Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Explorer.exe заражён (http://forum.oszone.net/showthread.php?t=107209)

Uber 17-05-2008 21:31 805111
Explorer.exe заражён
 
Вложений: 1
Доброго времени суток.
Сам виноват получилус вирус. Теперь при заходе в Windows выскакивает табличка с ошибкой: "Explorer.exe - диск отсутствует". Половина сайтов через Opera не грузится, иногда выскакивает табличка, точно не помню, что написано, вроде "Visual С++ Explorer.exe", только это запомнил.
Проверял систему Ad-aware и Nod32 ничего не нашли. Установил Касперский, сразу определил какой-то вирус. Потом при проверке, останавливается на ssQIcDu.dll Explorer.exe, и на других файлах со странным набором букв.
Что делать?

Win XP SP 2

verdix 17-05-2008 21:36 805115
А случай случайно не совпадает с этими:
читать дальше »
Вопрос №1 задает Татьяна:
После установки программы(условно бесплатной) появился шпион. В процессах определяется как winlogon.exe, расположился в папке system32 Известными мне способами не удаляется( чистила реестр- появляется снова), пыталась удалить в безопасном режиме -не удаляется, пыталась программой WinPatrol -бесполезно. И той же датой как появилась эта программа, появился процесс explorer.exe lsass.exe.Не связаны ли они? Система Windows XP SP2, установлен NAV2005, Ad-aware.Все с последними базами.

Отвечает Lesnoy_chelovek:
Здраствуйте, Татьяна.
Ну, для начала объясню, что winlogon.exe - это стандартный файл и есть он у всех и отвечает за показ заставки. explorer.exe - оболочка среды Windows, т.е. это точ то мы видим. А вот lsas.exe вполне может быть вирусом, хотя это тоже системный файл. Итак, что я могу вам предложить - ну, во-первых, удалите программу, которую вы установили. Во-вторых, поставьте наш отчечественный антивирус, потому как вы всегда можете связаться с службой поддержки. В-третьих, давайте не будем паниковать, этот процесс вам мешает? Если нет, то оставайтесь спкойными. А лучше посавьте какой-нибудь файрвол - ZoneAlarm, Kaspepskiy AntiHacker и др.

Отвечает Tery:
Существует несколько "разновидностей" этих приложений:
Winlog0n.exe ------ Spyware ------ Adware.Nafaoz
winlogin.exe ------ Spyware ------ TrojanDropper.Win32.Small
winlogin_unpacked.exe ------ Spyware ------
TrojanDropper.Win32.Small
winlogon.exe ------ Системный процесс ------ Microsoft
Windows Logon Process ------ Этот процесс управляет входом пользователей в систему и выходом из нее. Winlogon активируется только при нажатии клавиш CTRL+ALT+DEL, после чего появляется окно «Безопасность Windows». Файл winlogon.exe находится в %Windir%\system32\
winlogon.exe ------ Вирус ------ I-Worm.NetSky.c,
W32.Mydoom.BI@mm, W32.Neveg.A@mm ------ Файл червя I-Worm.NetSky.c
winlogon.exe находится в %Windir%\, Файл червя W32.Neveg.A@mm лежит в %Windir%\system\
winlogonn.exe ------ Вирус ------ W32.Randex.FC
lsass.exe ------ Системный процесс ------ Local Security Authority Service ------ Это локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер.
lsass.exe ------ Вирус ------ Backdoor.IRC.Aladinz.F, W32.Ahker.G@mm
lsass.exe ------ Spyware ------ OnTarget 1.2.1
exploer.exe ------ Вирус ------ W32.HLLW.Gaobot.BV
explore.exe ------ Вирус ------ Worm.ExploreZip(pack), Trojan.Win32.Glitch, W32.Gaobot.ADW, W32.Wozer.Worm, W32.Galil.C@mm, Backdoor.Graybird.G, I-Worm.ZippedFiles.a, W32.Hawawi.Worm, CWS
explore32.exe ------ Вирус ------ W32.Spybot.CYM
explored.exe ------ Вирус ------ W32.Gaobot.SY, W32.HLLW.Gaobot.RF
explorer.exe ------ Системный процесс ------ Microsoft Windows Explorer ------ Проводник. Пользовательская оболочка, отображающая панель задач, рабочий стол и т.д. Этот процесс не так важен для работы Windows, как может показаться, и его можно остановить (и перезапустить) с помощью диспетчера задач, что обычно не оказывает негативного воздействия на работу системы.
explorer.exe ------ Вирус ------ W32.HLLW.Spirit, W32.Mytob.BB@mm, Trojan.Mumuboy.C, Trojan.PSW.Linage ------ W32.HLLW.Spirit - файл Explorer.exe лежит в %Windir%\System32\, Trojan.Mumuboy.C - %ProgramFiles%\explorer.exe, Trojan.PSW.Linage - файл explorer.exe лежит в Program Files
explorere.exe ------ Вирус ------ W32.Yaha.AB@mm, Win32.Yaha.W Под такими названиями существуют и системные процессы и вирусы.

Severny 17-05-2008 21:38 805116
Создай тему здесь и выполни правила

Uber 17-05-2008 21:44 805119
verdix

Да lsass.exe тоже, есть. Но решения проблемы так и нет. Вирус мне мешает.

Severny 17-05-2008 21:47 805122
Цитата:
Цитата Uber
Да lsass.exe тоже, есть »
Lsass.exe в папке system32 на 99% системный. Давай продолжим разговор после логов.

Uber 17-05-2008 21:55 805133
Сейчас сделаю

Uber 17-05-2008 22:32 805149
Сделал

Severny 17-05-2008 23:22 805177
У тебя интернет без сбоев работает?
В HijackThis после сканирования выдели эти строки и нажми Fix checked.
Код:
O10 - Broken Internet access because of LSP provider 'd:\outpost firewall\lspfilt.dll' missing
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

В AVZ меню Файл-- Выполнить скрипт. Скопируй код и нажми "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_QrFile('C:\WINDOWS\system32\ssqOIcDu.dll');
 BC_QrFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys');
 BC_QrFile('C:\WINDOWS\system32\sauixovp.dll');
 BC_QrFile('C:\WINDOWS\system32\ddcBQhhH.dll');
 BC_QrFile('C:\WINDOWS\system32\yljqrvyj.dll');
ExecuteRepair(6);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполни второй скрипт и в папке AVZ файл quarantine.zip выложи на zalil.ru и брось ссылку мне в PM.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Теперь можешь отключить потенциально опасные службы и сервисы, выполнив еще скрипт.
Список этих служб в твоем логе AVZ внизу.
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
После анализа твоего карантина можно будет продолжить лечение.
Ты CureIt в безопасном режиме сканировал системный раздел?
После сделай еще раз лог HijackThis.

Uber 18-05-2008 01:50 805247
Вложений: 1
Интернет работает нормально.
CureIt просканировал, нашёл 1 троян и удалил.

Severny 18-05-2008 09:58 805324
Пофикси в HijackThis
Код:
O4 - HKLM\..\Run: [b8896d79] rundll32.exe "C:\WINDOWS\system32\sauixovp.dll",b
O4 - HKLM\..\Run: [BMbbba5ee5] Rundll32.exe "C:\WINDOWS\system32\yljqrvyj.dll",s
Выполни в AVZ
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}');
 DelBHO('{20D5276A-0452-4167-A3E7-240867F8CB0C}');
 BC_DeleteFile('C:\WINDOWS\system32\sauixovp.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ssqOIcDu.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ddcBQhhH.dll');
 BC_DeleteFile('C:\WINDOWS\system32\yljqrvyj.dll');
 BC_DeleteFile('ddcBQhhH.dll');
 DeleteFile('D:\NOD32\nodshex.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повтори логи.

Pili 18-05-2008 14:10 805469
Uber, пофиксите
Код:
O2 - BHO: (no name) - {FC2450DC-5CC9-4A68-9C86-12ECE1491646} - C:\WINDOWS\system32\ssqOIcDu.dll (file missing)
O20 - Winlogon Notify: ddcBQhhH - ddcBQhhH.dll (file missing)
ноый лог hijackthis и ещё нужны новые логи AVZ
D:\AlienGUIse - рекомендую деинсталлировать

Uber 18-05-2008 14:28 805479
Вложений: 1
Вот

Pili 18-05-2008 14:48 805488
Uber, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ssqOIcDu.dll','');
 QuarantineFile('ddcBQhhH.dll','');
 QuarantineFile('C:\WINDOWS\system32\ddcBQhhH.dll','');
 DeleteFile('C:\WINDOWS\system32\ddcBQhhH.dll');
 DeleteFile('ddcBQhhH.dll');
 DeleteFile('C:\WINDOWS\system32\ssqOIcDu.dll');
 DelBHO('{FC2450DC-5CC9-4A68-9C86-12ECE1491646}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
пофиксите
Код:
O2 - BHO: (no name) - {FC2450DC-5CC9-4A68-9C86-12ECE1491646} - C:\WINDOWS\system32\ssqOIcDu.dll (file missing)
O20 - Winlogon Notify: ddcBQhhH - ddcBQhhH.dll (file missing)
деинсталлируйте D:\AlienGUIse и D:\SpeedUp
повторите логи virusinfo_syscheck.zip, hijackthis.zip

Uber 18-05-2008 15:13 805497
Вложений: 1
Сделано

Pili 18-05-2008 15:24 805503
Uber, в логах чисто, проблемы ещё остались?

Uber 18-05-2008 15:29 805504
Пока ничего не замечаю. Огромное спасибо за потраченное на меня время :)

Pili 19-05-2008 10:54 805959
Uber, пожалуйста :)
Рекомендую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.


Время: 15:04.

Время: 15:04.
© OSzone.net 2001-