- This topic has 3 ответа, 2 участника, and was last updated 16 years, 2 months назад by
.
-
Сообщения
-
нашел уже тему как удаляли такой же троян
(http://www.spyware-ru.com/forums/??p=1130)
попытался повторить, запустил combofix один раз (логи)
[attachment=1:1b4ac0gf]23-02-09-log.txt[/attachment:1b4ac0gf]
затем создал скрипт (видимо что-то упустил) для combofix:
«Registry::
HKEY_LOCAL_MACHINE~Browser Helper Objects{66AA753B-1593-432D-997F-FF965F38D507}File::
c:documents and settingsAll Users.WINDOWSApplication Datacrtlib.dll»
запустил со скриптом (логи)
[attachment=0:1b4ac0gf]23-02-09-log-2.txt[/attachment:1b4ac0gf]
но в IE по-прежнему прописывается прокси сервер на адрес 127.0.0.1 порт 8600.
вот вопрос, что же упущено?Здравствуйте, добро пожаловать на Spyware-ru форум.
Combofix это не та программа с которой стоит эксперементировать, очень легко повредить операционную систему.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
winsecguard
File::
c:windowsDriver Cachezpx2.exeЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.здравсвуйте, спасибо за ответ.
не хотелось, чтоб вирус распространился, вот и запустил сначала сам.
сейчас выполнил указанные процедуры, что-то пофиксилось, похоже все в норме )логи:
ComboFix 09-02-21.01 — Eagle-owl 2009-02-27 19:03:10.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.768.392 [GMT 3:00]
Running from: c:documents and settingsEagle-owl.NEITRONDesktopComboFix.exe
Command switches used :: c:documents and settingsEagle-owl.NEITRONDesktopCFScript.txt
AV: Doctor Web Anti-Virus *On-access scanning disabled* (Updated)WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowsDriver Cachezpx2.exe
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:program filesCommon Files{6EA9B~1
c:windowsDriver Cachezpx2.exe.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_WINSECGUARD
Service_winsecguard((((((((((((((((((((((((( Files Created from 2009-01-27 to 2009-02-27 )))))))))))))))))))))))))))))))
.2009-02-27 19:10 . 2009-02-27 19:10
d
c:program filesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}
2009-02-23 20:31 . 2009-02-23 20:31d
C:rsit
2009-02-23 08:38 . 2009-02-23 20:25d
c:documents and settingsEagle-owl.NEITRONApplication DataThe Bat!
2009-02-23 00:00 . 2009-02-25 23:00d
c:documents and settingsNetworkServiceApplication DataMEGAUPLOADTOOLBAR
2009-02-22 23:30 . 2009-02-22 23:31d
C:32788R22FWJFW.1.tmp
2009-02-22 23:23 . 2009-02-22 23:23 188,416 —a
C:LiCO Программа тренерского ралли LiCO СПб 24.02.09.doc
2009-02-22 23:18 . 2009-02-22 23:22d
C:32788R22FWJFW.0.tmp
2009-02-22 21:24 . 2009-02-22 21:28 9,448,904 —a
C:windows-kb890830-v2.7.exe
2009-02-22 21:21 . 2009-02-22 21:26 13,448,088 —a
C:mpas-fe.exe
2009-02-22 21:01 . 2008-06-19 16:24 28,544 —a
c:windowssystem32driverspavboot.sys
2009-02-22 20:56 . 2009-02-22 20:56d
c:program filesPanda Security
2009-02-22 20:49 . 2009-02-22 20:49 0 —a
c:windowsnsreg.dat
2009-02-22 16:11 . 2009-02-22 16:11 84,743 —a
C:drw50004.zip
2009-02-22 16:11 . 2009-02-22 16:11 84,004 —a
C:drw50005.zip
2009-02-22 16:11 . 2009-02-22 16:11 55,839 —a
C:drw50007.zip
2009-02-22 16:11 . 2009-02-22 16:11 47,299 —a
C:drw50006.zip
2009-02-22 09:46 . 2009-02-22 09:47 5,245,295 —a
C:qipinfium9026.exe
2009-02-21 16:12 . 2009-02-23 00:53 10 —a
c:windowssystem32pup.dz
2009-02-21 16:11 . 2009-02-21 16:11 10 —a
c:windowssystem32cup.dz
2009-02-21 13:18 . 2009-02-21 13:18 428,332 —a
C:DCUploader_096a_patched.rar
2009-02-19 20:53 . 2009-02-19 20:53 225,540 —a
C:hardcore_sex.3gp
2009-02-19 19:23 . 2009-02-19 19:56d
c:program filesFlylinkDC++r371
2009-02-19 19:19 . 2009-02-19 19:20 4,977,977 —a
C:FlylinkDC.exe
2009-02-17 19:54 . 2006-08-30 11:38 37,072,896 —a
C:bb-ts5disk1a_chunk_1.avi
2009-02-17 07:50 . 2009-02-17 07:54 13,679,245 —a
C:CommFort_server.rar
2009-02-15 21:12 . 2008-12-01 17:10 98,168 —a
c:windowssystem32driversdwprot.sys
2009-02-15 21:11 . 2009-02-15 21:11d
c:program filesCommon FilesDoctor Web
2009-02-15 21:11 . 2009-02-15 21:11d
c:documents and settingsAll Users.WINDOWSApplication DataDoctor Web
2009-02-15 20:01 . 2009-02-15 20:01 187,927 —a
C:1014-002.zip
2009-02-14 14:24 . 2008-06-20 14:58d
c:program filesApexDC-s16_4
2009-02-14 14:22 . 2009-02-14 14:23 1,981,783 —a
C:ApexDC-s16_4.zip
2009-02-14 13:52 . 2009-02-14 17:12 19,158,684 —a
C:DrWeb-5.00.0.12182-FINAL.rar
2009-02-14 13:04 . 2009-02-14 13:04d
c:windowsSQLTools9_KB960089_ENU
2009-02-14 12:55 . 2009-02-14 12:55d
c:windowsSQL9_KB960089_ENU
2009-02-14 10:17 . 2008-10-14 15:22 2,574,848 —a
C:D-link 2500UBRUD.doc
2009-02-14 10:10 . 2009-02-14 10:10d
c:program filesD-Link
2009-02-14 10:10 . 2005-09-07 09:10 173,494 —a
c:windowssystem32driversmon_ac_w.bin
2009-02-14 10:10 . 2005-09-22 11:31 158,592 —a
c:windowssystem32driversgwausb.sys
2009-02-14 10:10 . 2005-08-25 12:48 25,600 —a
c:windowssystem32CoInst.dll
2009-02-14 10:10 . 2006-01-09 09:04 19,427
c:windowswwdslcfg.ini
2009-02-14 10:10 . 2005-08-25 13:00 12,288
c:windowssystem32CplEng.dll
2009-01-31 19:35 . 2009-01-31 19:35 784,964 —a
C:HandyWeather.zip.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 17:31
d
w c:program filesTrend Micro
2009-02-22 20:01
d
w c:documents and settingsEagle-owl.NEITRONApplication DataMegauploadToolbar
2009-02-16 20:00
d
w c:program filesDrWeb
2009-02-15 18:11
d—h—w c:program filesInstallShield Installation Information
2009-02-14 10:05
d
w c:program filesMicrosoft SQL Server
2008-12-30 16:02
d
w c:documents and settingsAll Users.WINDOWSApplication DataMicrosoft Help
2008-12-11 18:02 4,535,791 —-a-w C:qipinfium9020.exe
2004-03-14 12:07 22,576 —-a-w c:documents and settingsEagle-owl.NARLApplication DataGDIPFONTCACHEV1.DAT
2004-01-28 21:13 1,974 —-a-w c:program filesuninstal.log
2003-08-18 09:00 271 —sh—w c:program filesdesktop.ini
2003-08-18 09:00 21,952 —ha-w c:program filesfolder.htt
2008-09-30 17:36 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012008093020081001index.dat
.((((((((((((((((((((((((((((( SnapShot@2009-02-23_ 0.30.10,39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-17 19:04:34 8,461,824 —-a-w c:windows$hf_mig$KB967715SP3QFEshell32.dll
+ 2008-07-09 07:38:24 17,272 —-a-w c:windows$hf_mig$KB967715spmsg.dll
+ 2008-07-09 07:38:25 231,288 —-a-w c:windows$hf_mig$KB967715spuninst.exe
+ 2008-07-09 07:38:24 26,488 —-a-w c:windows$hf_mig$KB967715updatespcustom.dll
+ 2008-07-09 07:38:29 755,576 —-a-w c:windows$hf_mig$KB967715updateupdate.exe
+ 2008-07-09 07:38:37 382,840 —-a-w c:windows$hf_mig$KB967715updateupdspapi.dll
+ 2005-10-20 17:02:28 163,328 —-a-w c:windowsERDNTsubsERDNT.EXE
+ 2008-06-17 19:02:19 8,461,312 -c—-w c:windowssystem32dllcacheshell32.dll
— 2009-02-22 20:39:21 225,971 —-a-w c:windowssystem32inetsrvMetaBase.bin
+ 2009-02-27 16:20:11 225,970 —-a-w c:windowssystem32inetsrvMetaBase.bin
— 2008-04-14 00:12:05 8,461,312 —-a-w c:windowssystem32shell32.dll
+ 2008-06-17 19:02:19 8,461,312 —-a-w c:windowssystem32shell32.dll
— 2009-02-22 21:15:23 53,248 —-a-w c:windowstempcatchme.dll
+ 2009-02-27 16:20:20 53,248 —-a-w c:windowstempcatchme.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-01-25 3280896][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«DAEMON Tools»=»c:program filesDAEMON Toolsdaemon.exe» [2006-09-14 157592]
«NeroCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«Smapp»=»c:program filesAnalog DevicesSoundMAXSMTray.exe» [2002-11-08 98304]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2006-09-01 282624]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-03-09 7561216]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-03-09 86016]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2007-06-23 4523776]
«Lingvo Launcher»=»c:program filesABBYY Lingvo 12Lvagent.exe» [2006-12-14 258048]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-10-15 39792]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2006-10-26 31016]
«DSLSTATEXE»=»c:program filesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»c:program filesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«SpIDerAgent»=»c:program filesDrWebSpIDerAgent.exe» [2008-12-17 697584]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2008-12-12 627952]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-12-09 197896]
«LTMSG»=»LTMSG.exe» [2003-07-14 c:windowsltmsg.exe]
«nwiz»=»nwiz.exe» [2006-03-09 c:windowssystem32nwiz.exe]
«atwtusb»=»atwtusb.exe» [2005-09-21 c:windowssystem32ATWTUSB.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]c:documents and settingsEagle-owl.NARLStart MenuProgramsStartup
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2003-08-29 110592]
PowerReg SchedulerV2.exe [2003-11-21 256000]c:documents and settingsAll Users.WINDOWSStart MenuProgramsStartup
Acrobat Assistant.lnk — c:program filesAdobeAcrobat 6.0Distillracrotray.exe [2003-10-23 217194]
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2007-05-17 661776]
QuickTV6.lnk — c:program filesAVerTV Hybrid + FM CardbusAVerQT.exe [2005-07-19 507904][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.ACDV»= ACDV.dll
«SENTINEL»= snti386.dll
«msacm.divxa32″= msaud32_divx.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\GROOVE.EXE»=
«c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«c:\Program Files\TrafInsp\TiSvc.exe»=
«c:\Program Files\SiSoftware\SiSoftware Sandra Pro Business XII\Win32\RpcDataSrv.exe»=
«c:\Program Files\SiSoftware\SiSoftware Sandra Pro Business XII\RpcSandraSrv.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=
«c:\Program Files\MSN Messenger\msnmsgr.exe»=
«c:\Program Files\FlylinkDC++r371\FlylinkDC.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«8830:TCP»= 8830:TCP:BitComet 8830 TCP
«8830:UDP»= 8830:UDP:BitComet 8830 UDP[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileIcmpSettings]
«AllowInboundEchoRequest»= 1 (0x1)R0 DwProt;DrWeb Protection;c:windowssystem32driversdwprot.sys [2009-02-15 98168]
R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2009-02-22 28544]
R0 prohlp01;StarForce Protection Helper Driver v1;c:windowssystem32driversprohlp01.sys [2002-11-22 60896]
R1 prodrv05;StarForce Protection Environment Driver v5;c:windowssystem32driversprodrv05.sys [2002-11-22 76704]
R2 DrWebEngine;Dr.Web ® Scanning Engine (DrWebEngine);c:program filesCommon FilesDoctor WebScanning Enginedwengine.exe [2008-10-17 869688]
R2 hl_mull;hl_mull;c:windowssystem32drivershl_mull.sys [2007-05-31 67712]
R2 NVKEYNT;NVKEYNT;c:windowssystem32driversNVKEYNT.SYS [2007-07-28 71616]
R2 stremu;stremu;c:windowssystem32driversstremu.sys [2007-07-28 19968]
R2 SVKP;SVKP;c:windowssystem32SVKP.sys [2007-06-10 2368]
R3 AVerE506;AVerE506 service;c:windowssystem32driversAVerE506.sys [2007-07-21 509312]
R3 ticapdrv;Traffic Inspector network driver;c:windowssystem32driversticap.sys [2007-09-21 104576]
S1 aiptektp;HyperPen;c:windowssystem32driversaiptektp.sys [2007-07-09 22272]
S3 SPIDER;SpIDer Guard File System Monitor;c:progra~1DrWebspider.sys [2008-12-09 268328]
S3 SPIDERNT;SpIDer Guard for Windows;c:progra~1DrWebspidernt.exe [2008-12-09 197896]
S3 TrafInspSrv;Traffic Inspector;c:program filesTrafInspTiSvc.exe [2006-12-25 469504]
.
Contents of the ‘Scheduled Tasks’ folder2009-02-27 c:windowsTasksDr.Web Update.job
— c:program filesDrWeb [2009-02-16 23:00]
.
.
Supplementary Scan
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:8600
IE: &Перевести с помощью ABBYY Lingvo… — c:program filesABBYY Lingvo 12Lingvo.exe/3000
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3Office12EXCEL.EXE/3000
IE: Download all links using BitComet — c:documents and settingsEagle-owl.NEITRONDesktopsoftBitComet_0.88BitComet.exe/AddAllLink.htm
IE: Download all videos using BitComet — c:documents and settingsEagle-owl.NEITRONDesktopsoftBitComet_0.88BitComet.exe/AddVideo.htm
IE: Download link using &BitComet — c:documents and settingsEagle-owl.NEITRONDesktopsoftBitComet_0.88BitComet.exe/AddLink.htm
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
LSP: c:program filesDrWebdrwebsp.dll
TCP: {1B5819B4-8304-4285-9F9E-6098E62C829D} = 80.70.224.2,80.70.224.4
FF — ProfilePath — c:documents and settingsEagle-owl.NEITRONApplication DataMozillaFirefoxProfilesx71oikex.default
FF — prefs.js: browser.search.selectedEngine — Google
FF — prefs.js: network.proxy.http — 127.0.0.1
FF — prefs.js: network.proxy.http_port — 8600
FF — prefs.js: network.proxy.type — 1
FF — plugin: c:program filesMozilla Firefoxpluginsnpdjvu.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 19:20:20
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(1504)
c:program filesDrWebdrwebsp.dll
.
Other Running Processes
.
c:program filesAutodeskData Management Server 2008ServerDispatchConnectivity.WindowsService.JobDispatch.exe
c:windowssystem32inetsrvinetinfo.exe
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:windowssystem32nvsvc32.exe
c:program filesAnalog DevicesSoundMAXSMAgent.exe
c:program filesMicrosoft SQL Server90Sharedsqlbrowser.exe
c:program filesMicrosoft SQL Server90Sharedsqlwriter.exe
c:windowssystem32wscntfy.exe
c:windowssystem32dllhost.exe
c:windowsMicrosoft.NETFrameworkv2.0.50727aspnet_wp.exe
c:program filesInternet Exploreriexplore.exe
.
**************************************************************************
.
Completion time: 2009-02-27 19:35:01 — machine was rebooted
ComboFix-quarantined-files.txt 2009-02-27 16:34:56
ComboFix2.txt 2009-02-22 22:39:54
ComboFix3.txt 2009-02-22 21:33:12Pre-Run: 435 847 168 bytes free
Post-Run: 310,963,712 байт свободно238 — E O F — 2009-02-24 15:53:39
Лог выглядит нормально, только вам нужно так же отредактировать настройки Firefox`а, вирус прописал свой прокси и туда.
Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скавать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
3. Подойдите к защите вашего компьютера более серьёзно.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.
Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать Оперу или Firefox.
4. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
