Топик мой делится на три частиб истори и два вопроса.

С некоторых пор монитор Касперского обнаруживет всяких нехороших троянцев TrojanDownloader, Backdoor.Agent.ay. Селяться они в папку system Restore, откуда легко удаляются при перезагрузки компа. Однако, при подсоединении к сети и часу работы, злецы опят проползают. Решил, что нужно поставит заплатку от микрософта и полазить почитать про этих зверей.
С удивлением обнаружил, что сайт микрософта, а так же viruslist.com (кажется) - вирусная энциклопедия Касперского, даже после перезагрузки. Грузится не хотят.
Система ХР, браузер IE-6. DSL 256 кбс.

1) Что за брешь куда звери ползут?
2) Как предотвратить их проникновение в сложившейся ситуации?

Спасибо, заранее.

Хмм.
1)поставь фаервалл от мелкософта
2) поставь SpywareBlaster 3.2 очень нужная прога на компе. (Включи всю защиту)
3)Поставь программу против ^SpyWare^ и просканируй комп.

Спасибо спайбластер грузиться уже.
Файрвол, если включить ведь ID низкий будет.
Что имеется ввиду постав файр вол. Включить его что-ли в настройках протокола или имеется ввиду закачка чего-то с микросовтовского сайта, к которому у меня нет доступа в данный момент?

Хм. сделал все как было сказано, фиг с ним низким ID пока, но вирус все таки пролазит.

А что, при обычномн скане харда каспом, он не увидит, что сидит в кеше ^IE^?

Они в кеше кажется шифруют себя, касп их там не видит...

Ето проблема Каспа или вообще?

Попорядку

1) Как я понял кеш это, то что лежит в Temporaty Internet Files - замочил всех + cookies

2) У указанная ссылка по поводу левых процкессов не грузится ( как и многие антивирусные сайты, хотя касп пока не сообшил об активности злодея), а из таск менеджера я не могу вычислить какой поцесс левый, это настройка виндов может кто кинет ссылку.

3) Из автозапуска удалил Gain, как это дерьмо туда попало - не знаю.

Можно еще попробовать codestuff.netfirms.com/shots.shtml - это тоже показывает кто и откуда...

siden
Есть очень удобная программа HijackThis - tgo99.free.fr/files/HijackThis.exe
С помощью неё можно просмотреть все процессы в автозагрузке, Browser Helper Objects и т.д. Если буду проблемы с расшифровкой результатов проверки этой прогпраммой, можеш выложить здесь Log, я помогу с расшифровкой.
Также неплохо бы проверить компьютер с помощью программы LSPfix - tgo99.free.fr/files/lspfix.zip на предмет нарушения Winsock.

ТОКО ОН ДОЛЬШОЙ ПОЛУЧИЛСЯ, Я НАДЕЮСЬ ЕСЛИ ЗА ПОСТЮ ТО ПО УШАМ НЕ НАДАЮТ

Logfile of HijackThis v1.98.0
Scan saved at 9:36:42 PM, on 7/16/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
C:\Program Files\ReGetDx\regetdx.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\eMule\emule.exe
c:\progra~1\Support.com\client\bin\tgcmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\Movies\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymanitoba.sympatico.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mymanitoba.sympatico.ca/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [ZTgServerSwitch] c:\program files\support.com\client\lserver\server.vbs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [System Update Process] wmiprvsc.exe
O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait
O4 - HKLM\..\Run: [System Config Manager] smssl.exe
O4 - HKLM\..\Run: [smrtdrv] runtime.exe
O4 - HKLM\..\Run: [Microsoft Update] vibgsxs.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinDNS] windns32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [System Updater Process] wmiprvse.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [System Update Process] wmiprvsc.exe
O4 - HKLM\..\RunServices: [System Config Manager] smssl.exe
O4 - HKLM\..\RunServices: [smrtdrv] runtime.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vibgsxs.exe
O4 - HKLM\..\RunServices: [WinDNS] windns32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [System Updater Process] wmiprvse.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O17 - HKLM\System\CCS\Services\Tcpip\..\{47DB7132-4C9B-4D90-B312-ABD5E29CF76B}: NameServer = 142.161.2.155 142.161.130.155

ЧЕ ЛИШНЕЕ,

siden
Этот процесс в автозагрузке соответствует вирусам SASSER.B и SASSER.C (те самые что компьютер перезагружают).

У меня тоже есть пару вопросов по поводу процессов которые грузятся

Zemlynin
Всё чисто.
Процесс выделенный красным цветом (point32.exe) вроде относится к драйверам Microsoft Intellimouse. У тебя действительно эта мыш?

Да.Это я постоянно забываю про него :)

Andrey23 а как ты узнаёщь, что правильно, а что нет?

astra
Для расшифровки процессов в автозагрузке есть очень полезная программа Start Ups - http://www.pacs-portal.co.uk/startup_pages/start_ups.exe
Для идентификации BHO (Browser Helper Object) и Toolbars есть программа BHOList - http://www.spywareinfo.com/~merijn/files/bholist.zip
На этом сайте можно получить информацию по процессам в автозагрузке и BHO - http://sysinfo.org/
Также есть неплохое реководство по расшифровке показаний HijackThis - http://hometown.aol.co.uk/jrmc137/hjttutorial/tutorial.htm

Ну Андрей, спасибо!

Интересно почему реrомендованное выше Spayware не нашло Gatora?

Так же про касперского, я запускал несколько раз их утилиту CLARV, что удалеет SASSERов, со всеми нужными параметрами - нечего чистить говорит.

Теперь вопросы. Все очевидных злодееев нужно мочить, что делатьс с подозрительными? Удалит ли блокировка процессов в HijackThis вирусы с моего компа?

siden
Лучше удалить с помощью HijackThis, те процессы которые точно принадлежат вирусам, а после перезагрузки удалить заражённые файлы.
Также нужно удалить эти строчки:

Подозрительные процессы мочканул, что осталось поиском нашел и руками удалил.
Активности вырусов не наблюдаетмя последние два дня. Поставил сервис пак пришедший по почте, т.к. до микросовтовского домена я достучатся не могу даже после всего сделаного и установки сервиспака и security updates на февраль 2004. (раздают на халяву в Канаде и Штатах, дотавка бесплатно + еще какой то антивир и файрвол на год дают погонять). Так же не грузился и грузится сайт с вирусной энцеклопедией. http://www.viruslist.com/viruslist.html

Не понятно, что мешает ходить на сайты если все починено?

siden
При таком количестве вирусов проще наверное форматирование жёсткого диска и переустановку Windows сделать.
После установки Windows нужно сразу же, ещё до выхода в интернет установить какой-нибудь фаервол (напимер Kerio) и антивирус, при первом подключении к интернет нужно скачать и установить сервиспак и все критические обновления для WindowsXP.
Если этого не сделать то нахватаеш столько же вирусов уже за несколько первых часов работы в интернете.

Согласен , только гораздо проще просто перед выходом в сеть включить ^XP^-шный фаервол .

Ну кажется действительно проблемы в этом файлк, вот содержимое
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com

Интереснокакой добрый вирус это делает? Что обозначает 127.0.0.1?
И чего с этим фаилом делать?

Заранее спасибо, систему переставлю, как время будет.

Мне кажется тут вся загвоздка. Потому что адрес 127.0.0.1 это так называемый "технический" адрес, по-моему (я не спец) он проверяет может ли твой компьютер вообще посылать какие-либо пакеты информации в сеть. Всё что компьютер делает для этой проверки (если ты напишешь ping 127.0.0.1) это он посылает сам себе этот пакет и смотрит дошёл или нет. То есть как мне кажется, что при попытке зайти на какой-нибудь сайт указанный в hosts, он будет посылать запрос сам себе, блокируя тем самым доступ к этим самым сайтам. (а эти сайты как ты сам заметил производителей антивирусов). Это моё предположение, спецы подтвердят (или опровергнут). :)

siden
Удали все эти адреса из файла Hosts.

А что помогло в конце концов?

1) вирусы и прочие подозрительные процессы были удалены по совту Андрея,
однако сайты не работали поле этого и даже после установки первого сервиспака.
2) Достут к сайтам появился после чистки файла hosts.

a)Теперь просьба, может кто кинет ссылку как настроить Кerio файрвол чтоб у мула был 10 значный ID. Он вроде как высокий но всего знаков.
б)И еще в закладке Intrusions в логе Low priority есть строчки явно относящиеся к недобрым вещам:

"BACKDOOR DEET THROAT 3.1 Connection attempt (3150)"
"BACKDOOR DEET THROAT 3.1 Server response (3150)"

Из этого непонятно, пробрался ли кто-то на комп или это только дыла попытка?

Пардон за ошибки при печати и прочие .. ID сейчас девятизначный.