Подозрительные процессы в диспетчере.

@incognito · Регистрация: 08.04.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте. Заражен сетевым червем. Помогите, пожалуйста, избавиться от него.

@~~Katharsis~~ · 31.05.2011, 21:47

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@incognito · 31.05.2011, 23:09 **[ТС]**

Сделал все, что нужно.

@~~Katharsis~~ · 31.05.2011, 23:20

В целях безопасности скачайте и установите Internet Explorer 8

скачайте и установите все последние обновления для безопасности

В логе сканирования Hijackthis отметьте:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

нажмите "Fix checked"
если это не ваша стартовая страница - это тоже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

смените пароли

@incognito · 01.06.2011, 18:59 **[ТС]**

Сообщение от Katharsis

В логе сканирования Hijackthis отметьте:

нажмите "Fix checked"
если это не ваша стартовая страница - это тоже.

Как это сделать? Нужно запустить Hijackthis?

Добавлено через 2 минуты
Разобрался.

Добавлено через 18 часов 53 минуты

Сообщение от Katharsis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Сканирование 3 раза зависло. Один раз зависло на процессе .../current version/explorer/fileExts.

@~~Katharsis~~ · 01.06.2011, 19:02

Сообщение от incognito

Сканирование 3 раза зависло.

попробуйте в безопасном режиме

@incognito · 01.06.2011, 19:28 **[ТС]**

Эта программа только занимается поиском или лечит тоже?

@~~Katharsis~~ · 01.06.2011, 19:39

Сообщение от incognito

Эта программа только занимается поиском или лечит тоже?

-анимается поиском и удаляет. Автоудалением пользоваться не желательно.

удалите это из найденного, и повторите лог в нормальном режиме.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.

Сейчас что то ещё беспокоит?

@incognito · 01.06.2011, 19:40 **[ТС]**

А удалять вручную?

@~~Katharsis~~ · 01.06.2011, 19:44

отметить в списке найденного и нажать кнопку "delete selection"

@incognito · 01.06.2011, 20:46 **[ТС]**

Сообщение от Katharsis

удалите это из найденного, и повторите лог в нормальном режиме.

Выполнил.

@incognito · 01.06.2011, 20:47 **[ТС]**

Сообщение от Katharsis

Сейчас что то ещё беспокоит?

Не беспокоит.

@~~Katharsis~~ · 01.06.2011, 20:48

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@incognito · 01.06.2011, 20:48 **[ТС]**

Сообщение от Katharsis

Worm.Palevo

Не по теме:

Made in Russia ?

@~~Katharsis~~ · 01.06.2011, 20:53

видимо да

@incognito · 01.06.2011, 21:07 **[ТС]**

Сообщение от Katharsis

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Не могу найти нужный раздел.

@~~Katharsis~~ · 01.06.2011, 22:05

Сообщение от incognito

Не могу найти нужный раздел.

включить нужно, тогда появится

@incognito · 02.06.2011, 08:42 **[ТС]**

Так после нажатия "Да" и появилось другое окно (2-ой скрин). В нем нет никакого упоминания про точки восстановления, даже близко.

@Sfera · 02.06.2011, 08:58

incognito, выполните
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код

procedure ClearSystemRestore;
var
  Script: TStringList;
  winName: string;
begin
  if IsNT then
    begin
      winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));
      case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of
        True:
          begin
            ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);
            ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);
          end;
        False:
          begin
            Script := TStringList.Create;
            Script.Add(
              'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +
              'dResult = objSR.Disable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'eResult = objSR.Enable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +
              'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +
              'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +
              'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +
              'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +
              'Next');
            Script.SaveToFile('ClearSR.vbs');
            ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);
            DeleteFile('ClearSR.vbs');
            ClearLog;
            Script.Free;
          end;
      end;
    end;
end;

begin
  ClearSystemRestore;
end.

@~~Katharsis~~ · 02.06.2011, 10:06

Сообщение от incognito

Так после нажатия "Да" и появилось другое окно (2-ой скрин). В нем нет никакого упоминания про точки восстановления, даже близко.

Точек нет и чистить нечего, тк восстановление у вас и было отключено. Желательно включить, т к могут пригодиться. Снимите галку "отключить восстановление системы". Точки будут создаваться автоматически.

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	01.06.2011, 20:48 [ТС]	14
	Сообщение от Katharsis Worm.Palevo Не по теме: Made in Russia ? 0

@~~Katharsis~~ Заблокирован
	01.06.2011, 20:53	15
	видимо да 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	01.06.2011, 21:07 [ТС]	16
	Сообщение от Katharsis 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Не могу найти нужный раздел. Миниатюры 0

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
		1
	Подозрительные процессы в диспетчере. 31.05.2011, 21:38. Показов 3772. Ответов 29 Метки нет (Все метки) Здравствуйте. Заражен сетевым червем. Помогите, пожалуйста, избавиться от него. 0

@~~Katharsis~~ Заблокирован
	31.05.2011, 21:47	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@~~Katharsis~~ Заблокирован
	31.05.2011, 23:20	4
	В целях безопасности скачайте и установите Internet Explorer 8 скачайте и установите все последние обновления для безопасности В логе сканирования Hijackthis отметьте: O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) нажмите "Fix checked" если это не ваша стартовая страница - это тоже. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. смените пароли 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	01.06.2011, 18:59 [ТС]	5
	Сообщение от Katharsis В логе сканирования Hijackthis отметьте: нажмите "Fix checked" если это не ваша стартовая страница - это тоже. Как это сделать? Нужно запустить Hijackthis? Добавлено через 2 минуты Разобрался. Добавлено через 18 часов 53 минуты Сообщение от Katharsis Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Сканирование 3 раза зависло. Один раз зависло на процессе .../current version/explorer/fileExts. 0

@~~Katharsis~~ Заблокирован
	01.06.2011, 19:02	6
	Сообщение от incognito Сканирование 3 раза зависло. попробуйте в безопасном режиме 1

@~~Katharsis~~ Заблокирован
	01.06.2011, 19:39	8
	Сообщение от incognito Эта программа только занимается поиском или лечит тоже? -анимается поиском и удаляет. Автоудалением пользоваться не желательно. удалите это из найденного, и повторите лог в нормальном режиме. Заражённые параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken. Заражённые файлы: c:\documents and settings\Admin\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken. Сейчас что то ещё беспокоит? 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	01.06.2011, 19:40 [ТС]	9
	А удалять вручную? 0

@~~Katharsis~~ Заблокирован
	01.06.2011, 19:44	10
	отметить в списке найденного и нажать кнопку "delete selection" 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	01.06.2011, 20:47 [ТС]	12
	Сообщение от Katharsis Сейчас что то ещё беспокоит? Не беспокоит. 0

@~~Katharsis~~ Заблокирован
	01.06.2011, 20:48	13
	Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 1

	02.06.2011, 10:06

@~~Katharsis~~ Заблокирован
	01.06.2011, 22:05	17
	Сообщение от incognito Не могу найти нужный раздел. включить нужно, тогда появится 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	02.06.2011, 08:42 [ТС]	18
	Так после нажатия "Да" и появилось другое окно (2-ой скрин). В нем нет никакого упоминания про точки восстановления, даже близко. 0

@~~Katharsis~~ Заблокирован
	02.06.2011, 10:06	20
	Сообщение от incognito Так после нажатия "Да" и появилось другое окно (2-ой скрин). В нем нет никакого упоминания про точки восстановления, даже близко. Точек нет и чистить нечего, тк восстановление у вас и было отключено. Желательно включить, т к могут пригодиться. Снимите галку "отключить восстановление системы". Точки будут создаваться автоматически. 1