Вроде вирус я словил, папки превратились в exe

[Osman]

Osman, запость лог hijackthis2 (см. мой мсг выше) - может хоть станет ясно что у тебя за трабл и как его пофиксить +)

Мож так пройдет?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:26:02, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Download Master\dmaster.exe
F:\Downloads\Программы\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.rmmedia.ru/index.php?showforum=6
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=explorer.exe "C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe"
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SuNotification] C:\Program Files\ShadowStor\ShadowUser\suatshut.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_013] rebuild.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O4 - Global Startup: MFWAKeys.lnk = C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ShadowUser Pro Edition.lnk = C:\Program Files\ShadowStor\ShadowUser\ShadowUser.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6846 bytes

 

[Aldanor]

Запускай HiJackThis, жми "System scan only", потом отметь галкой эту строчку:

F2 - REG:system.ini: Shell=explorer.exe "C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe"

Жми "Fix checked".

Ctrl-Shift-Esc -> убей процесс services.exe

Start -> Run.. -> cmd
del C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe

Ребутнись.

Потом проверь C:\WINDOWS\system.ini - если там есть строчка про этот файл - ее тоже убей.

Для надежности - можешь в Internet Explorer -> Tools -> Options удалить все временные файлы.

 

[Osman]

А ниче хуже не будет?
Спасибо!

 

[Aldanor]

Не будет, это точно вирус, вопрос только - тот ли самый вирус, из-за которого траблы с шеллом По идее, все должно разрулиться.

 

[Osman]

Спасибо попробую!

 

[Aldanor]

Отпишись как все сделаешь Если комп еще будет работать :hang2:

 

[Osman]

Запускай HiJackThis, жми "System scan only", потом отметь галкой эту строчку:

Жми "Fix checked".

Ctrl-Shift-Esc -> убей процесс services.exe

Start -> Run.. -> cmd
del C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe

Ребутнись.

Потом проверь C:\WINDOWS\system.ini - если там есть строчка про этот файл - ее тоже убей.

Для надежности - можешь в Internet Explorer -> Tools -> Options удалить все временные файлы.

Пишет что это критический системный и что не может убить при нажатии ctrl shift esc

У МЕНЯ НА СТОЛЕ ЯРЛЫК ОСТАВАЛСЯ НА ИСЧЕЗНУВШУЮ ПАПКУ-НАЖАЛ- ПАПКА ОТКРЫЛАСЬ, а как открыть например папку F\Rab. простите за саааавсем глупый вопрос!

 

[Aldanor]

В HiJackThis пофиксил все? Ребутнись! Тогда сможешь удалить этот файл, т.к. он в автозапуске уже не будет.

Открыть папку - Start -> Run -> "F:\Rab\"

 

[Osman]

Start -> Run.. -> cmd
del C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe

тоже не прошел, я правда печатал вручную и эту закорючку ~ не нашел, нажал на которую прям над табом, а она не всередине буквы!
Смешно да:laugh2::laugh2:

 

[Aldanor]

Start -> Run.. -> cmd
del C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe

тоже не прошел, я правда печатал вручную и эту закорючку ~ не нашел, нажал на которую прям над табом, а она не всередине буквы!
Смешно да:laugh2::laugh2:

естественно не пройдет пока прога запущена) в том и смысл - убить ее из авторана с помощью hijackthis, потом ребутнуться и удалить

кстати - из списка процессов ты возможно не то пытался удалить - т.к. там есть еще системный процесс, который тоже называется services.exe =)

 

[Shwily]

чувак!!! рецепт почти один, это проверено тысячи раз...

1. открываешь Тотал командер (в нём должен быть включен просмотр системных и скрытых файлов обязательно), смотришь на каждом диске(кроме С - его не трогае и не заходим туда вообще) в корне и удаляешь файлы типа *.ini *.inf *.sys, любой autorun и всё, всё что тебе 6не нужно и не знакомо.
обязательно сканируешь всё антивирусом и удаляешь нафик, потому что практика показывает что файлы не лечаться и потом всёравно косяки вылазят.

потом не входя на диск С и не запуская больше ничего ресетом перегружаеш комп и сразу досом форматируешь диск С и ставишь новую винду.
Скорее всего папки прийдётся потом переименовать, я уже не помню, но помому кадато такое было или видел у кого-то.

вот щас самый распостранёный флешечный вирус, почитай как вообще надо избегать заражений... и тип вышибания(у тебя то не такой вирус, но из родни)
http://www.gcmsite.ru/?pg=art&id=delete-trojan-copyself
и даже есливышибеш, то всёравно система уже покоцаная, надо менять.
не трать время, переставляйся.

не трать время поиски, ничего не выйдет!!!!

 

[Osman]

естественно не пройдет пока прога запущена) в том и смысл - убить ее из авторана с помощью hijackthis, потом ребутнуться и удалить

кстати - из списка процессов ты возможно не то пытался удалить - т.к. там есть еще системный процесс, который тоже называется services.exe =)

пробовал оба!

 

[Aldanor]

После ребута оба процесса остаются запущены? В HiJackThis этой строчке при скане больше нет? F2 - REG:system.ini: Shell=explorer.exe "C:\DOCUME~1\9335~1\LOCALS~1\Temp\services.exe "

 

[andmat]

Я бы порекомендовал загрузиться в безопасном режиме - перед запуском Винды нажать F8 - затем выбрать вариант загрузки "Безопасный режим" (или как оно там по-русски), и в нем удалить вирус и просканить антивирусом.

 

[Aldanor]

Я бы порекомендовал загрузиться в безопасном режиме - перед запуском Винды нажать F8 - затем выбрать вариант загрузки "Безопасный режим" (или как оно там по-русски), и в нем удалить вирус и просканить антивирусом. Кстати, в Висте есть такой режим?

Угу, можно и так. HiJackThis в сейф моуде тоже кстати работает.

 

[Корвин Амберский]

эту закорючку ~ не нашел,

Так сокращенно обозначаются системные пути. Соответствует пути C:\Documents and Settings\<Имя_пользователя_под_которым_ты_входишь>\Local Settings\Temp\services.exe

Но знаешь, аффтор... Не в обиду тебе будет сказано, но с твоими познаниями действительно, лучше не мучать комп хрен знает чем, а целиком переустановить винду, с форматированием диска C:, ибо простым убиванием указанного процесса систему от вируса не избавишь, вредоносный код прописался в реестр. Если есть очень важные данные на том диске, сохрани их на DVD-R-ке, потом просканируешь антивирусником со свежими базами.

Кстати, все-таки это не VBS.Small, это что-то другое, но не суть важно.

В принципе, можешь попробовать убрать из системного реестра вредоносную загрузочную запись, если сможешь разобраться.
Короче говоря, Пуск->Выполнить, пишешь regedit , слева в дереве ищешь путь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], далее справа ищешь строчку Userinit и смотришь, чтоб запись там была такая: C:\WINDOWS\system32\userinit.exe,
Если после userinit.exe, стоит еще что-то, то дважды щелкаешь на Userinit, который в столбце и в открывшемся окошке удаляешь лишнее.

 

[Aldanor]

ибо простым убиванием указанного процесса систему от вируса не избавишь, вредоносный код прописался в реестр

См. выше. В реестр прописывается интеграция в шелл при стартапе - это палит HJT (или SysInternals) и это легко чистится, без необходимости лезть в регедит. После этого остается просто почистить \Temp у все, что вирус наплодил.

 

[Osman]

чувак!!! рецепт почти один, это проверено тысячи раз...

1. открываешь Тотал командер (в нём должен быть включен просмотр системных и скрытых файлов обязательно), смотришь на каждом диске(кроме С - его не трогае и не заходим туда вообще) в корне и удаляешь файлы типа *.ini *.inf *.sys, любой autorun и всё, всё что тебе 6не нужно и не знакомо.
обязательно сканируешь всё антивирусом и удаляешь нафик, потому что практика показывает что файлы не лечаться и потом всёравно косяки вылазят.

потом не входя на диск С и не запуская больше ничего ресетом перегружаеш комп и сразу досом форматируешь диск С и ставишь новую винду.
Скорее всего папки прийдётся потом переименовать, я уже не помню, но помому кадато такое было или видел у кого-то.

вот щас самый распостранёный флешечный вирус, почитай как вообще надо избегать заражений... и тип вышибания(у тебя то не такой вирус, но из родни)
http://www.gcmsite.ru/?pg=art&id=delete-trojan-copyself
и даже есливышибеш, то всёравно система уже покоцаная, надо менять.
не трать время, переставляйся.

не трать время поиски, ничего не выйдет!!!!

Фффуу, вроде убил:drinks: Помог тотал, включил показ системных файлов, он и показал, что папки на месте-но стали системными, а рядышком точ такие же по названию экзешки размером 37кб, а также на кажном диске где открывал папки дабл кликами по три авторуна. Снес экзешники, снес авторуны, открыл новые папки перенес в них содержимое зараженных папок, удалил зараженные, переименовал новые папки по старому, каспером 7 прошел, еще несколько троянов удалил, восстановил систему акронисом, работает! Так как кнопка спасиба во флейме отсутствует, отсюда ОГРОМНОЕ СПАСИБО ВСЕМ ОТКЛИКНУВШИМСЯ!

 

[ad4]

exeшные файлы просто шифруются под папки, иконка у них такая!

 

[CakeWorker]

Словил и я autorun.inf! На буку...
Подключил внешний жестяк под инетом и касперсикй заорал... Стал им проверять: всё, что описал Корвин Амберский в #18 (спасибо ему) совпало!
Срочняком восстановил систему из Призрака, проверил каспером - чисто. Дабы убедиться, что дело во внешнем жестяке, подключил его - опять каспер заорал. Прибил партицию на нём, создал заново, отформатировал (благо, копии всего есть в других местах), и снова восстановил ОС из образа. Проверил снова все потенциальные точки: на 2м разделе системного диска буки нашёл скрытый autorun.inf - грохнул его вручную. Проверил каспером временную папку инет-кеша - чисто...
Аж пульс зачастил...

Жестяк сей ходит от компа к компу. Но, к счастью, на других чисто. Видимо, заражение прошло тока что...

 

[IvanbI4]

Словил и я autorun.inf!...

Сорри если боян.
Вот утилька для полного уничтожения autorun на РС.

 

[corpuscull]

советую программу:
Spyware Doctor
http://pack.google.com/intl/ru/pack...-more&utm_medium=et&utm_campaign=ru_RU/&ciNum

У меня много чего нашла, даже порно :biggrin: шутка.

 

[ESSE]

Дочка тут чёт искала в сети - произошла такая хрень :

Никак не могу удалить. Всплывает окошко и всплывает.
Что это ?

 

[mxc]

Дочка тут чёт искала в сети - произошла такая хрень :

Никак не могу удалить. Всплывает окошко и всплывает.
Что это ?

вирус :mosking: щас сам полез грудью на амбразуру, nod заругался, я просто закрыл oper'у, файл передал на анализ. всё.
на всякий случай запустил глубокий анализ.

 

[ESSE]

Хм, а я не одинок ))))
http://www.moddingforum.ru/showthread.php?p=129574
http://answers.yahoo.com/question/index?qid=20081004053732AAeCOkS
Видимо какая то свежая хрень.
Поставил Outpost - прибил вроде.

 

[ESSE]

неа, не прибил ))))
буду с образа восстанавливаться