Новая тема   Ответить

 Mustafa
Эта бяка похерила аутпост, постоянно ломится в инет через ие.
Ad-aware ничего не находит.
Надеюсь на дельные советы.

 Монах
SpywareRemover.exe - попробуй, простенькую но в то же время замечаьтельную прогу, автор походу местный, меня выручала неоднократно. Пинг ми бай ICQ! Дам линк.

Thx, Xen! ;)

 Юнга
DrWeb не подводил. И саппорт у него быстрый - на тему новых гадостей.

 Sem2


Последний раз редактировалось: Sem2 (03/12/10 в 04:54), всего редактировалось 1 раз

 Mustafa
SpywareRemover находит те процессы которые я подозревал, но не лечит. Сейчас вручную все убиваю и чищу реестр.

Откатить систему не получится, тк вин2к.

 Desperate Andy
А HiJackThis пускал чтобы глянуть лог и найти где конкретно бяка сидит?

Кстати лечить и чистить лучше из безопасного режима.

 Монах
Странно, что не лечит. У него методы деревянные но соотв. действенные , как мне показалось.

Недавно просто сам столкнулся с подобной проблемой.

Понадобился помимо проги Ксена, еще unlocker1.8.5.
После того как пробили мой любимый НОД который сообщил мне, что вирус щимится но... короче слажал и файлы экспа у меня на компе все таки оказались.

Даже Диспетчер задач не давало запустить, писало типа - Заблокировано Админом.

 Mustafa
Вроде почистил, переустановил фаервол. Поглядим что дальше будет.
Всем спасибо.

 Angry Bull
касперский анти-хакер как фаервол хорош.

 Adreu
Юнга писал:

не будь в нем так уверен. проверено - может подвести в самый неподходящий момент.

 localhost
скачай себе AVZ4 (бесплатное)
оно умеет вычислять руткитов и проводить эвристический анализ.
не панацея против троянов, но очень помогает в критических ситуациях. есть полезная опция - блочить нах все на момент проверки (включая виндовые сервисы).

 Mustafa
Вот что AVZ выдал:

1. Поиск RootKit и программ, перехватывающих функции API
>>>> Возможно маскировка имени исполняемого файла 2100 apachemonitor.exe, реальное имя - ApacheMonitor.e
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (73) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (77) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (78) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (89) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (775) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (46) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (53) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (106) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (182) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (251) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (281) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendThread (287) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (290) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (306) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (752) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (827) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (896) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (926) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendThread (932) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (935) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (951) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (22) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (29) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (30) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (101) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (102) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (115) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (116) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (191) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (214) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (217) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (218) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (484) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (485) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (536) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (537) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (538) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (539) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (540) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (541) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (542) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (543) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (544) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (565) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (604) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (609) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (616) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (617) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

 Xen
Раз уж меня тут проспамили, поясню несколько моментов.

Товарищ localhost уже не в первый раз советует AVZ в качестве средства лечения. Программа на самом деле неплохая, однако надо учитывать следующие вещи:

1. Это скорее инструмент для админа/программиста, нежели для рядового пользователя. Вот Mustafa привел пример лога, и что с того? На этом форуме относительно немного людей, которые поймут, что в нем к чему, и то не до конца ;)

2. У AVZ есть специальный форум поддержки, было бы логичнее обратиться именно туда.

3. Как было подмечено, программулина эта вовсе не панацея... скорее наоборот, способна внушить ложное чувство защищенности. Поставьте современный антивирус, того же Касперского, в нем давно есть весь необходмый рядовому юзеру функционал AVZ, толку будет больше.

 Adreu
Xen дело говорит. Когда у меня был Др.Веб то его прога реально помогла (еще раз могу поблагодарить ). После перехода на каспера вопросов пока не возникало. тьфу-тьфу-тьфу.

 Mustafa
Объясните мне такую вещь:
Касперский реально лечит подобные вещи? Или только находит\удаляет зареженные файлы? Или вообще его только как средство предупреждения\мониторинга пользовать можно?

Хрень эта ломилась на айпи 209.167.111.110, поиском по нему вычитал что это Win32.Agent.awf

 Adreu
лечит только то что вылечить можно, а в принципе просто не пропустит г... к тебе на комп, то есть в итоге не лечить не удалять ничего не придется.

 Lastы
Недавно антивирусом avast нашел столько говна, но самое смешное касперски с последними базами ничего ровным счетом не увидел.
avast бесплатный, ключ можно получить на сайте. Там встроенный фаирвалл и другие навороты, не грузит систему.