Злобный вирус POKAPOKA63

← →
Lexer © (2005-09-02 10:49) [0]

Кто-нибудь сталкивался с этим вирусом? Помогите убить его.
У меня стоит Symantec, базы от 26.08.2005, он его не видит. Касперский говорят тоже его не знает.

Logfile of HijackThis v1.99.1 Scan saved at 10:43:33, on 02.09.2005 Platform: Windows 2003 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 (6.00.3790.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\msdtc.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe D:\TrafInsp\TiSvc.exe C:\WINDOWS\System32\wins.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\logon.scr C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\explorers.exe C:\syshost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\mmc.exe C:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [Microsoft Update Drivers] explorers.exe O4 - HKLM\..\Run: [tracert] C:\syshost.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe O4 - HKLM\..\RunServices: [Microsoft Update Drivers] explorers.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra "Tools" menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: Traffic Inspector (TrafInspSrv) - SMART-SOFT - D:\TrafInsp\TiSvc.exe

← →
имя (2005-09-02 10:56) [1]

Удалено модератором

← →
Lexer © (2005-09-02 11:03) [2]

))) если б я его мог скопировать... обязательно б отправил, но где он сидит? папки C:\WINDOWS\etb\pokapoka62.exe нет. По поиску такой файл не находится, но в файл-мониторе видна его активная деятельность...

← →
ПЛОВ © (2005-09-02 11:10) [3]

Для начала поставь касперского... И проверяй на вирусняк только после перезагрузки в Safe Mode!

← →
dmitry501 © (2005-09-02 11:25) [4]

Лучше всего винт снять и к другой машине прицепить. А то последние вирусы шибко умные- сидят во всех местах, где можно загрузится, от win.ini до сервисов, и подменяют себя, так что их вроде бы нет на диске. Вот на другой машине он запустится не сможет и ты его найдешь. Отправляй на экспертизу.

← →
UUU (2005-09-05 08:43) [5]

В пятницу (2 числа) ребенок подцепил
"Ничего не делал - только зашел" (с)

Начал с убивания в процессах и убивания директории. Не с первой перезагрузки - но был убит. Замечен был по появлению бара в экплорере.

Но видну переустановить все равно пришлось...

← →
Lexer © (2005-09-06 20:05) [6]

Вычистил начисто, если кому понадобится могу выложить полный путь очистки.

← →
TUser © (2005-09-06 20:19) [7]

Выложи. Интересно все-таки, а то я его сегодня Partition Magic"ом вычистил :)

← →
Aristarh (2005-09-06 20:31) [8]

>TUser © (06.09.05 20:19) [7]
>Выложи. Интересно все-таки, а то я его сегодня Partition
>Magic"ом вычистил :)

format с:? Жестоко. :-)

>ПЛОВ © (02.09.05 11:10) [3]
>Для начала поставь касперского...

Никогда. Никогда не ставь касперского. Уж лучше никакой не юзай,
не будет мнимого чувства защищенности.

← →
TUser © (2005-09-06 20:41) [9]

> format с:? Жестоко. :-)

А что еще оставалось делать с этим зоопарком коней (троянских), коллекцией штаммов вирусов (компутерных) и помойкой из глюков ?)))

← →
vrem (2005-09-06 20:58) [10]

И охота дома возиться с антивирусами, систему переустанавливать?
Поставить систему, программы один раз, до первого выхода в интернет создать образ системного раздела (например программой ghost) и при любых сомнениях или просто периодически восстанавливать из образа.
плюсы -
1. раздел где стоит система не представляет никакой ценности - можно форматировать не глядя. Документы, скаченное и т.д. - в папках на другом диске, ярлыки от этих папок на рабочем столе. В любой программе в диалогах "открыть" или "сохранить как" есть кнопка "перейти к рабочему столу", далее переход по ярлыку - т.е. для перехода к этим папкам не нужно даже по дереву дисков/директорий ходить.

2. В памяти компьютера нет антивируса, имхо достаточно файрвола, что бы личную информацию не утащили. нет восстановления системы, кучи подобного не нужного. система всегда новая и чистая - без мусора в реестре, без временных файлов, с пустой корзиной :)

3. Полная свобода пробовать любой софт, даже вирусы :) менять драйверы, делать любые опасные действия для реестра и т.п. - для восстановления из образа достаточно загрузиться хоть в дос с обычной дискетой.

Минусы -
1. Нужно привыкнуть не сохранять ничего важного на диск С, например на рабочий стол и в "мои документы" :)

2. Все изменения в системе - доустановка программ, донастройка и т.п. происходят так - восстановить из образа, внести изменения, сохранить образ. т.е. беречь образ нужно.

3. Нет длящейся борьбы с чем то - другой подход - поломалось, выкинул, взял новую систему. Если бороться нравится, то будет потеря.

← →
wnew © (2005-09-06 21:20) [11]

Здесь tool для удаления этого трояна. Обязательное условие - эту утилиту нужно запускать в защищёном режиме.

← →
wnew © (2005-09-06 21:20) [12]

Забыл ссылку привести:)
http://forum.hijackthis.de/attachment.php?s=2fcf163cf469607da2d6d9984563f708&attachmentid=464

← →
Lexer © (2005-09-07 09:31) [13]

Вот так я расписал себе шаги по очистке сервера от данного вируса. Кроме него нашел еще около 5 поразитов, которых Symantec (базы от 30.08.05) молча игнорировал.
Здесь я выполнил больше шагов чем требовалось, но это того стоило.
Всё заняло около 20 минут.
А при форматировании диска на сервере, его настройка потребовала бы 2-3 дня.

Установить: • HijackThis • AD-Aware SE • Ewido • Killbox • drweb-cureit • CCleaner Перезагрузить в Safe Mode. Запустить drweb-cureit. После первоначального сканирования выделить все диски и запустить сканирование. Запустить полное сканирование Ewido. Запустить HijackThis. После сканирования отметить: O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe Нажать Исправить. Запустить AD-Aware SE и удалить все найденные инфицированные файлы. Запустить Killbox. Выбрать «Delete on reboot». Прописать пути к файлам, которые должны быть удалены. C:\WINDOWS\etb\pokapoka62.exe C:\WINDOWS\etb\pokapoka63.exe На вопрос о перезагрузке ответить (Yes). Перезагрузить в обычном режиме. Запустить CCleaner и удалить все временные файлы. Запустить HijackThis и запустить сканирование – убедиться в отсутствии вируса.

← →
Слоник (2005-09-07 11:28) [14]

>vrem
>Минусы -
1. Нужно привыкнуть не сохранять ничего важного на диск С, например на рабочий стол и в "мои документы" :)

кто мешает перенести docs$sets на несистемный раздел? можно и руками, и твикерами

← →
ПЛОВ © (2005-09-07 12:52) [15]

> Никогда. Никогда не ставь касперского. Уж лучше никакой
> не юзай,
> не будет мнимого чувства защищенности.

Только не надо говорить, типа Касперский - это полная лажа, которая только жрет ресурсы... Защищенность не 100%-ная конечно но хоть какая-то есть.

Чтобы защищенность была как можно выше - антивирусных программ должно быть как можно больше, 2-3 как раз, да еще файрвол, ну и конечно, пара всяких антишпионов и "чистильщиков" от интернет-мусора. ИМХО, конечно.

← →
Agent13 © (2005-09-07 13:01) [16]

> Чтобы защищенность была как можно выше - антивирусных программ
> должно быть как можно больше, 2-3 как раз, да еще файрвол,
> ну и конечно, пара всяких антишпионов и "чистильщиков" от
> интернет-мусора. ИМХО, конечно.

А толку от такой защищённости? Это ж получится зоопарк, почище вирусного. Вся эта карусель будет безбожно тормозить на самой навороченной тачке. Что же выходит - покупать комп ради того, чтобы антивирусы гонять?

← →
Stakan © (2005-09-07 13:02) [17]

ПЛОВ © (07.09.05 12:52) [15]

> Чтобы защищенность была как можно выше - антивирусных
> программ должно быть как можно больше, 2-3 как раз,

Слышал обратное, антивирус должен быть один, но хороший.
Программы установки практически любого антивируса настоятельно не рекомендуют использовать несколько антивирусов ибо это может привести к непредсказуемым последствиям.

← →
Lexer © (2005-09-07 13:08) [18]

> [17] Stakan © (07.09.05 13:02)
> антивирус должен быть один, но хороший.

Согласен, но где же их найдешь? У каждого свои достоинства и недостатки.
Для себя я выбрал один антивирус для рантайма, и дополнительные антивирусы и сканеры, для нечастой профилактики.

← →
Слоник (2005-09-07 13:10) [19]

ПЛОВ © (07.09.05 12:52) [15]
и правда смешно, нафига это?
один файрвол нужен (если в сети) и один антивир (мало ли на флэшках/винчестерах чужих чего может завестись).

← →
Anatoly Podgoretsky © (2005-09-07 13:15) [20]

Lexer © (07.09.05 13:08) [18]
А что он не может сканировать и второй более важный вопрос - а нафига сканировать, что он в рантайм не обнуруживает? Тогда смени антивирус.

← →
Lexer © (2005-09-07 13:16) [21]

>[20] Anatoly Podgoretsky © (07.09.05 13:15)
>Тогда смени антивирус.

Сменить на какой?

← →
Anatoly Podgoretsky © (2005-09-07 13:17) [22]

Lexer © (07.09.05 09:31) [13]
Теперь ты должен по ночам мучаться, а что осталось неудаленого, скрытого и может более опасного.

← →
Lexer © (2005-09-07 13:25) [23]

>[22] Anatoly Podgoretsky © (07.09.05 13:17)
Может и остались, но я от этого не мучаюсь :)
Главное сервер, у меня теперь по ночам в интенет не лезет, - и то хорошо.

← →
Anatoly Podgoretsky © (2005-09-07 13:32) [24]

И в определенный момент сработает временная бомба и прощай сервер со всеми данными.

← →
ПЛОВ © (2005-09-07 13:57) [25]

> Слоник (07.09.05 13:10) [19]
> ПЛОВ © (07.09.05 12:52) [15]
> и правда смешно, нафига это?
> один файрвол нужен (если в сети) и один антивир (мало ли
> на флэшках/винчестерах чужих чего может завестись).

Вроде я про 10 файрволов не говорил. Антивирь можно и один. Только где бы такой хороший найти? Вот у меня стоит AntiSpyWare от Мелкософта да еще и AdAware (это кроме Касперского). Проверяю постоянно и Касперским и еще двумя этими прогами и все они что-то находят. Не считаю, что такое количество лишнее.

← →
Agent13 © (2005-09-07 14:02) [26]

> Вот у меня стоит AntiSpyWare от Мелкософта

И как сабж? Я одно время к нему всё присматривался, пока не не наткнулся на статью, как оно посчитало спайваром и начисто стёрло у неповинных юзеров... Интернет Эксплорер! У тебя такого прикола не было?

← →
Anatoly Podgoretsky © (2005-09-07 14:13) [27]

ПЛОВ © (07.09.05 13:57) [25]
SpyWare и AdAware не относятся к вирусам, поэтому и не обязаны обрабатываться антивирусом. Так не все чисто с юридическими заморочками. Многи антивирусные фирмы нарывались на судебные проблемы с огромными выплатами морального и материального ущерба.

> Agent13 ©

Юзаю сабж уже долго. Ниче так, работает. ИЕ никогда не стирал, то или ИЕ"шка была заражена или может и сам AntiSpyWare. В любом случае, я использую последнюю версию, она фурыкает нормально.

У меня стоит PC-cillin, честно купленный. Постоянно обновляемый. с файрволлом в одном флаконе. Это хорошо.
Но вирусов у меня не поэтому нет.
Я стараюсь не создавать ситуаций, когда возможно проникновение вирусов.

>
> Anatoly Podgoretsky © (07.09.05 14:13) [27]
> ПЛОВ © (07.09.05 13:57) [25]
> SpyWare и AdAware не относятся к вирусам, поэтому и не обязаны
> обрабатываться антивирусом. Так не все чисто с юридическими
> заморочками. Многи антивирусные фирмы нарывались на судебные
> проблемы с огромными выплатами морального и материального
> ущерба.

Гланое чтобы работало и вычищало компьютер от гадости всякой, будь то вирусы или "не вирусы". А можно ссылочки на инфу о судебных проблемах, уж очень стало интересно как юристу, глянуть :)

← →
Слоник (2005-09-07 14:21) [31]

AVG freeware хорош

← →
Слоник (2005-09-07 14:23) [32]

или NOD, но он за деньги

Вот чего не стоит ставить так это BitDefender! Раз поставил. Еле спас потом Винду :)

ПЛОВ © (07.09.05 14:20) [30]
Ссылки не сохраняю, прочитал и забыл (сам по ссылкам хожу), часть информации из профессиональных форумов.
Были проблемы, когда объявляли какую то программу вирусом, доказать этого не удавалось.

← →
LJ (2005-09-14 19:05) [35]

Уменя стоит DRWEB и нефига не нашел этот вирус...

Перегрузился в SAFE MODE"е и стала доступна директория Windows\etb... стер ее и всЁ.
Отключил msconfig"ом его загрузку и все...(хотя это и не обязательно) :)

Надеюсь кому-нибудь поможет.

← →
DAP (2005-09-21 09:13) [36]

LJ (14.09.05 19:05) [35]
Уменя стоит DRWEB и нефига не нашел этот вирус...

Перегрузился в SAFE MODE"е и стала доступна директория Windows\etb... стер ее и всЁ.
Отключил msconfig"ом его загрузку и все...(хотя это и не обязательно) :)

Надеюсь кому-нибудь поможет.

Абсолютно не помогло, более того, стало хуже:
с инета подгрузился pokapoka66, и pokapoka68..
сегодня буду винду сносить наверное, если приведенные выше рецепты не помогут...(((

DAP (21.09.05 09:13) [36]
Пока, пока не получишь pokapoka2007 так и будешь в заднице.

DAP (21.09.05 9:13) [36]
инета подгрузился pokapoka66, и pokapoka68..

А виряк-то растет, однако...

Растет. За это время смог бы 20 раз сделать format c: и ликвидировать эту раковую опухоль, при том гарантировано.

Злобный вирус POKAPOKA63 Найти похожие ветки