Этот вирус меня бесит!

knoxvilllle дата: 09-03-2008 - 19:55 [ i ]

Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен

Он просто тупо вырубает мне комп!Итак по порядку. Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System. Так же перед этим или после этого, касперский находит два вируса троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts и троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.). Вот и лог на всякий пожарный

ric1984 дата: 09-03-2008 - 20:15 [ i ]
Профессионал Репутация: 73 Статус: Давай пообщаемся! Свободен	а твой антивирусник, сам не под вирусом. Троян обычно exe файлы поражает. попробуй другой поставь, и проверь.

knoxvilllle дата: 09-03-2008 - 20:23 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Другой это какой?Nod32 к примеру? Поменял своё место гад,теперь обнаружен был здесь троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.

do-do дата: 09-03-2008 - 20:45 [ i ]

Мастер Репутация: 349 Статус: Поболтаем? Свободен

Гм....видно винда то крякнутая :) SRVANY.EXE+resetservice.exe (reset5.dll) (но это нормально) Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts текстовый файл (можешь в него глянуть в блокноте) троянская программа Backdoor.Win32.SdBot.gen Похоже просто Кряк Игрушки Morphine (?) В логе все нормально Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр

Vertigo дата: 09-03-2008 - 20:45 [ i ]
Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат	Вирус W32.Donk. Пофикси это: O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe Сделай повторный лог, проверь на наличие данной записи. Сделай полную проверку антивирусом в безопасном режиме. Можно с LiveCD проверится, как do-do любит.

knoxvilllle дата: 09-03-2008 - 20:54 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Я игры то такой не знаю (Morphine) O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe - пофиксил- исчезла. Пошёл полностью проверятся.

do-do дата: 09-03-2008 - 20:57 [ i ]

Мастер Репутация: 349 Статус: Поболтаем? Свободен

Я еще AVZ люблю :) Гм.. действительно вирь :) прозевал И старый какой :) аж от 2004 года ..и файл hosts калечит :) QUOTE W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей. При запуске W32.Donk.S выполняет следующие действия: 1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe 2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам: • w3.org • geocities.com • freewebpage.org • fortunecity.co.uk • angelfire.com • warez.com • sms.ac • isohunt.com • wincustomize.com • ftp.as.ro • dot.tk • irc.dal.net • irc.undernet.org • hotmail.com • msn.com • google.com • yahoo.com Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам. Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл: 127.0.0.1  www.trendmicro.com                          127.0.0.1  trendmicro.com                              127.0.0.1  rads.mcafee.com                            127.0.0.1  customer.symantec.com                      127.0.0.1  liveupdate.symantec.com                    127.0.0.1  us.mcafee.com                              127.0.0.1  updates.symantec.com                        127.0.0.1  update.symantec.com                        127.0.0.1  www.nai.com                                127.0.0.1  nai.com                                    127.0.0.1  secure.nai.com                              127.0.0.1  dispatch.mcafee.com                        127.0.0.1  download.mcafee.com                        127.0.0.1  www.my-etrust.com                          127.0.0.1  my-etrust.com                              127.0.0.1  mast.mcafee.com                            127.0.0.1  ca.com                                      127.0.0.1  www.ca.com                                  127.0.0.1  networkassociates.com                      127.0.0.1  www.networkassociates.com                  127.0.0.1  avp.com                                    127.0.0.1  www.kaspersky.com                          127.0.0.1  www.avp.com                                127.0.0.1  kaspersky.com                              127.0.0.1  www.f-secure.com                            127.0.0.1  f-secure.com                                127.0.0.1  viruslist.com                              127.0.0.1  www.viruslist.com                          127.0.0.1  liveupdate.symantecliveupdate.com          127.0.0.1  mcafee.com                                  127.0.0.1  www.mcafee.com                              127.0.0.1  sophos.com                                  127.0.0.1  www.sophos.com                              127.0.0.1  symantec.com                                127.0.0.1  securityresponse.symantec.com              127.0.0.1  www.symantec.com 2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя: • SST • database • sql • Root • admin • Guest • home • Administrateur • Verwalter • User • Default • administrator • Administrator Пароли: • 101 • pw • mypass • pw123 • admin123 • 557 • mypc • love • pass • pwd • Login • login • owner • xxx • home • zxcv • yxcv • qwer • secret • asdf • pc • win • temp123 • temp • test123 • test • abc • aaa • a • sex • god • root • administrator • alpha • 007 • 123abc • 0 • 2003 • 2002 • xp • enable • 123asd • super • Internet • computer • server • 123qwe • sybase • oracle • abc123 • abcd • database • passwd • pass • 111 • 54321 • 654321 • 123456789 • 1234567 • 123 • 12 • 1 • Password • Admin • admin • 1234 • 12345 • 12345678 • letmein • qwerty • 7777 • 1111 • asd#321 • 6969 • 123456 • password В случае успеха, червь копирует себя в следующие каталоги на удаленной системе: • C:\Documents and Settings\All Users\Start Menu\Programs\Startup • C:\WINDOWS\Start Menu\Programs\Startup • C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINDOWS\Start Menu\Programs\Startup • \Documents and Settings\All Users\Start Menu\Programs\Startup 3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов: • %Temp%\upd32a.exe • %Temp%\kspd32a.exe • %System%\navinst.exe 4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала. иногда помогают мелкие утилки антивирусные ..например http://us.mcafee.com/virusInfo/default.asp?id=stinger Ксати Почисти файл hosts Оставь только строчку 127.0.0.1 localhost Это сообщение отредактировал do-do - 09-03-2008 - 21:11

knoxvilllle дата: 09-03-2008 - 23:17 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Аргх.... После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?

Vertigo дата: 09-03-2008 - 23:21 [ i ]
Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат	QUOTE После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!) Гхыгс... А чо так? Удалял че-нить во время проверки?

knoxvilllle дата: 09-03-2008 - 23:38 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	во время проверки?да вроде нет.Ничего не нашло.По кодекам ответьте пожалуйста,а то я думал легко найду,а ни фига не подходит что-то.

knoxvilllle дата: 09-03-2008 - 23:44 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Наверное я неправильно выразился.НЕ кодеки,а ДРАЙВЕРА.Ну или на интегрированную нет дров?А то она у меня теперь только пищит...

Vertigo дата: 10-03-2008 - 00:23 [ i ]
Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат	На сайте производителя материнской платы.

knoxvilllle дата: 10-03-2008 - 01:39 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Всё разрешилось.Спасибо.

knoxvilllle дата: 13-03-2008 - 00:29 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Я щас заплачу ... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт. Какой ещё антивирус можно установить чтоб хоть както помогло? вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?

knoxvilllle дата: 13-03-2008 - 00:40 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	И как этим гадам из локальной сети полностью запретить заход на мой компьютер?Т.е. они как бы могут заходить,но не видят никаких расшаренных ресуров и уходят,а могут ведь и нагадить наверное...

дата: 13-03-2008 - 01:09 [ i ]

Unregistered Статус: Свободен

Сразу оговорюсь, что это моё субъективное мнение, но я не доверяю Касперскому и, тем более Нортону. Бывали прцеденты. У меня стоит Avast. Отличная штука. Ловит на входе. И хакерские атаки отражает. Попробуй поставить его. У меня недавно был аналогичный случай. Человек попросил помочь. Стрёх заходов не смог побороть заразу. Тебе надо проверить свой HDD с другого компа. Вирусы не лечи - без оглядки удаляй файлы. Важные файлы забэкапь на всякий случай. Потом попытайся загрузиться у себя на компе. Возможно потребуется восстановление винды. Если всё пройдёт удачно, то поставь AVAST и не отключай его автоматическое обновление. Не экономь на этом трафике - он важен. И проверяй антивирем на входе всё, что пытаешься засунуть в свой комп. Также проверяй скачанные файлы перед запуском и архивы перед распаковкой. И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.

knoxvilllle дата: 13-03-2008 - 18:08 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Кажись этот вирус ещё наглее чем предидущий...Не даёт запуститься никакому setup,за ОЧЕНЬ редким исключением.Кажись всё опять к переустановке идёт,если ничего выжать из лога не удасться...

Vertigo дата: 13-03-2008 - 18:31 [ i ]

Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат

Огромное количество червей. W32/Sdbot-ACK: C:\WINDOWS\System32\libsys32.exe C:\WINDOWS\System32\libsys32.exe Изменения, сделанные им в hosts: O1 - Hosts: 82.146.60.44 postbank.de O1 - Hosts: 82.146.60.44 www.postbank.de O1 - Hosts: 82.146.60.44 banking.postbank.de O1 - Hosts: 82.146.60.44 direkt.postbank.de O1 - Hosts: 82.146.60.44 www.smile.co.uk O1 - Hosts: 82.146.60.44 smile.co.uk O1 - Hosts: 82.146.60.44 cahoot.com O1 - Hosts: 82.146.60.44 www.cahoot.com O1 - Hosts: 82.146.60.44 www.cahoot.co.uk O1 - Hosts: 82.146.60.44 cahoot.co.uk O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk O1 - Hosts: 82.146.60.44 co-operativebank.co.uk O1 - Hosts: 82.146.60.44 www.co-operativebank.com O1 - Hosts: 82.146.60.44 co-operativebank.com O1 - Hosts: 82.146.60.44 personal.barclays.co.uk O1 - Hosts: 82.146.60.44 barclays.co.uk O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk O1 - Hosts: 82.146.60.44 www.barclays.co.uk O1 - Hosts: 82.146.60.44 barclays.touchclarity.com O1 - Hosts: 82.146.60.44 hsbc.co.uk O1 - Hosts: 82.146.60.44 www.hsbc.co.uk O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com O1 - Hosts: 82.146.60.44 lloydstsb.co.uk O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk O1 - Hosts: 82.146.60.44 lloydstsb.com O1 - Hosts: 82.146.60.44 www.lloydstsb.com O1 - Hosts: 82.146.60.44 mi.lloydstsb.com O1 - Hosts: 82.146.60.44 www.woolwich.co.uk O1 - Hosts: 82.146.60.44 woolwich.co.uk O1 - Hosts: 82.146.60.44 www.deutsche-bank.de O1 - Hosts: 82.146.60.44 deutsche-bank.de O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de O1 - Hosts: 82.146.60.44 www.anbusiness.com O1 - Hosts: 82.146.60.44 anbusiness.com O1 - Hosts: 82.146.60.44 www.abbeyinternational.com O1 - Hosts: 82.146.60.44 www.barclays.com O1 - Hosts: 82.146.60.44 barclays.com O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com O1 - Hosts: 82.146.60.44 offshore.hsbc.com NANPY-A WORM: O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe KASSBOT-C WORM: O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe Все тот же SDBOT-ACK WORM: O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe Старый знакомый DONK: O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe Но фиксим только это: O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing) Качаем (), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера. Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.

do-do дата: 13-03-2008 - 18:43 [ i ]
Мастер Репутация: 349 Статус: Поболтаем? Свободен	Блин ..весело живете :) Мне бы хоть одного виря у себя на компе увидать.

knoxvilllle дата: 13-03-2008 - 18:45 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Да где я их подхватить то успел?Два дня прошло после переустановки.На всё выше перечисленное уйдёт какоето время.

knoxvilllle дата: 13-03-2008 - 21:22 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Вообщем вот...

Vertigo дата: 13-03-2008 - 22:40 [ i ]
Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат	Всё отлично. Сейчас в темпе вальса ставь какой-нибудь сетевой экран, например: KIS (тогда KAV удалить), Outpost (только у него проблемы при работе с hostingfailov.com), Comodo и т.д. Антивирус, кстати, сейчас нормально работает? Это сообщение отредактировал Vertigo - 13-03-2008 - 22:51

Vertigo дата: 13-03-2008 - 22:50 [ i ]
Мастер Репутация: 1326 Статус: The easy day was yesterday. Женат	Еще. O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe Если процессор не поддерживает HyperThreading, то это можно убрать, т.к. оно замедляет работу системы. Какой процессор? Это сообщение отредактировал Vertigo - 13-03-2008 - 22:52

knoxvilllle дата: 13-03-2008 - 22:57 [ i ]
Любитель Репутация: 33 Статус: Давай пообщаемся! Свободен	Процессор - athlon 1800 32х(вроде). Установил KIS 7.0 ... Пока всё тихо .

Правда дата: 13-03-2008 - 23:11 [ i ]
Грандмастер Репутация: 2862 Статус: Замужем	К Vertigo:Не стоит ли остановить этот процесс: C:\WINDOWS\system32\svchost.exe -k LocalService Удалённый реестр...