truly Анализируем
R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer
N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla
F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов
O1 - Изменения в файле Hosts
O2 - (BHO) Browser Helper Objects
O3 - Internet Explorer Тoolbars
O4 - Автозагрузка программ из реестра или Startup
O5 - Опции Internet Explorer невидимые на Панели Управления
O6 - Опции Internet Explorer, ограниченные Администратором (Policies)
O7 - Доступ к Regedit, ограниченный Администратором (Policies)
O8 - Дополнительные пункты Internet Explorer в "right-click" меню
O9 - Дополнительные кнопки на главной панели инструментов IE
O10 - Winsock
O11 - Дополнительные опции в расширенном меню загрузки IE
O12 - Плагины Internet Explorer
O13 - IE Default Prefixes
O14 - Изменения в файле IERESET.INF
O15 - Сайты, добавленные в Trusted Zone
O16 - Файлы, загруженные с помощью ActiveX
O17 - Домен (Domain)
O18 - Перечисление существующих протоколов и фильтров
O19 - Style Sheet пользователя
O20 - AppInit_DLLs
O21 - (SSODL) Shell Service Object Delay Load
O22 - Shared Task Scheduler (Планировщик задач)
O23 - Сервисы Windows NT



truly а как у меня может быть запущен IE, если я его Не запускала? А в голову после этого дурные мысли не лезут, типа - не запускала, а он всё равно пришёл, любимый. Это указывает на маскирующийся процесс под IE.
Вроде уже неоднократно было сказано проверить под AVZ.
Но прежде выполни в меню "Файл" - "Стандартные скрипты". Ставь птичку на номере 1 из списка. Запусти. Потом включаем в меню AVZ Guard, в "Параметры поиска" ставим все возможные галки в разделе Anti-RootKit. В разделе "Эврестический анализ" задираем движок вверх и птичку на "Расширеный анализ". Проверяемся.
Кстати лог и от AVZ интересно посмотреть. (Файл - Сохранить протокол). Лучше прикрепить к посту архивом.

Обратите внимание, как пишет Maxton про себя в логе. Ни каких "двойных стандартов" и записей с прописных букв, при этом не делается.

Logfile of HijackThis v1.99.1
Scan saved at 0:34:48, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\windows\hffext\hffsrv.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\Agnitum\Outpost Firewall\outpost.exe
E:\PROGRA~1\DrWeb\spidernt.exe
E:\Program Files\D-Link\DSL-200\dslstat.exe
E:\PROGRA~1\DrWeb\SpiderNT.exe
E:\Program Files\D-Link\DSL-200\dslagent.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Opera AC\opera.exe
F:\1\Internet\Browser\Maxton\Maxthon.1.60.RuBoardEdition.FULL\Maxthon.exe
E:\Program Files\Internet Explorer\iexplore.exe
F:\1\AntiVir\hijackthis\HijackThis.exe

yurfed
А в голову после этого дурные мысли не лезут, типа - не запускала, а он всё равно пришёл, любимый. Это указывает на маскирующийся процесс под IE.

лезут.но ничего же не найдено (кроме того,что нашел nod - и "изолировал-удалил"). сейчас еще раз проверю под AVZ.

да, видимо, что-то я не то проверяла: :)

какая-то ерунда с этой AVZ... сначала никак не хотела закрываться, а теперь вот не могу открыть этот самый лог :"отказано в доступе..."

да! я думала, мне показалось - ярлыки на Рабочем столе перемещаются. это какая-то оптимизация винд. или... то, что в логе AVZ красным выделено:)?

не понимаю... теперь еще и саму avz не открыть. то же самое - "нет прав доступа".

ни один файл теперь не открывается!вообще.

включая Диспетчер задач.

у меня не получается открыть этот архив. поэтому, на всякий случай, - вот так еще:

Протокол антивирусной утилиты AVZ версии 4.25
Сканирование запущено в 05.06.2007 9:00:06
Загружена база: 110782 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.06.2007 18:31
Загружены микропрограммы эвристики: 370
Загружены цифровые подписи системных файлов: 60126
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 27
Анализатор - изучается процесс 1472 C:\WINDOWS\system32\spoolsv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\windows\system32\spoolsv.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll)
Процесс c:\program files\download master\dmaster.exe может работать с сетью (wininet.dll,netapi32.dll,urlmon.dll)
Анализатор - изучается процесс 1736 C:\Program Files\Opera\Opera.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\program files\opera\opera.exe может работать с сетью (wininet.dll,netapi32.dll)
Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\RICHED20.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 333, извлечено из архивов: 0, найдено вредоносных программ 0
Сканирование завершено в 05.06.2007 9:00:36
Сканирование длилось 00:00:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Ничего не открывается и не запускается -- AVZ Guard случайно не включен?

З.Ы. Самое тут правильное будет formac c:, ИМХО.
Быстрее и надежнее. Руткит-технологии, чесслово, затрудняют процесс лечения удаленно.

видимо, да. Был, во всяком случае:). я перегрузилась в "последнюю удачную конфигурацию" - и дикая паника прошла.:) как и желание связываться с этой avz... лучше буду жить с таким экраном....

лучше буду жить с таким экраном....
Эсли бы проблема ограничивалась одним экраном - это было бы пол беды :(:(:(

а какие у меня проблемы?:)

ну, пропало немножко скачанной из инета музыки. но это не беда (к тому же я вовсе не уверена, что это не мой склероз:). может, сама выбросила и забыла....)

ну, ярлыки скачут по столу... но может, это винды у меня так капризно себя ведут.

ну, и какие-то мелкие претензии по поводу инета, которые я бы даже не решилась здесь опубликовать (это все моя мнительность, наверно:))...

вот экран - да. но я уже привыкла, почти.

я просто поняла, повозившись немного, что лечением, в т. ч. компа, должны заниматься специалисты...:( иначе - чревато если не фатальным исходом любимой игрушки, то состоянием ее владелицы, близким к оному( исходу т. е. :)). (см. выше)...

c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
Вот видимая проблема, как еще заметил yurfed.
Уверен, что это вершина айсберга.
А прыгающие иконки и кривой рабочий стол -- это побочный эффект всего лишь.

так что же мне делать?
с реестром я работать не умею. ну не получается.

опять запускать ...avz??отключив guard?

truly как и желание связываться с этой avz... лучше буду жить с таким экраном.... Ну -ну. Лучше свяэаться с вирусами. Чем дальше в лес, тем толще партизаны.
Грузись с загрузочного СД. Очень хорош в этом случае Hiren's Boot CD (http://www.philka.ru/comment.php?comment.news.162). С него и лечись.
В конце - концов, сделай бекап диска(если место есть), прежде перенеси свою музыку в другое место, отформатируйся, коли не можешь вылечится от заразы.
опять запускать ...avz??отключив guard? Да!
Удали NOD и ставь каспера или доктора Веба
Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так?
Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) убери, это нужно только когда пользуешся.
а какие у меня проблемы?:)

ну, пропало немножко скачанной из инета музыки. но это не беда (к тому же я вовсе не уверена, что это не мой склероз:). может, сама выбросила и забыла....)

ну, ярлыки скачут по столу... но может, это винды у меня так капризно себя ведут.

ну, и какие-то мелкие претензии по поводу инета, которые я бы даже не решилась здесь опубликовать (это все моя мнительность, наверно:))...

вот экран - да. но я уже привыкла, почти.

я просто поняла, повозившись немного, что лечением, в т. ч. компа, должны заниматься специалисты...:( иначе - чревато если не фатальным исходом любимой игрушки, то состоянием ее владелицы, близким к оному( исходу т. е. :)). (см. выше)...
Ну это уже совсем упадническое настроение :)

Похоже у тебя сидит сетевой червь Nimda (читается как "Админ", только наоборот)

Win32.HLLW.Nimda.57344

Очень опасный вирус-червь. Размножается под операционными системами WinNT/Win2k/Win9x. Способен поражать как серверы IIS (Internet Information Server) 4/5, так и клиентские станции.

При запуске инфицированного файла вирус первым делом проверяет наличие собственной активной копии в памяти компьютера и, если такая копия найдена, завершает работу. В противном случае вирус определяет, из какого файла он был активизирован и, если активация произошла из инфицированного вирусом файла (а не вирусного файла-дроппера, содержащего исключительно код вируса), то вирусом создается файл с именем, аналогичным запущенному с добавленным пробелом в конце, т.е.
TEST.EXE -> TEST .EXE
(мы это наблюдаем здесь
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe)
(или, если запуск был произведен с сетевого диска, вирус создает временный файл со случайным именем во временном каталоге), в который из собственных ресурсов (resources) инфицированного файла вирус извлекает содержимое оригинального файла, а затем запускает его.

Далее вирус создает свою копию во временном каталоге и запускает ее с параметром -dontrunold в командной строке, помечает запущенный файл как подлежащий удалению при следующей перезагрузке системы (через файл WININIT.INI в Win9x или вызовом соответствующей функции API в WinNT/2k) и с вероятностью 1/5 пытается удалить все "README*.EXE" файлы во временном каталоге (т.к. из-за используемой в размножении вируса ошибки в Internet Explorer вирусные копии в этих файлах будут накапливаться во временном каталоге), после чего первая вирусная копия завершает свою работу.

Запущенная копия создает еще один свой экземпляр со случайным именем во временном каталоге и пытается очистить собственную секцию ресурсов от возможно содержащегося там оригинального файла-родителя, но в системах Win9x системная реализация механизма работы с ресурсами отсутствует, поэтому данная попытка удачна только в OS WinNT/2k. После чего пытается определить из настроек TCP/IP в каждом из зарегистрированных сетевых интерфейсов адрес используемого DNS сервера и в случае успеха сохраняет адрес в собственном коде, записывая его непосредственно в ранее созданный временный вирусный файл. Далее вирус создает собственный файл-шаблон, состоящий из сообщения, содержащего специальным образом оформленный вирусный код в формате MIME, который будет в последствии использован для рассылке по E-mail. Далее вирус в зависимости о типа системы пытается внедрить свою копию в системный процесс EXPLORER (WinNT/2k) либо регистрирует свой процесс как сервисный (Win9x), исключая его из списка задач. После чего входит в основной цикл размножения.

Вирус ожидает 30 секунд после чего получает имя хост-машины, его IP-адрес, в системе WinNT/2k запускает в отдельной нити (thread) собственную реализацию TFTP сервера (порт 69/udp), которая при запросе будет отдавать содержимое вирусного файла клиентской стороне и в зависимости от системы порождает 60(рабочая станция) или 200(сервер) нитей для сканирования и атак на уязвимые IIS серверы (в системах Win9x попытки данной атаки вирусом не предпринимаются).

Для атаки на IIS серверы вирус использует уязвимость "Microsoft IIS CGI Filename Decode Error Vulnerability" (май 2001), уязвимость "Microsoft IIS Unicode Bug" (декабрь 2000), а также пытается использовать последствия компрометации серверов червями CodeRedII и sadmind/IIS. В случае успеха атаки на удаленном сервере инициируется TFTP-сессия с атакующим хостом, вирусом передается собственный код, который копируется в файл ADMIN.DLL, запускается на выполнение; в свою очередь производит собственную копию в файл %windows%mmc.exe и перезапускает его.

Далее работающий в системе Win9x вирус создает свою копии в %WINDOWS%LOAD.EXE и %WINDOWS%RICHED20.DLL с атрибутами read-only, hidden и system и записывает вызов LOAD.EXE в параметр Shell файла SYSTEM.INI, - таким образом, вирус будет активизироваться при каждой перезагрузке.
C:\WINDOWS\system32\RICHED20.dll --> тоже имеем в логе


Под WinNT/2k вирус проходит все подкаталоги до четвертого уровня вложенности на всех дисках, ищет файлы DEFAULT, INDEX, MAIN и с определенной вероятностью файл readme с расширениями .ASP, .HTM, .HTML, при их нахождении копирует ранее созданный вирусный MIME-шаблон в файл README.EML в найденном каталоге и замещает содержимое найденных файлов на небольшой скрипт, при попытке просмотра которого в Web-браузере, в новом окне будет открыт вирусный файл README.EML. Таким образом, вирусом удаляются главные страницы на Web сервере, а при попытке захода пользователя на такую страницу в случае, если его Internet Explorer уязвим к используемой вирусом "дыре" в безопасности, на компьютере пользователя автоматически будет активизирован вирус (см. ниже).

Далее (только под WinNT/2k) вирус получает в реестре список зарегистрированных приложений и пытается инфицировать все принадлежащие им *.EXE файлы. Инфицирование производится вирусом перемещением оригинального содержимого файла в собственную секцию ресурсов и корректировку отображаемой вирусной иконки (icon) на принадлежащую оригинальному файлу.

После этого вирус производит поиск и инфицирование файлов на зарегистрированных доступных сетевых ресурсах (WinNT/2k) или открывает локальные диски для полного беспарольного сетевого доступа (Win9x). Проход осуществляется по всем каталогам: - инфицируются все *.EXE файлы (кроме WINZIP32.EXE)
- если в каталоге найден файл с расширением .EML, .NWS или .DOC, то в этом каталоге вирусом создается собственная копия с именем RICHED20.DLL. Библиотека RICHED20.DLL используется для работы с Reach Edit Controls многими приложениями (в том числе Outlook и MS Office). Таким образом, при попытке открытия файла в каталоге будет запущен Outlook или MS Office, который в процессе своей инициализации попытается загрузить (если она уже не загружена) библиотеку RICHED20.DLL. Так как система сначала пытается искать загружаемые библиотеки в текущем каталоге, то будет загружена не оригинальная библиотека, а вирусная копия (!).
также при нахождении .EML или .NWS файлов вирус с определенной вероятностью может создать в этом каталоге свою копию в виде MIME-шаблона с именем одного из файлов в папке My Documents (обычно) и расширением EML или NWS.

Далее вирус пытается определить, используя функции MAPI, адрес использующегося на хосте SMTP сервера и список адресов из адресной книги и кэша HTML файлов, и разослать по ним свои копии. Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла - 57344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть бОльшим. Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html (Outlook, Outlook Express), прикрепленный файл был бы запущен автоматически. Данная уязвимость - "Incorrect MIME header" была обнаружена в Internet Explorer в конце марта 2001 года.

После этого вирус выключает отображения скрытых файлов и расширений имен файлов в настройках Explorer и в системе WinNT/2k разрешает аккаунт Guest, добавляет пользователя Guest в группу Administrators и присваивает ему пустой пароль, затем открывая для полного сетевого доступа все локальные диски.

Далее вирус перебирает ip-адреса в случайном диапазоне и пытается получить доступ к доступным на запись сетевым ресурсам, где пытается распространить собственные копии, как это было описано выше.

После этих манипуляций вирус ожидает около 3 минут, после чего весь цикл повторяется.

Данный вирус ввиду большого спектра использованных для атаки и распространения уязвимостей представляет собой большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому мы настоятельно рекомендуем установить последние обновления безопасности OS Windows.

Кумулятивный патч для IIS серверов:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Патч от уязвимости почтовых клиентов "Incorrect MIME header":
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

НО МОЖЕТ И ОШИБАЮСЬ.

yurfed

Hiren's Boot CD. С него и лечись.

а как лечиться?

В конце - концов, сделай бекап диска(если место есть), прежде перенеси свою музыку в другое место, отформатируйся, коли не можешь вылечится от заразы.

Вы про про жесткий диск? и как делать этот самый бекап? и где должно быть место? отформатировать - значит, сотрутся все песни? и не только они?:)

Удали NOD и ставь каспера или доктора Веба

каспера сейчас скачиваю. а вот доктор веб ничего не обнаружил, о чем я уже писала.

Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так?

не знаю. комп был куплен с предустановленной XP. для меня все эти драйверы - темный лес...

Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) убери, это нужно только когда пользуешся.

это в реестре опять?

как я поняла, этот червь для меня опасен только тем, что откроет доступ ко всем моим документам из сети, да? (насчет пропажи главных страниц на сайтах ничего не замечала..)

Кумулятивный патч для IIS серверов:
http://www.microsoft.com/technet/se...in/MS01-044.asp
Патч от уязвимости почтовых клиентов "Incorrect MIME header":
http://www.microsoft.com/technet/se...in/MS01-020.asp

а с этим что делать? кнопочки download it now!:) там вроде нет...

truly
Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так?

не знаю. комп был куплен с предустановленной XP. для меня все эти драйверы - темный лес...

ой!:) это Вы имели в виду - надо было что-то в самой avz включить?...:)

вот. и зачем было нод удалять? мне только потом пришло в голову, что он у меня обновлялся регулярно(неужели легальный?:)), а условно-бесплатным каспером этого ждать не приходится... вот и осталась девушка без антивируса... благодаря своей глупости. и поделом! однако, прошу прощения за лирическое отступление. вот отчет каспера:

обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asm.exe//Pex
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asmps.dll
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asm.exe//Pex
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asmps.dll
обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab

truly Если Ассемблером не пользуешся, то всё приведёное выше удаляй. Вычисти все временные папки, включая Temporary Internet Files.
обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe Что это такое, я не знаю. Если ты это не используешь, удаляй. Не обязательно вирус. По названию похоже на скачивалку.
Совсем непонятно, ты пользуешь Оперу? Тогда откуда весь этот хлам расписаный выше.

все удалила. (а 2 - вылечены, adware которые).

правда, каспер надоел уже своими требованиями "активировать приложение":). да и с мэйл-агентом теперь проблемы - не сразу запускается, пишет, что, возможно, сетевой экран не пускает avp.exe.

а использую - оперу, да.

а почему экран мой не встал на место?!:)

truly а почему экран мой не встал на место?!:) Это железные проблемы. Попробуй смени частоту развёртки с 60 на 70, 75 85 и тд.
ЗЫ Говорить о том что и не видели. Распиши своё железо.

про железо написать смогу вряд ли, комп б/у. марку монитора?:)

а частоту развертки как менять?

а нет. я туда уже заходила (не помню как, правда:)). там стоит максимальная - 75. а это возможно, что "железные проблемы" не проявляются в винампе и при загрузке, когда весь экран заполнен заставкой производителя?