Злісний вірус POKAPOKA63
Запущені процеси: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\ system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\msdtc.exe C:\ Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe D:\TrafInsp\TiSvc .exe C:\WINDOWS\System32\wins.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32 \svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\logon.scr C:\WINDOWS\system32\csrss.exe C: \WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C: \WINDOWS\system32\explorers.exe C:\syshost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\mmc.exe C:\HJT \HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [Microsoft Update Drivers] explorers.exe O4 - HKLM\..\Run: [tracert] C :\syshost.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA
1\vptray.exeO4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exeO4 - HKLM\..\RunServices: [Microsoft Update Drivers] explorers.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Додаткова кнопка: пов'язані - - C:\WINDOWS\web\related.htm O9 - Додатковий пункт меню «Інструменти»: Показати &пов'язані посилання - - C :\WINDOWS\web\related.htm O20 - WinlogonNotify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: DefWatch - Symantec Corporation - C:Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: Traffic Inspector (TrafInspSrv) - SMART-SOFT - D:\TrafInsp\TiSvcexe.
))) якби я його міг скопіювати. обов'язково б відправив, але де він сидить? папки C:WINDOWSetbpokapoka62.exe немає. По пошуку такий файл немає, але у файл-моніторі видно його активна діяльність.
Спочатку постав касперського. І перевіряй на вірусняк лише після перезавантаження у Safe Mode!
Найкраще гвинт зняти і до іншої машини причепити. А то останні віруси дуже розумні - сидять у всіх місцях, де можна завантажиться, від win.ini до сервісів, і підміняють себе, так що їх начебто немає на диску. Ось на іншій машині він запуститься не зможе, і ти його знайдеш. Надсилай на експертизу.
У п'ятницю (2 числа) дитина підчепила "Нічого не робила - тільки зайшла" (с)
Почав з вбивання в процесах та вбивання директорії. Чи не з першого перезавантаження - але був убитий. Помічено було за появою бару в екплорері.
Але видно перевстановити все одно довелося.
Вичистив начисто, якщо комусь знадобиться можу викласти повний шлях очищення.
Виклади. Цікаво все-таки, бо я його сьогодні Partition Magic"ом вичистив :)
format з:? Жорстоко. :-)
Ніколи. Ніколи не став касперського. Краще ніякої не юзай, не буде уявного почуття захищеності.
> format з:? Жорстоко. :-)А що ще залишалося робити з цим зоопарком коней (троянських), колекцією штамів вірусів(компутерних) і смітником з глюків?)))
І полювання вдома возитися з антивірусами, систему встановлювати заново? 1. розділ де стоїть система не становить жодної цінності - можна форматувати не дивлячись. Документи, завантажені і т.д. - у папках на іншому диску, ярлики від цих папок на робочому столі. У будь-якій програмі в діалогах "відкрити" або "зберегти як" є кнопка "перейти до робочого столу", далі перехід по ярлику - тобто. для переходу до цих папок не потрібно навіть ходити по дереву дисків/директорій.
2. У пам'яті комп'ютера немає антивірусу, їм достатньо файрвола, щоб особисту інформацію не потягли. немає відновлення системи, купи такого непотрібного. система завжди нова і чиста - без сміття в реєстрі, без тимчасових файлів, з порожнім кошиком :)
3. Повна свобода пробувати будь-який софт, навіть віруси :) змінювати драйвери, робити будь-які небезпечні дії для реєстру тощо. - Для відновлення з образу достатньо завантажитися хоч у дос із звичайною дискетою.
Мінуси - 1. Потрібно звикнути не зберігати нічого важливого на диск, наприклад на робочий стіл і в "мої документи" :)
2. Усі зміни у системі - доустановка програм, донастройка тощо. відбуваються так – відновити з образу, внести зміни, зберегти образ. тобто. берегти образ треба.
3. Немає боротьби з чимось - інший підхід - поламалося, викинув, взяв нову систему. Якщо боротись подобається, то буде втрата.
Тут інструмент для видалення цього трояна. Обов'язкова умова – цю утиліту потрібно запускати у захищеному режимі.
Забув посиланняпривести:) http://forum.hijackthis.de/attachment.php?s=2fcf163cf469607da2d6d9984563f708&attachmentid=464
Ось так я розписав собі кроки щодо очищення сервера від цього вірусу. Крім нього знайшов ще близько 5 поразитів, яких Symantec (бази від 30.08.05) мовчки ігнорував. форматування диска на сервері, його налаштування зажадало б 2-3 дні.
Встановити: • HijackThis • AD-Aware SE • Ewido • Killbox • drweb-cureit • CCleaner
Перезавантажити у Safe Mode.
Запустити drweb-cureit. Після початкового сканування виділити всі диски та запустити сканування.
Запустити повне сканування Ewido.
Запустити HijackThis. Після сканування відзначити: O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS \etb\pokapoka63.exe Натиснути Виправити.
Запустити AD-Aware SE та видалити всі знайдені інфіковані файли.
Запустити Killbox. Вибрати "Delete on reboot". Прописати шляхи до файлів, які повинні бути видалені.
Перезавантажити у звичайному режимі.
Запустити CCleaner і видалити всі часові файли.
Запустити HijackThis і запустити сканування – переконатись у відсутності вірусу.
>vrem >Мінус - 1. Потрібно звикнути не зберігати нічого важливого на диск, наприклад на робочий стіл і в "мої документи" :)
хто заважає перенести docs$sets на несистемний розділ? можна і руками, і твікерами
> Ніколи. Ніколи не став касперського. Краще ніякої > не юзай, > не буде уявногоПочуття захищеності. Тільки не треба говорити, типу Касперський - це повна лажа, яка тільки жере ресурси. Захищеність не 100%-на звичайно, але хоч якась є.
Щоб захищеність була якомога вищою - антивірусних програм має бути якомога більше, 2-3, та ще файрвол, ну і звичайно, пара всяких антишпигунів і "чистильників" від інтернет-сміття. ІМХО, звісно.
> Щоб захищеність була якомога вищою - антивірусних програм > має бути якнайбільше, 2-3 якраз, та ще файрвол, > ну і звичайно, пара всяких антишпигунів та "чистильників" від > інтернет-сміття. ІМХО, звичайно.А толку від такої захищеності? Це ж вийде зоопарк, чище вірусний. Уся ця карусель безбожно гальмуватиме на накрученій тачці. Що ж виходить - купувати комп заради того, щоб антивіруси ганяти?
Згоден, але де їх знайдеш? У кожного свої переваги і недоліки. Для себе я вибрав один антивірус для рантайму, і додаткові антивіруси і сканери, для нечастої профілактики.
І в певний момент спрацює тимчасова бомба та прощай сервер із усіма даними.
> Ось у мене стоїть AntiSpyWare від МелкософтаІ як сабж? Я в свій час до нього все придивлявся, поки не натрапив на статтю, як воно порахувало спайваром і начисто стерло у неповинних користувачів. Інтернет Експлорер! У тебе такого приколу не було?
У мене стоїть PC-cillin, чесно куплений. Постійно оновлюваний. з файрволл в одному флаконі. Це добре. Але вірусів у мене не тому немає. Я намагаюся не створювати ситуацій, коли можливе проникнення вірусів.
AVG freeware гарний
або NOD, але він за гроші
Ось чого не варто ставити так це BitDefender! Раз поставив. Ледве врятувавпотім Вінду :)
У мене стоїть DRWEB і нефіга не знайшов цей вірус.
Перевантажився в SAFE MODE" і стала доступна директорія Windows \ etb. стер її і все. Вимкнув msconfig"ом його завантаження і все. (хоча це і не обов'язково):)
Сподіваюся комусь допоможе.
LJ (14.09.05 19:05) [35] У мене стоїть DRWEB і нефіга не знайшов цей вірус.
Перевантажився в SAFE MODE" і стала доступна директорія Windows \ etb. стер її і все. Вимкнув msconfig"ом його завантаження і все. (хоча це і не обов'язково):)
Сподіваюся комусь допоможе.
Абсолютно не допомогло, більше того, стало гірше: з інета підвантажився pokapoka66, і pokapoka68.. Сьогодні буду вінду зносити напевно, якщо наведені вище рецепти не допоможуть. ((((
DAP (21.09.05 9:13) [36] Поки, поки не отримаєш pokapoka2007 так і будеш у дупі.
DAP (21.09.05 9:13) [36] інета підвантажився pokapoka66, і pokapoka68..А виряк-то росте, однак.
Зростає. За цей час зміг би 20 разів зробити format c: та ліквідувати цю ракову пухлину, при цьому гарантовано.