AUTO O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe" O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe" O4 - Global Startup: F-Secure 2006.lnk = D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe O8 - Extra context menu item: &Block this popup - D:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Snip to my eSnips account - D:\Program Files\eSnips\res\SnipIt.htm O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://D:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000 O8 - Extra context menu item: Добавить страницу в URL-Album - D:\Program Files\URL-Album\ua.htm O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Добавить страницу в URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75053} - D:\Program Files\URL-Album\ua.htm (HKCU) O9 - Extra button: (no name) - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU) O9 - Extra 'Tools' menuitem: Открыть URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{656C9327-BA4F-420A-BD94-9999F75FDFDC}: NameServer = 212.188.4.10 195.34.32.116 O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll D:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: IntelWireless - D:\Program Files\Intel\Wireless\Bin\LgNotify.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Корпорация Майкрософт - (no file) O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: EvtEng - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: Iomega App Services - Unknown owner - (no file) O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: OwnershipProtocol - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: RegSrvc - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe Теперь я знаю, как по какому механизму запускается мой троян, какие процессы запускаются вместе с Виндоуз, а также, что NOD32 и SpyBot ничего не находят. Вот таковы результаты моих поисков. Явно неутешительные, поскольку этот засланец так и шурует где-то в моей машине... Если у кого еще есть советы, что можно сделать, то пишите, все испробую и доложу, кому будет интересно знать. |
Sergeys > 11-09-2006 23:46:45 |
Попробуй просканировать систему с помощью Panda ActiveScan или установить Platinum 2006(7) Internet Security и также проверить. Подобных проблем этот антивирь не допускал. |
ПоклонникФФ > 12-09-2006 10:59:51 |
Проверила Пандой, ничего нет. Хотела обхитрить этого гада запретив автозагрузку ФФ через Spybot, но ничего не получилось. При перезагрузке ФФ все равно висит в процессах. Если намеренно поставить в Spybot автозагрузку ФФ, то в процессах уже висит два ФФ, один реальный, а второй - запущенный трояном. Так что пока нет никаких результатов. Пойду искать помощи у создателей Панды, может, дадут какой совет. Если будут результаты, то напишу. |
bopUK > 12-09-2006 12:47:08 |
Вроде всё нормально, только вот странные такие строчки: B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) файл вроде убит, но записи остались. И еще - а что такое? O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe" Может она при входе и запускает окно? Попробуйте её в автозагрузке задисаблить и перегрузиться. Если ничего не поменяется, то её опять можно вернуть назад. |
ПоклонникФФ > 12-09-2006 15:04:28 |
SlickRun это программа такая. Что-то вроде командной строки для чайников запускает разные программы. Я ею давно пользуюсь, это точно не от нее проблемы. Только вот не поняла, что Вы этой записью хотели сказать? B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) файл вроде убит, но записи остались.
Файл вируса не нашел пока ни один антивирь (Аваст, Нод, Панда). Панда нашла две куки, но это мелочи. Тем более проблема все равно пока остается. |
Wiccanmist > 12-09-2006 15:36:02 |
ПоклонникФФ пишетФайл вируса не нашел пока ни один антивирь (Аваст, Нод, Панда). Панда нашла две куки, но это мелочи. Тем более проблема все равно пока остается.
Norton 2006 и Касперик попробуй |
bopUK > 12-09-2006 15:55:06 |
Только вот не поняла, что Вы этой записью хотели сказать?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Корпорация Майкрософт - (no file)
Надо опять запустить HijackThis, отметить в нем эти строчки и нажать на Fix. |