У меня со вчерашнего дня на компе какая-то бяка... в 3 часа дня комп вдруг сильно начал подгружаца... обе аси он-лайн были юзд он эназер компьютер... одну безвозвратно увели, вторую держу пока... Сегодня в 12 дня опять ася была использована на другом компе, и снова я ритривом вернул своего кросавчега, но в добавок к этому, сменился пасс на моем основном мыле,которым больше всего пользуюсь, а на мыле.ру очень мутарно с восстановлением пасса, что меня ваще в канец разозлило... Что делать?((( Я комп прогонял много раз этими штуками: Ad-Aware SE Professional - по нескульку раз удалял бяку, а она все по новой появляеца, причем то же самое... avast! Virus Cleaner Tool - ничего не нашел. CCleaner-ом чистил все много раз. и сейчас сканит систему Ashampoo AntiSpyWare 1.50и уже обнаружил 9 зараженных файлов и это спустя минут 20 после скана эд аварам... Щас еще есть желание качнуть Spyware Terminator 1.6.0.789 beta , но мне кажеца, что это все не поможет... Люди, кто больше понимает в этом, подскажите, плз, как прочистить комп эффективно... очень прошу вас помочь... P.S.Я никак не пойму откуда это все, я вроде как обычно по сети лазил, уже столько времени не было ничего такого, никаких проблем абсолютно, и никакие фаеры и антивири не ставил, а щас атакуют по-страшному Оо
Мм... Очень похоже на троя. У тебя на асях и мыле один и тот же пароль стоял? Что именно определяют на твоем компе проги? А вообще пользуйся нормальными антивирусами, чистильщеки ad-ware не очень справляются с троянами и прочей нечистью. Из антивирусов советую NOD32.
Пароли везде разные были... находил все время ALEKSA в реестре и slimate tools вроде, название второго забыл(
скачай любую тулзу, которая смотрит процессы винды - так ты хотя бы будешь знать, с чем воюешь.. Посмотри в этих ветках реестра отвечающих за автозагрузку программ, если чтонить подозрительное там - удаляй нах (только осторожно)): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Еще обнови антивирь который у тебя стоит, и проведи ПОЛНУЮ проверку системы..(если ничего нормального не стоит, ставь NOD32, Dr.Web) Поставь фаервол, может увидишь куда траф уходит..
кроме формата С ничё нету больше? советую пойти на этот форум http://virusinfo.info/forum.php ВНИМАТЕЛЬНО ознакомиться с правилами http://virusinfo.info/showthread.php?t=1235 и сделать всё в точности как там сказано. логи можно выложить и тут, я гляну, но всё же советую там, оперативней(и профессиональней) работают. или касперского 6, с его проактивной защитой.
Тебя парень просто поломали! Мой тебе совет: Заново переустанови систему и внимательно прочитай что я написал ниже. Удачи! 1.Допустим вставил ты диск в дисковод, автоматически запустился диск, а там - вирус. Чтобы этого не произошло, нужно пройти по следующему адресу в реестре - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom, и параметру AutoRun присвоить значение 0. Для редактирования реестра нужно запустить программу RegEdit, которая запускается так: Пуск - Выполнить - regedit. 2.Достаточно часто в операционных системах Windows находятся ошибки и критические огрехи в безопасности, исправить которые следует сразу же после выхода патча. 3. Отключение ненужных сервисов В Windows XP огромное количество ненужных служб, запускающихся автоматически, что не отключить их - грех. Обеспечение безопасности операционной системы включает отключение ненужных сервисов. Для этого пройди по пути Панель управления - Администрирование - Службы. Напомню, как работать со службами. Кликнув на одну из них, перед собой вы увидите окно с четырьмя закладками: Внимание: прежде чем начать резкое удаление ненужных служб, я советую сохранить первоначальные настройки, чтобы избежать возможных конфликтов. Для этого нужно пройти по HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviсes и кликнув правой кнопкой, выбрать пункт "Экспортировать". Далее сохраняем данные в *.reg-файл. Служба удаленного управления реестром (Remote Registry Service) - позволяет удаленно управлять системным реестром. Если служба остановлена, то редактировать реестр может только локальный пользователь.Отключаешь. Служба сообщений (Messenger) - данная служба позволяет получать и отправлять сообщения. Часто используется для розыгрышей и спама. Отключаешь. Служба терминалов (Terminal Service) - одной из функций службы является предоставление услуг Remote Desktop. Данный сервис не является безопасным.Отключаешь. NetMeeting Remote Desktop Sharing - служба позволяет определенным пользователям получать доступ к рабочему столу Windows. Давно ты пользовалась Windows NetMeeting? И пользовалась ли вообще? =) Отключаешь. Telnet - позволяет удаленным пользователям работать с машиной по протоколу Telnet. Если вы не пользуетесь данными услугами, отключение произойдет незаметно.Отключаешь. 4. Установка фаервола Согласно статистике, большинство злоумышленников, существующих в сети, ломают не определенные системы, а путем сканирования выявляют слабые точки и делают свои "грязные" дела. Чтобы не стать их жертвой, обязательно нужно установить брандмауэр. В комплекте с XP идет встроенный х...фаервол, он не отвечает тем требованиям, которые предъявляются хорошим программным продуктам. Основываясь на своем опыте, я советую остановить свой выбор либо на Outpost Firewall Free от Agnitum Limited, либо на Zone Labs' ZoneAlarm. По своей функциональности - это очень хорошие продукты. 5.Еще одна особенность Windows XP - появление папки Shared Documents (Общие документы). Перемещаем в папку любой файл, и он доступен по сети. Для безопасности воспользуйся услугами редактора системного реестра. Пройди сюда - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MyComputer\ NameSpace\ DelegateFolders\ {59031a47-3f72-44a7-89c5-5595fe6b30ee}, удали этот раздел реестра, после чего папка станет недоступна. 6.В системе присутствует протокол под названием NetBIOS, который также следует удалить от греха подальше. Суть протокола заключается в том, что он предоставляет удаленный доступ к файлам и папкам и может раскрыть нежелательную информацию о компьютере. В свойствах используемого соединения, во вкладке "свойства протокола TCP/IP" -> "дополнительно" выбираешь пункт "отключить NetBIOS через TCP/IP". Там же убираешь галочку напротив сервиса "Доступ к файлам и принтерам сети Microsoft". 7.Часто пользователи персональных компьютеров не интересуются тем, какие программные продукты стартуют при загрузке системы. Этим фактом и пользуются злоумышленники, подсаживая трояны и прочую нечисть в автозагрузку. Поэтому хотя бы раз в неделю запускай msconfig (Пуск-Выполнить), чтобы проверить, какие утилиты загружаются при старте. Помимо автозагрузки, вирусописатели любят засовывать старт своих детищ в следующие ветки реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run. Поэтому проводи мониторинг данных ветвей на предмет новых записей хотя бы раз в неделю. А можно для этого использовать программный продукт, такой как RegMon. 8.Удали неиспользуемые аккаунты. Microsoft, помимо стандартных записей, успела запихать "секретные" учетные записи по типу SUPPORT_586975a0, которая предназначена для получения удаленной помощи от службы технической поддержки. И именно поэтому иди по направлению к Панель Управления - Администрирование - Управление компьютером - Локальные пользователи и группы - Пользователи и удаляй всех не нужных. 9. Используй альтернативный браузер типа Avant, Opera,Maxton вместо IE. Ослик как браузер очень ненадежен и получить доступ к системе или обрушить ее, через баги достаточно просто. (Лучше Maxtona я пока еще не чего не встречал). 10. Установка антивируса, антиспайуора, кейлогера. 11. Создание шифрованного диска с 256 битным ключом шифрования или выше, для секретных материалов. 12. Создание пароля входа в систему. 13.При настройке локальной сети для выхода в инет через твой выделенный комп обязательно используй маршрутизатор и промежуточный фаервол которые предварительно настрой по внутреннему IP. 14.МОЖЕШЬ РАСЛАБИТЬСЯ И ЧУСТВОВАТЬ СЕБЯ КАК В ТАНКЕ. =
Спасибо большое Кырцу за инструкции)) .... Logfile of HijackThis v1.99.1 Scan saved at 11:02:13, on 30.11.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe C:\WINDOWS\asuskbservice.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\Program Files\Common Files\Acronis\Служба защиты\psh_svc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Razer\Copperhead\razerhid.exe C:\Program Files\DU Meter\DUMeter.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\Program Files\CursorXP\CursorXP.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Razer\Copperhead\razertra.exe C:\Program Files\FastStone Capture\FSCapture.exe C:\Program Files\Razer\Copperhead\razerofa.exe C:\Program Files\Trojan Guarder Gold Version\Trojan Guarder.exe C:\Downloads\4q3\files\Q3E Minimizer.exe C:\Sierra\steam.exe C:\Program Files\iTunes\iTunes.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\MYiE2 RU\MyIE.exe C:\WINDOWS\regedit.exe C:\Program Files\Download Master\dmaster.exe C:\Program Files\WinRAR\WinRAR.exe C:\Documents and Settings\1\Рабочий стол\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.227.0.153:3128 O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dumps_startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe O4 - Startup: Magent.lnk = C:\Program Files\Mail.Ru\Agent\Magent.exe O4 - Startup: Q3E Minimizer.lnk = C:\Downloads\4q3\files\Q3E Minimizer.exe O4 - Startup: steam.lnk = C:\Sierra\steam.exe O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files\Trojan Guarder Gold Version\Trojan Guarder.exe O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2228dbb2fd7fc2055f21/netzip/RdxIE601.cab O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Служба защиты\psh_svc.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe P.S. Я вроде бы избавился от проблемы уже, но вот на всякий случай все-таки...
