Форум: "Потрепаться";
Текущий архив: 2005.10.09;
Скачать: [xml.tar.bz2];
ВнизЗлобный вирус POKAPOKA63 Найти похожие ветки
← →
Lexer © (2005-09-02 10:49) [0]Кто-нибудь сталкивался с этим вирусом? Помогите убить его.
У меня стоит Symantec, базы от 26.08.2005, он его не видит. Касперский говорят тоже его не знает.Logfile of HijackThis v1.99.1
Scan saved at 10:43:33, on 02.09.2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
D:\TrafInsp\TiSvc.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\explorers.exe
C:\syshost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmc.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Microsoft Update Drivers] explorers.exe
O4 - HKLM\..\Run: [tracert] C:\syshost.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\RunServices: [Microsoft Update Drivers] explorers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra "Tools" menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Traffic Inspector (TrafInspSrv) - SMART-SOFT - D:\TrafInsp\TiSvc.exe
← →
имя (2005-09-02 10:56) [1]Удалено модератором
← →
Lexer © (2005-09-02 11:03) [2]))) если б я его мог скопировать... обязательно б отправил, но где он сидит? папки C:\WINDOWS\etb\pokapoka62.exe нет. По поиску такой файл не находится, но в файл-мониторе видна его активная деятельность...
← →
ПЛОВ © (2005-09-02 11:10) [3]Для начала поставь касперского... И проверяй на вирусняк только после перезагрузки в Safe Mode!
← →
dmitry501 © (2005-09-02 11:25) [4]Лучше всего винт снять и к другой машине прицепить. А то последние вирусы шибко умные- сидят во всех местах, где можно загрузится, от win.ini до сервисов, и подменяют себя, так что их вроде бы нет на диске. Вот на другой машине он запустится не сможет и ты его найдешь. Отправляй на экспертизу.
← →
UUU (2005-09-05 08:43) [5]В пятницу (2 числа) ребенок подцепил
"Ничего не делал - только зашел" (с)
Начал с убивания в процессах и убивания директории. Не с первой перезагрузки - но был убит. Замечен был по появлению бара в экплорере.
Но видну переустановить все равно пришлось...
← →
Lexer © (2005-09-06 20:05) [6]Вычистил начисто, если кому понадобится могу выложить полный путь очистки.
← →
TUser © (2005-09-06 20:19) [7]Выложи. Интересно все-таки, а то я его сегодня Partition Magic"ом вычистил :)
← →
Aristarh (2005-09-06 20:31) [8]>TUser © (06.09.05 20:19) [7]
>Выложи. Интересно все-таки, а то я его сегодня Partition
>Magic"ом вычистил :)
format с:? Жестоко. :-)
>ПЛОВ © (02.09.05 11:10) [3]
>Для начала поставь касперского...
Никогда. Никогда не ставь касперского. Уж лучше никакой не юзай,
не будет мнимого чувства защищенности.
← →
TUser © (2005-09-06 20:41) [9]> format с:? Жестоко. :-)
А что еще оставалось делать с этим зоопарком коней (троянских), коллекцией штаммов вирусов (компутерных) и помойкой из глюков ?)))
← →
vrem (2005-09-06 20:58) [10]И охота дома возиться с антивирусами, систему переустанавливать?
Поставить систему, программы один раз, до первого выхода в интернет создать образ системного раздела (например программой ghost) и при любых сомнениях или просто периодически восстанавливать из образа.
плюсы -
1. раздел где стоит система не представляет никакой ценности - можно форматировать не глядя. Документы, скаченное и т.д. - в папках на другом диске, ярлыки от этих папок на рабочем столе. В любой программе в диалогах "открыть" или "сохранить как" есть кнопка "перейти к рабочему столу", далее переход по ярлыку - т.е. для перехода к этим папкам не нужно даже по дереву дисков/директорий ходить.
2. В памяти компьютера нет антивируса, имхо достаточно файрвола, что бы личную информацию не утащили. нет восстановления системы, кучи подобного не нужного. система всегда новая и чистая - без мусора в реестре, без временных файлов, с пустой корзиной :)
3. Полная свобода пробовать любой софт, даже вирусы :) менять драйверы, делать любые опасные действия для реестра и т.п. - для восстановления из образа достаточно загрузиться хоть в дос с обычной дискетой.
Минусы -
1. Нужно привыкнуть не сохранять ничего важного на диск С, например на рабочий стол и в "мои документы" :)
2. Все изменения в системе - доустановка программ, донастройка и т.п. происходят так - восстановить из образа, внести изменения, сохранить образ. т.е. беречь образ нужно.
3. Нет длящейся борьбы с чем то - другой подход - поломалось, выкинул, взял новую систему. Если бороться нравится, то будет потеря.
← →
wnew © (2005-09-06 21:20) [11]Здесь tool для удаления этого трояна. Обязательное условие - эту утилиту нужно запускать в защищёном режиме.
← →
wnew © (2005-09-06 21:20) [12]Забыл ссылку привести:)
http://forum.hijackthis.de/attachment.php?s=2fcf163cf469607da2d6d9984563f708&attachmentid=464
← →
Lexer © (2005-09-07 09:31) [13]Вот так я расписал себе шаги по очистке сервера от данного вируса. Кроме него нашел еще около 5 поразитов, которых Symantec (базы от 30.08.05) молча игнорировал.
Здесь я выполнил больше шагов чем требовалось, но это того стоило.
Всё заняло около 20 минут.
А при форматировании диска на сервере, его настройка потребовала бы 2-3 дня.Установить:
• HijackThis
• AD-Aware SE
• Ewido
• Killbox
• drweb-cureit
• CCleaner
Перезагрузить в Safe Mode.
Запустить drweb-cureit.
После первоначального сканирования выделить все диски и запустить сканирование.
Запустить полное сканирование Ewido.
Запустить HijackThis. После сканирования отметить:
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
Нажать Исправить.
Запустить AD-Aware SE и удалить все найденные инфицированные файлы.
Запустить Killbox. Выбрать «Delete on reboot». Прописать пути к файлам, которые должны быть удалены.
C:\WINDOWS\etb\pokapoka62.exe
C:\WINDOWS\etb\pokapoka63.exe
На вопрос о перезагрузке ответить (Yes).
Перезагрузить в обычном режиме.
Запустить CCleaner и удалить все временные файлы.
Запустить HijackThis и запустить сканирование – убедиться в отсутствии вируса.
← →
Слоник (2005-09-07 11:28) [14]>vrem
>Минусы -
1. Нужно привыкнуть не сохранять ничего важного на диск С, например на рабочий стол и в "мои документы" :)
кто мешает перенести docs$sets на несистемный раздел? можно и руками, и твикерами
← →
ПЛОВ © (2005-09-07 12:52) [15]
> Никогда. Никогда не ставь касперского. Уж лучше никакой
> не юзай,
> не будет мнимого чувства защищенности.
Только не надо говорить, типа Касперский - это полная лажа, которая только жрет ресурсы... Защищенность не 100%-ная конечно но хоть какая-то есть.
Чтобы защищенность была как можно выше - антивирусных программ должно быть как можно больше, 2-3 как раз, да еще файрвол, ну и конечно, пара всяких антишпионов и "чистильщиков" от интернет-мусора. ИМХО, конечно.
← →
Agent13 © (2005-09-07 13:01) [16]
> Чтобы защищенность была как можно выше - антивирусных программ
> должно быть как можно больше, 2-3 как раз, да еще файрвол,
> ну и конечно, пара всяких антишпионов и "чистильщиков" от
> интернет-мусора. ИМХО, конечно.
А толку от такой защищённости? Это ж получится зоопарк, почище вирусного. Вся эта карусель будет безбожно тормозить на самой навороченной тачке. Что же выходит - покупать комп ради того, чтобы антивирусы гонять?
← →
Stakan © (2005-09-07 13:02) [17]ПЛОВ © (07.09.05 12:52) [15]
> Чтобы защищенность была как можно выше - антивирусных
> программ должно быть как можно больше, 2-3 как раз,
Слышал обратное, антивирус должен быть один, но хороший.
Программы установки практически любого антивируса настоятельно не рекомендуют использовать несколько антивирусов ибо это может привести к непредсказуемым последствиям.
← →
Lexer © (2005-09-07 13:08) [18]> [17] Stakan © (07.09.05 13:02)
> антивирус должен быть один, но хороший.
Согласен, но где же их найдешь? У каждого свои достоинства и недостатки.
Для себя я выбрал один антивирус для рантайма, и дополнительные антивирусы и сканеры, для нечастой профилактики.
← →
Слоник (2005-09-07 13:10) [19]ПЛОВ © (07.09.05 12:52) [15]
и правда смешно, нафига это?
один файрвол нужен (если в сети) и один антивир (мало ли на флэшках/винчестерах чужих чего может завестись).
← →
Anatoly Podgoretsky © (2005-09-07 13:15) [20]Lexer © (07.09.05 13:08) [18]
А что он не может сканировать и второй более важный вопрос - а нафига сканировать, что он в рантайм не обнуруживает? Тогда смени антивирус.
← →
Lexer © (2005-09-07 13:16) [21]>[20] Anatoly Podgoretsky © (07.09.05 13:15)
>Тогда смени антивирус.
Сменить на какой?
← →
Anatoly Podgoretsky © (2005-09-07 13:17) [22]Lexer © (07.09.05 09:31) [13]
Теперь ты должен по ночам мучаться, а что осталось неудаленого, скрытого и может более опасного.
← →
Lexer © (2005-09-07 13:25) [23]>[22] Anatoly Podgoretsky © (07.09.05 13:17)
Может и остались, но я от этого не мучаюсь :)
Главное сервер, у меня теперь по ночам в интенет не лезет, - и то хорошо.
← →
Anatoly Podgoretsky © (2005-09-07 13:32) [24]И в определенный момент сработает временная бомба и прощай сервер со всеми данными.
← →
ПЛОВ © (2005-09-07 13:57) [25]
> Слоник (07.09.05 13:10) [19]
> ПЛОВ © (07.09.05 12:52) [15]
> и правда смешно, нафига это?
> один файрвол нужен (если в сети) и один антивир (мало ли
> на флэшках/винчестерах чужих чего может завестись).
Вроде я про 10 файрволов не говорил. Антивирь можно и один. Только где бы такой хороший найти? Вот у меня стоит AntiSpyWare от Мелкософта да еще и AdAware (это кроме Касперского). Проверяю постоянно и Касперским и еще двумя этими прогами и все они что-то находят. Не считаю, что такое количество лишнее.
← →
Agent13 © (2005-09-07 14:02) [26]
> Вот у меня стоит AntiSpyWare от Мелкософта
И как сабж? Я одно время к нему всё присматривался, пока не не наткнулся на статью, как оно посчитало спайваром и начисто стёрло у неповинных юзеров... Интернет Эксплорер! У тебя такого прикола не было?
← →
Anatoly Podgoretsky © (2005-09-07 14:13) [27]ПЛОВ © (07.09.05 13:57) [25]
SpyWare и AdAware не относятся к вирусам, поэтому и не обязаны обрабатываться антивирусом. Так не все чисто с юридическими заморочками. Многи антивирусные фирмы нарывались на судебные проблемы с огромными выплатами морального и материального ущерба.
← →
ПЛОВ © (2005-09-07 14:16) [28]
> Agent13 ©
Юзаю сабж уже долго. Ниче так, работает. ИЕ никогда не стирал, то или ИЕ"шка была заражена или может и сам AntiSpyWare. В любом случае, я использую последнюю версию, она фурыкает нормально.
← →
KilkennyCat © (2005-09-07 14:19) [29]У меня стоит PC-cillin, честно купленный. Постоянно обновляемый. с файрволлом в одном флаконе. Это хорошо.
Но вирусов у меня не поэтому нет.
Я стараюсь не создавать ситуаций, когда возможно проникновение вирусов.
← →
ПЛОВ © (2005-09-07 14:20) [30]
>
> Anatoly Podgoretsky © (07.09.05 14:13) [27]
> ПЛОВ © (07.09.05 13:57) [25]
> SpyWare и AdAware не относятся к вирусам, поэтому и не обязаны
> обрабатываться антивирусом. Так не все чисто с юридическими
> заморочками. Многи антивирусные фирмы нарывались на судебные
> проблемы с огромными выплатами морального и материального
> ущерба.
Гланое чтобы работало и вычищало компьютер от гадости всякой, будь то вирусы или "не вирусы". А можно ссылочки на инфу о судебных проблемах, уж очень стало интересно как юристу, глянуть :)
← →
Слоник (2005-09-07 14:21) [31]AVG freeware хорош
← →
Слоник (2005-09-07 14:23) [32]или NOD, но он за деньги
← →
ПЛОВ © (2005-09-07 14:26) [33]Вот чего не стоит ставить так это BitDefender! Раз поставил. Еле спас потом Винду :)
← →
Anatoly Podgoretsky © (2005-09-07 15:07) [34]ПЛОВ © (07.09.05 14:20) [30]
Ссылки не сохраняю, прочитал и забыл (сам по ссылкам хожу), часть информации из профессиональных форумов.
Были проблемы, когда объявляли какую то программу вирусом, доказать этого не удавалось.
← →
LJ (2005-09-14 19:05) [35]Уменя стоит DRWEB и нефига не нашел этот вирус...
Перегрузился в SAFE MODE"е и стала доступна директория Windows\etb... стер ее и всЁ.
Отключил msconfig"ом его загрузку и все...(хотя это и не обязательно) :)
Надеюсь кому-нибудь поможет.
← →
DAP (2005-09-21 09:13) [36]LJ (14.09.05 19:05) [35]
Уменя стоит DRWEB и нефига не нашел этот вирус...
Перегрузился в SAFE MODE"е и стала доступна директория Windows\etb... стер ее и всЁ.
Отключил msconfig"ом его загрузку и все...(хотя это и не обязательно) :)
Надеюсь кому-нибудь поможет.
Абсолютно не помогло, более того, стало хуже:
с инета подгрузился pokapoka66, и pokapoka68..
сегодня буду винду сносить наверное, если приведенные выше рецепты не помогут...(((
← →
Anatoly Podgoretsky © (2005-09-21 09:26) [37]DAP (21.09.05 09:13) [36]
Пока, пока не получишь pokapoka2007 так и будешь в заднице.
← →
LexxX © (2005-09-21 09:29) [38]DAP (21.09.05 9:13) [36]
инета подгрузился pokapoka66, и pokapoka68..
А виряк-то растет, однако...
← →
Anatoly Podgoretsky © (2005-09-21 10:14) [39]Растет. За это время смог бы 20 раз сделать format c: и ликвидировать эту раковую опухоль, при том гарантировано.
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2005.10.09;
Скачать: [xml.tar.bz2];
Память: 0.56 MB
Время: 0.014 c