|
Printable Version of Topic
Click here to view this topic in its original format |
| Forums > Глюкодром > Не грузятся некоторые сайты, Последствия вирусов? |
| Posted by: siden on 12-07-2004, 07:16 |
|
Топик мой делится на три частиб истори и два вопроса. С некоторых пор монитор Касперского обнаруживет всяких нехороших троянцев TrojanDownloader, Backdoor.Agent.ay. Селяться они в папку system Restore, откуда легко удаляются при перезагрузки компа. Однако, при подсоединении к сети и часу работы, злецы опят проползают. Решил, что нужно поставит заплатку от микрософта и полазить почитать про этих зверей. С удивлением обнаружил, что сайт микрософта, а так же viruslist.com (кажется) - вирусная энциклопедия Касперского, даже после перезагрузки. Грузится не хотят. Система ХР, браузер IE-6. DSL 256 кбс. 1) Что за брешь куда звери ползут? 2) Как предотвратить их проникновение в сложившейся ситуации? Спасибо, заранее. |
| Posted by: Zemlynin on 12-07-2004, 17:03 |
|
Хмм. 1)поставь фаервалл от мелкософта 2) поставь SpywareBlaster 3.2 (http://www.javacoolsoftware.com/sbdownload.html очень нужная прога на компе. (Включи всю защиту) 3)Поставь программу против ^SpyWare^ и просканируй комп. |
| Posted by: siden on 13-07-2004, 06:54 |
|
Спасибо спайбластер грузиться уже. Файрвол, если включить ведь ID низкий будет. Что имеется ввиду постав файр вол. Включить его что-ли в настройках протокола или имеется ввиду закачка чего-то с микросовтовского сайта, к которому у меня нет доступа в данный момент? |
| Posted by: Zemlynin on 13-07-2004, 11:46 | ||
Настрой на порты емула и небудет у тебя ^low ID^ |
| Posted by: siden on 14-07-2004, 06:55 |
| Хм. сделал все как было сказано, фиг с ним низким ID пока, но вирус все таки пролазит. |
| Posted by: LF_ on 14-07-2004, 07:02 | ||
Они у тебя в ИЕ кеше сидят - в темп файлах... Поэтому когда ты с ИЕ ходишь - есть вероятность их поднять из кеша, поэтому ты этот кеш удали... Потом посмотри, кто у тебя стоит в автозапуске в регистре - посмотреть мона скажем anvir.com/index_ru.htm (http://anvir.com/index_ru.htm, покиляй все левые процессы либо анвиром либо таск манагером, потом поотключай все левые прилады из автозапуска (будут, наверное, в систем32 писать себя), потом уже перегружайся и добивай их Касперским... |
| Posted by: astra on 14-07-2004, 12:18 |
| А что, при обычномн скане харда каспом, он не увидит, что сидит в кеше ^IE^? |
| Posted by: LF_ on 14-07-2004, 17:34 |
| Они в кеше кажется шифруют себя, касп их там не видит... |
| Posted by: astra on 14-07-2004, 17:38 |
| Ето проблема Каспа или вообще? |
| Posted by: siden on 15-07-2004, 06:20 |
|
Попорядку 1) Как я понял кеш это, то что лежит в Temporaty Internet Files - замочил всех + cookies 2) У указанная ссылка по поводу левых процкессов не грузится ( как и многие антивирусные сайты, хотя касп пока не сообшил об активности злодея), а из таск менеджера я не могу вычислить какой поцесс левый, это настройка виндов может кто кинет ссылку. 3) Из автозапуска удалил Gain, как это дерьмо туда попало - не знаю. |
| Posted by: LF_ on 15-07-2004, 16:51 |
| Можно еще попробовать codestuff.netfirms.com/shots.shtml (http://codestuff.netfirms.com/shots.shtml - это тоже показывает кто и откуда... |
| Posted by: Andrey23 on 15-07-2004, 17:35 |
|
siden Есть очень удобная программа HijackThis - tgo99.free.fr/files/HijackThis.exe (http://tgo99.free.fr/files/HijackThis.exe С помощью неё можно просмотреть все процессы в автозагрузке, Browser Helper Objects и т.д. Если буду проблемы с расшифровкой результатов проверки этой прогпраммой, можеш выложить здесь Log, я помогу с расшифровкой. Также неплохо бы проверить компьютер с помощью программы LSPfix - tgo99.free.fr/files/lspfix.zip (http://tgo99.free.fr/files/lspfix.zip на предмет нарушения Winsock. |
| Posted by: siden on 17-07-2004, 05:48 |
|
ТОКО ОН ДОЛЬШОЙ ПОЛУЧИЛСЯ, Я НАДЕЮСЬ ЕСЛИ ЗА ПОСТЮ ТО ПО УШАМ НЕ НАДАЮТ Logfile of HijackThis v1.98.0 Scan saved at 9:36:42 PM, on 7/16/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\WScript.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe C:\Program Files\Common Files\CMEII\CMESys.exe C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe C:\Program Files\ReGetDx\regetdx.exe C:\Program Files\Common Files\GMT\GMT.exe C:\Program Files\eMule\emule.exe c:\progra~1\Support.com\client\bin\tgcmd.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe D:\Movies\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymanitoba.sympatico.ca/ (http://www.mymanitoba.sympatico.ca/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople (http://www.sony.com/vaiopeople R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mymanitoba.sympatico.ca/ (http://www.mymanitoba.sympatico.ca/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [ZTgServerSwitch] c:\program files\support.com\client\lserver\server.vbs O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [System Update Process] wmiprvsc.exe O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait O4 - HKLM\..\Run: [System Config Manager] smssl.exe O4 - HKLM\..\Run: [smrtdrv] runtime.exe O4 - HKLM\..\Run: [Microsoft Update] vibgsxs.exe O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe" O4 - HKLM\..\Run: [WinDNS] windns32.exe O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\Run: [System Updater Process] wmiprvse.exe O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe" /STARTUP O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [System Update Process] wmiprvsc.exe O4 - HKLM\..\RunServices: [System Config Manager] smssl.exe O4 - HKLM\..\RunServices: [smrtdrv] runtime.exe O4 - HKLM\..\RunServices: [Microsoft Update] vibgsxs.exe O4 - HKLM\..\RunServices: [WinDNS] windns32.exe O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [System Updater Process] wmiprvse.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople O17 - HKLM\System\CCS\Services\Tcpip\..\{47DB7132-4C9B-4D90-B312-ABD5E29CF76B}: NameServer = 142.161.2.155 142.161.130.155 ЧЕ ЛИШНЕЕ, |
| Posted by: Andrey23 on 17-07-2004, 10:47 | ||||||
|
siden Этот процесс в автозагрузке соответствует вирусам SASSER.B и SASSER.C (те самые что компьютер перезагружают).
Это Gator (spyware):
Опять какието странные процессы:
|
| Posted by: Zemlynin on 17-07-2004, 12:06 | ||
У меня тоже есть пару вопросов по поводу процессов которые грузятся
Всё ли нормально ? |
| Posted by: Andrey23 on 17-07-2004, 12:59 |
|
Zemlynin Всё чисто. Процесс выделенный красным цветом (point32.exe) вроде относится к драйверам Microsoft Intellimouse. У тебя действительно эта мыш? |
| Posted by: Zemlynin on 17-07-2004, 13:01 |
|
Да.Это я постоянно забываю про него
|
| Posted by: astra on 17-07-2004, 15:12 |
| Andrey23 а как ты узнаёщь, что правильно, а что нет? |
| Posted by: Andrey23 on 17-07-2004, 16:02 |
|
astra Для расшифровки процессов в автозагрузке есть очень полезная программа Start Ups - http://www.pacs-portal.co.uk/startup_pages/start_ups.exe (http://www.pacs-portal.co.uk/startup_pages/start_ups.exe Для идентификации BHO (Browser Helper Object) и Toolbars есть программа BHOList - http://www.spywareinfo.com/~merijn/files/bholist.zip (http://www.spywareinfo.com/~merijn/files/bholist.zip На этом сайте можно получить информацию по процессам в автозагрузке и BHO - http://sysinfo.org/ (http://sysinfo.org/ Также есть неплохое реководство по расшифровке показаний HijackThis - http://hometown.aol.co.uk/jrmc137/hjttutorial/tutorial.htm (http://hometown.aol.co.uk/jrmc137/hjttutorial/tutorial.htm |
| Posted by: siden on 18-07-2004, 18:53 |
|
Ну Андрей, спасибо! Интересно почему реrомендованное выше Spayware не нашло Gatora? Так же про касперского, я запускал несколько раз их утилиту CLARV, что удалеет SASSERов, со всеми нужными параметрами - нечего чистить говорит. Теперь вопросы. Все очевидных злодееев нужно мочить, что делатьс с подозрительными? Удалит ли блокировка процессов в HijackThis вирусы с моего компа? |
| Posted by: Zemlynin on 18-07-2004, 21:00 | ||
То что я рекомендовал,это программа для того что бы Spayware несмогли проникнуть на твой комп.А для чистки есть совершенно друге программы. |
| Posted by: Andrey23 on 18-07-2004, 22:09 | ||
|
siden Лучше удалить с помощью HijackThis, те процессы которые точно принадлежат вирусам, а после перезагрузки удалить заражённые файлы. Также нужно удалить эти строчки:
Если это не поможет то нужно удалить и остальные подозрительные процессы. Обязательно нужно установить ServicePack1 и все критические обновления для Windows. Иначе вирусы снова пролезут. |
| Posted by: siden on 19-07-2004, 07:06 |
|
Подозрительные процессы мочканул, что осталось поиском нашел и руками удалил. Активности вырусов не наблюдаетмя последние два дня. Поставил сервис пак пришедший по почте, т.к. до микросовтовского домена я достучатся не могу даже после всего сделаного и установки сервиспака и security updates на февраль 2004. (раздают на халяву в Канаде и Штатах, дотавка бесплатно + еще какой то антивир и файрвол на год дают погонять). Так же не грузился и грузится сайт с вирусной энцеклопедией. http://www.viruslist.com/viruslist.html (http://www.viruslist.com/viruslist.html Не понятно, что мешает ходить на сайты если все починено? |
| Posted by: Andrey23 on 19-07-2004, 11:39 |
|
siden При таком количестве вирусов проще наверное форматирование жёсткого диска и переустановку Windows сделать. После установки Windows нужно сразу же, ещё до выхода в интернет установить какой-нибудь фаервол (напимер Kerio) и антивирус, при первом подключении к интернет нужно скачать и установить сервиспак и все критические обновления для WindowsXP. Если этого не сделать то нахватаеш столько же вирусов уже за несколько первых часов работы в интернете. |
| Posted by: Lord KiRon on 19-07-2004, 13:14 |
| Согласен , только гораздо проще просто перед выходом в сеть включить ^XP^-шный фаервол . |
| Posted by: Checker on 20-07-2004, 15:54 | ||
проверь файл hosts |
| Posted by: siden on 22-07-2004, 06:30 |
|
Ну кажется действительно проблемы в этом файлк, вот содержимое 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com Интереснокакой добрый вирус это делает? Что обозначает 127.0.0.1? И чего с этим фаилом делать? Заранее спасибо, систему переставлю, как время будет. |
| Posted by: DetecDivx on 22-07-2004, 09:37 |
|
Мне кажется тут вся загвоздка. Потому что адрес 127.0.0.1 это так называемый "технический" адрес, по-моему (я не спец) он проверяет может ли твой компьютер вообще посылать какие-либо пакеты информации в сеть. Всё что компьютер делает для этой проверки (если ты напишешь ping 127.0.0.1) это он посылает сам себе этот пакет и смотрит дошёл или нет. То есть как мне кажется, что при попытке зайти на какой-нибудь сайт указанный в hosts, он будет посылать запрос сам себе, блокируя тем самым доступ к этим самым сайтам. (а эти сайты как ты сам заметил производителей антивирусов). Это моё предположение, спецы подтвердят (или опровергнут).
|
| Posted by: Andrey23 on 22-07-2004, 10:43 |
|
siden Удали все эти адреса из файла Hosts. |
| Posted by: astra on 24-07-2004, 19:59 |
| А что помогло в конце концов? |
| Posted by: siden on 25-07-2004, 06:47 |
|
1) вирусы и прочие подозрительные процессы были удалены по совту Андрея, однако сайты не работали поле этого и даже после установки первого сервиспака. 2) Достут к сайтам появился после чистки файла hosts. a)Теперь просьба, может кто кинет ссылку как настроить Кerio файрвол чтоб у мула был 10 значный ID. Он вроде как высокий но всего знаков. б)И еще в закладке Intrusions в логе Low priority есть строчки явно относящиеся к недобрым вещам: "BACKDOOR DEET THROAT 3.1 Connection attempt (3150)" "BACKDOOR DEET THROAT 3.1 Server response (3150)" Из этого непонятно, пробрался ли кто-то на комп или это только дыла попытка? |
| Posted by: siden on 25-07-2004, 06:50 |
| Пардон за ошибки при печати и прочие .. ID сейчас девятизначный. |