Jump to content
СофтФорум - всё о компьютерах и не только
Sign in to follow this  
Strannnik

Помощь в лечении систем от нечисти

Recommended Posts

Программа NOD 32 выдает что у меня на компе вирус в оперативной памяти и он не чего с ним не может сделать !!! Какой программой можно вылечить ????

Заранее благодарен !!!!

Share this post


Link to post
Share on other sites
Программа NOD 32 выдает что у меня на компе вирус в оперативной памяти и он не чего с ним не может сделать !!! Какой программой можно вылечить ????

Попробуй DrWeb - Cureit

Share this post


Link to post
Share on other sites
Вопрос к знающему народу =)

Короче, есть такая проблема, как сбой настроек VPN соединения при каждой загрузке виндоус, многие советует какие-то антивирусы и обновления виндоус!

Но этих обновлений так много, что не понятно, какое-именно надо устанавливать, если Вы знаете, то оставте здесь ссылку плз =)

Или напишите какой-нибудь другой вариант решения этого вопроса )

Спасибо!

Антивирусы Avir, Dr web ничего не видят!

Share this post


Link to post
Share on other sites

Saule, привет!!!

подхватил трояна...не могу его изгнать, помоги, пожалуйста..

вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 18:53:45, on 24.10.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\System32\flcss.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\WINDOWS\System32\psbamtxe.exe

C:\WINDOWS\explorer.exe

D:\Distributives\Antiv\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\System32\flcss.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{353F12A0-0ACA-4A11-98B3-49F9BBA91606}: NameServer = 195.161.184.2 195.161.184.2

O20 - AppInit_DLLs: narrwshr.dll e1.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: psbamtxe - C:\WINDOWS\System32\psbamtxe.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

и спасибо заранее, Солнце!

Share this post


Link to post
Share on other sites
Saule, привет!!!

подхватил трояна...не могу его изгнать, помоги, пожалуйста..

вот лог:

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\System32\flcss.exe
O20 - AppInit_DLLs: narrwshr.dll e1.dll
O20 - Winlogon Notify: psbamtxe - C:\WINDOWS\System32\psbamtxe.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Если вдруг при этом появится сообщение о невозможности удаления какой-либо строчки, то открой
Task Manager
(Ctrl + Alt + Delete) и во второй закладке -
Processes
- найди и заверши с помощью кнопки
End Process
следующие процессы:
psbamtxe.exe
flcss.exe
После чего снова повтори удаление необходимых строчек с помощью HijackThis.
2. Перезагружаем компьютер.

3. Теперь удаляем файлы:

C:\WINDOWS\System32\
flcss.exe
C:\WINDOWS\System32\
psbamtxe.exe
C:\WINDOWS\System32\
psbamtxe.dll
C:\WINDOWS\System32\
e1.dll
C:\WINDOWS\System32\
narrwshr.dll

После чего желательно сделать новый лог HijackThis, так как я не уверенна, что этого будет достаточно.

Share this post


Link to post
Share on other sites

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\System32\flcss.exe
O20 - AppInit_DLLs: narrwshr.dll e1.dll
O20 - Winlogon Notify: psbamtxe - C:\WINDOWS\System32\psbamtxe.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Если вдруг при этом появится сообщение о невозможности удаления какой-либо строчки, то открой
Task Manager
(Ctrl + Alt + Delete) и во второй закладке -
Processes
- найди и заверши с помощью кнопки
End Process
следующие процессы:
psbamtxe.exe
flcss.exe
После чего снова повтори удаление необходимых строчек с помощью HijackThis.
2. Перезагружаем компьютер.

3. Теперь удаляем файлы:

C:\WINDOWS\System32\
flcss.exe
C:\WINDOWS\System32\
psbamtxe.exe
C:\WINDOWS\System32\
psbamtxe.dll
C:\WINDOWS\System32\
e1.dll
C:\WINDOWS\System32\
narrwshr.dll

После чего желательно сделать новый лог HijackThis, так как я не уверенна, что этого будет достаточно.

Спасибо, Saule !

Все сделал...только из файлов, которые ты написала удалить в последнем пункте в папке system32 был только этот flcss.exe.....остальных не было...

посылаю новый лог....

Logfile of HijackThis v1.99.1

Scan saved at 18:37:15, on 27.10.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Distributives\Antiv\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{353F12A0-0ACA-4A11-98B3-49F9BBA91606}: NameServer = 195.161.184.2 195.161.184.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Share this post


Link to post
Share on other sites
Спасибо, Saule !

Все сделал...только из файлов, которые ты написала удалить в последнем пункте в папке system32 был только этот flcss.exe.....остальных не было...

Тем не менее, лог чистый. Может антивирус к тому времени их уже удалил.

А как общее самочувствие системы?

Share this post


Link to post
Share on other sites

Saule ,

посмотрите пожалуйста скриншот:

2114cv6.th.jpg

У меня появился новый/неизвестный пользователь.

Что делать и откуда он взялся?

Спасибо.

Share this post


Link to post
Share on other sites
У меня появился новый/неизвестный пользователь.

Что делать и откуда он взялся?

Спасибо.

ASP.NET Machine.A - относиться к компонентам Microsoft ASP.NET и .NET Framework.

Сама учетная запись о пользователе, если её действительно не было раньше, могла появиться после каких-либо обновлений операционной системы, либо после загрузки дополнительных компонентов от Microsoft.

А учетная запись гостя отключена.

Для успокоения можете посмотреть на мой скриншот:

users.jpg

post-33125-1161967418_thumb.jpg

  • Upvote 1

Share this post


Link to post
Share on other sites

Saule ,

Спасибо Вам за оперативную ПОМОЩЬ (как всегда)!

Да, Windows обновляется, поэтому наверно и поставил.

Я, не заходил в "учетные записи пользователей", а тут сюрприз ...

Это для безопасности?

Share this post


Link to post
Share on other sites
Я, не заходил в "учетные записи пользователей", а тут сюрприз ...

Это для безопасности?

Да, так как запуск приложений ASP.NET от имени учетной записи администратора или учетной записи SYSTEM является небезопасным.

Аккаунт, созданный .NET Framework, с ограниченными правами, что по определению всегда будет надежнее.

  • Upvote 1

Share this post


Link to post
Share on other sites

Тем не менее, лог чистый. Может антивирус к тому времени их уже удалил.

А как общее самочувствие системы?

привет!

вот в том-то и дело, что с системой что-то не то творится....

тормозят программы, qip не запускается вообще, а самое что меня пугает - это когда антивирус (я dr.web-ом пользуюсь) запускаю, в какой-то момент вышибает всё и появляется синий экран с иероглифами.....и всё....тока reset спасает ....

Share this post


Link to post
Share on other sites
вот в том-то и дело, что с системой что-то не то творится....

тормозят программы, qip не запускается вообще, а самое что меня пугает - это когда антивирус (я dr.web-ом пользуюсь) запускаю, в какой-то момент вышибает всё и появляется синий экран с иероглифами.....и всё....тока reset спасает ....

Попробуй сделать сканирование с помощью AVZ.

Если в результате будет обнаружена маскировка каких-либо процессов, то сообщи.

Антивирус после того вируса, который был у тебя, желательно переустановить.

И по поводу синего экрана, то на нем обязательно должен быть код ошибки, благодаря которому очень многое становится понятным (смотри эту тему). Если записать его никак не удается, то открой:

Control Panel > Administrative Tools > Event Viewer
(Панель Управления > Администрирование > Просмотр событий)

И проверь журнал System/Система + Application/Приложения (там сохраняются любые отклонения в работе ОС, вплоть за нескольких последних месяцев).

Share this post


Link to post
Share on other sites

У меня по ходу червяк. Почитал форум, поставил прогу AVG Anti-Spyware, она постоянно обнаруживает его и отправляет в карантин, но потом снова что-то заражется. Называется psbamtxe.exe И в процессах удалял и в реестре удалял все с ним связанное. Все равно появляется. Каспера он срубает при загрузке компа. Вобще вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 23:14:42, on 30.10.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\psbamtxe.exe

D:\Ds\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.232.248.83/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE

O4 - HKLM\..\Run: [ciodiag] C:\WINDOWS\System32\crsconf.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [dskdiag] C:\WINDOWS\System32\dskconf.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FF9F32DA-2C50-416E-B4C1-D26500E1C8EF}: NameServer = 80.249.128.254,192.168.11.1

O20 - AppInit_DLLs: narrwshr.dll e1.dll confaud.dll audstat.dll diagcrs.dll statcrs.dll diagdsk.dll statdsk.dll

O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)

O20 - Winlogon Notify: crsconf - C:\WINDOWS\SYSTEM32\cfgcrs.dll

O20 - Winlogon Notify: dskconf - C:\WINDOWS\SYSTEM32\cfgdsk.dll

O20 - Winlogon Notify: psbamtxe - C:\WINDOWS\System32\psbamtxe.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: KLBLMain - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\Program Files\DrWeb\SpiderNT.exe (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Подскажите плиз че делать! :bye1:

Share this post


Link to post
Share on other sites
У меня по ходу червяк. Почитал форум, поставил прогу AVG Anti-Spyware, она постоянно обнаруживает его и отправляет в карантин, но потом снова что-то заражется. Называется psbamtxe.exe И в процессах удалял и в реестре удалял все с ним связанное. Все равно появляется. Каспера он срубает при загрузке компа. Вобще вот лог:

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [ciodiag] C:\WINDOWS\System32\crsconf.exe
O4 - HKLM\..\Run: [dskdiag] C:\WINDOWS\System32\dskconf.exe
O20 - AppInit_DLLs: narrwshr.dll e1.dll confaud.dll audstat.dll diagcrs.dll statcrs.dll diagdsk.dll statdsk.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: crsconf - C:\WINDOWS\SYSTEM32\cfgcrs.dll
O20 - Winlogon Notify: dskconf - C:\WINDOWS\SYSTEM32\cfgdsk.dll
O20 - Winlogon Notify: psbamtxe - C:\WINDOWS\System32\psbamtxe.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в верхнем меню программы:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку:

C:\WINDOWS\System32\psbamtxe.exe

avxa4.gif

Нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое, поочередно, делаем со следующими файлами:

C:\WINDOWS\System32\psbamtxe.dll
C:\WINDOWS\System32\cfgcrs.dll
C:\WINDOWS\System32\cfgdsk.dll
C:\WINDOWS\System32\narrwshr.dll
C:\WINDOWS\System32\e1.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\System32\audstat.dll
C:\WINDOWS\System32\diagcrs.dll
C:\WINDOWS\System32\statcrs.dll
C:\WINDOWS\System32\diagdsk.dll
C:\WINDOWS\System32\statdsk.dll

4. После чего снова перезагружаем компьютер.

5. Делаем сканирование с помощью AVZ и обращаем внимание на "Обнаружена маскировка процессов" и "Подозрение на Keylogger или троянскую DLL" (только в случае, если что-либо подобное будет найдено, перед тем как пробовать удалять, обязательно убедитесь, что такие подозрительные файлы не относятся к вашим программам, т.к. такое вполне может быть).

И если вдруг что-то в протоколе программы в целом будет вам не понятно, то точно также, перед тем как что-либо предпринимать, сначала лучше удостовериться, задав вопрос прямо тут же.

Плюс этот вирус может загружать исполняемые файлы из интернета, поэтому после лечения желательно сделать еще раз полную проверку системы с помощью хорошего сканера (AVG Anti-Spyware подходит), чтобы удалить весь неактивный "мусор".

Share this post


Link to post
Share on other sites

Уважаемая Saule

ввиду несостоятельности нашего сисадмина, не подскажете в чем загвоздка, комп периодически подвисает на неопределенное время. Dr.Web выявил несколько троянов и удачно их удалил. Но есть подозрения, что не все в порядке все равно. Не посмотрите ли, что здесь не то, и что нужно сделать. заранее большое спасибо!

Logfile of HijackThis v1.99.1

Scan saved at 15:30:31, on 01.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\QIP\qip.exe

W:\Программы\Опт\Sklad.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Documents and Settings\Leha\Рабочий стол\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Qip.lnk = C:\QIP\qip.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Semagic - C:\Program Files\Semagic\link.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Копировать в Semagic - C:\Program Files\Semagic\copy.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Leha\Application Data\Mail.Ru\Agent\MAgent.exe (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119304621390

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = OFFICE.RU

O17 - HKLM\Software\..\Telephony: DomainName = OFFICE.RU

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = OFFICE.RU

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = OFFICE.RU

O20 - AppInit_DLLs: mp4sglmf.dll e1.dll confaud.dll audstat.dll

O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll

O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OracleOracleHomeClientCache - Unknown owner - C:\Oracle\BIN\ONRSD.EXE

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Share this post


Link to post
Share on other sites
ввиду несостоятельности нашего сисадмина, не подскажете в чем загвоздка, комп периодически подвисает на неопределенное время. Dr.Web выявил несколько троянов и удачно их удалил. Но есть подозрения, что не все в порядке все равно. Не посмотрите ли, что здесь не то, и что нужно сделать. заранее большое спасибо!

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O20 - AppInit_DLLs: mp4sglmf.dll e1.dll confaud.dll audstat.dll

O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll

O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll (file missing)

Если сайт ny.contentmatch.net был добавлен в зону доверенных узлов не вами, то эту строчку также:

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в верхнем меню программы:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку:

C:\WINDOWS\System32\audmgr32.dll

Нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое, поочередно, делаем со следующими файлами:

C:\WINDOWS\System32\mp4sglmf.dll

C:\WINDOWS\System32\e1.dll

C:\WINDOWS\System32\confaud.dll

C:\WINDOWS\System32\audstat.dll

4. После чего снова перезагружаем компьютер.

5. На всякий случай делаем сканирование с помощью AVZ и обращаем внимание на "Обнаружена маскировка процессов" и "Подозрение на Keylogger или троянскую DLL" (только в случае, если что-либо подобное будет найдено, перед тем как пробовать удалять, обязательно убедитесь, что такие подозрительные файлы не относятся к вашим программам, т.к. такое вполне может быть; напр., Punto Switcher).

И если вдруг что-то в протоколе программы в целом будет вам не понятно, то точно также, перед тем как что-либо предпринимать, сначала лучше удостовериться, задав вопрос прямо тут же.

Share this post


Link to post
Share on other sites

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

Спасибо!

вот что получилось:

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 01.11.2006 16:38:30

Загружена база: 56603 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 28.10.2006 14:34

Загружены микропрограммы эвристики: 363

Загружены цифровые подписи системных файлов: 52763

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 30

Количество загруженных модулей: 270

Проверка памяти завершена

3. Сканирование дисков

C:\Documents and Settings\Leha\Local Settings\Temp\7.tmp >>>>> Email-Worm.Win32.Warezov.dn

Прямое чтение C:\Documents and Settings\Leha\Local Settings\Temp\~DFE4EA.tmp

Прямое чтение C:\Documents and Settings\Leha\Рабочий стол\1.doc

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpk.exe >>>>> Monitor.Win32.Perflogger.ad

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpkun.exe >>>>> Monitor.Win32.Perflogger.an

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpkvw.exe >>>>> Monitor.Win32.Perflogger.aq

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/Setup.exe >>>>> Keylogger.Win32.Perflogger.af

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpkhk.dll >>>>> Keylogger.Win32.BPK

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpkwb.dll >>>>> Trojan-Spy.Win32.Perfloger.i

C:\Documents and Settings\Leha\Рабочий стол\distr\Perfect Keylogger.exe/{RAR-SFX}/bpkr.exe >>>>> Trojan-Downloader.Win32.Agent.fz

C:\Documents and Settings\Leha\Рабочий стол\hijackthis\backups\backup-20061101-162929-734.inf >>>>> Spy.MyWebSearch

C:\Program Files\Uninstall My Web Search.dll >>> подозрение на AdvWare.Win32.MyWebSearch.p ( 006EF556 011C6CD6 00218CB2 00209DBD 266240)

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063194.exe >>>>> Trojan-PSW.Win32.LdPinch.baa

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063203.exe >>>>> Trojan-PSW.Win32.LdPinch.baa

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063204.exe >>>>> Email-Worm.Win32.Warezov.dn

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063206.exe >>>>> Email-Worm.Win32.Warezov.cw

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063209.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063231.exe >>>>> Email-Worm.Win32.Warezov.dn

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP250\A0063235.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP251\A0063283.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP251\A0063313.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP251\A0063372.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP251\A0063388.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP251\A0063408.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0063446.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0064386.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0064387.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0064390.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0065386.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP252\A0065389.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0065397.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0066386.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0066389.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0066414.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0066417.exe >>>>> Email-Worm.Win32.Warezov.df

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP253\A0066511.exe >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP254\A0067635.dll >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP254\A0067636.dll >>>>> Email-Worm.Win32.Warezov.da

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP254\A0067638.dll >>>>> Email-Worm.Win32.Warezov.dq

C:\System Volume Information\_restore{B4EEE7C3-FC2A-4095-B4EC-C3D8BF246BEB}\RP254\A0067639.dll >>>>> Email-Worm.Win32.Warezov.dq

C:\WINDOWS\system32\msihftpw.dll >>>>> Email-Worm.Win32.Warezov.da

C:\WINDOWS\system32\vmhevnet.exe >>>>> Email-Worm.Win32.Warezov.df

C:\WINDOWS\system32\vvmhevnet.dll >>>>> Email-Worm.Win32.Warezov.da

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "e1.dll"

Проверка завершена

Просканировано файлов: 96261, извлечено из архивов: 80040, найдено вредоносных программ 40

Сканирование завершено в 01.11.2006 16:48:53

Сканирование длилось 00:10:25

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Share this post


Link to post
Share on other sites

Saule!!!

Я уже обращалась к Вам за помощью, спасибо еще раз.

Сейчас меня смущают результаты сканирования программой AVZ.

Как мне на них реагировать?

Заранее спасибо.

avz_log.txt

HIJACK.txt

avz_log.txt

HIJACK.txt

Share this post


Link to post
Share on other sites
вот что получилось:

1. Временно отключаем функцию System Restore:

Правой кнопкой мыши на иконку
My Computer
(Мой Компьютер), заходим в его
Properties
(Свойства).
Находим закладку
System Restore
(Восстановление Системы).
Ставим галочку напротив
Turn off System Restore on all drives
(Запpетить Восстановление Системных файлов на всех дисках).
Hажимаем
Apply
(Пpименить).
Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем
ОК
.

2. Удаляем временные файлы системы:

  • Либо с помощью ATF-Cleaner:

    Скачиваем, запускаем (инсталляция не требуется) и отмечаем галочкой:

    - для полной чистки:
    Select All
    и нажимаем на кнопку
    Empty Selected
    .

    - если же какие-либо куки вам необходимы (допустим, на некоторые сайты, где нужна регистрация, вы уже долгое время заходите автоматически и теперь не сможете вспомнить паролей), то достаточно будет отметить:
    Windows Temp + Current User Temp + Prefetch
    и нажать на кнопку
    Empty Selected
    .
    atgt0.gif
  • Либо вручную:

    Start > Run
    (Пуск > Применить)

    Вписываем
    %temp%

    Нажимаем
    ОК
    . Откроеться папка с временными файлами.

    Нажимаем
    Ctrl + A
    (чтобы отметить всё содержимое) и
    Shift + Del
    (Delete) для удаления.

    Если что-то таким образом удаляться не захочет - ничего страшного.

3. Удаляем следующие файлы с помощью AVZ (через "Файл > Отложное удаление файла", как было описано в предыдущем посте):

C:\WINDOWS\system32\
msihftpw.dll
C:\WINDOWS\system32\
vmhevnet.exe
C:\WINDOWS\system32\
vvmhevnet.dll
C:\Program Files\
Uninstall My Web Search.dll

4. Удаляем вручную в том случае, если вы не знаете, откуда у вас мог появиться следующий файл (т.е. если он был скачен не вами):

C:\Documents and Settings\Leha\Рабочий стол\distr\
Perfect Keylogger.exe

5. Удаляем папку с бэкапами HijackThis:

C:\Documents and Settings\Leha\Рабочий стол\hijackthis\
backups
(всю папку backups)

6. Перезагружаем компьютер и после повторяем сканирование с помощью AVZ.

Если на этот раз будет чисто, то включаем обратно функцию System Restore:

My Computer/Мой Компьютер > Properties/Свойства > System Restore/Восстановление Системы > убираем галочку напротив Turn off System Restore on all drives/Запpетить Восстановление Системных файлов на всех дисках > Apply/Пpименить > OK

Share this post


Link to post
Share on other sites
Guest avb_constructor

Привет, Saule! Вчера какой-то косяк был на форуме. На всякий случай проверил комп антивирусом и хайджекером. Вот что он пишет:

Logfile of HijackThis v1.99.1

Scan saved at 17:36:28, on 01.11.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\FLEXLM\lmgrd.exe

C:\FLEXLM\SW_D.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

D:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

D:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\AlfaClock\AlfaClock.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Program Files\Weather Watcher\ww.exe

C:\Program Files\Yandex\Desktop\yandesk.exe

D:\Program Files\FastStone Capture\FSCapture.exe

C:\Program Files\NumLock Calculator\NLCalc.exe

D:\Program Files\OpenOffice.org 2.0.3\program\soffice.exe

D:\Program Files\OpenOffice.org 2.0.3\program\soffice.BIN

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\AutoCAD 2006\acad.exe

C:\DOCUME~1\Admin\LOCALS~1\Temp\AdskCleanup.0001

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\CharMap.Exe

C:\Documents and Settings\Admin\Рабочий стол\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [iCQ Lite] "D:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [VisualTaskTips] D:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Program Files\AlfaClock\AlfaClock.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\Weather Watcher\ww.exe

O4 - HKCU\..\Run: [YandexDesktopSearch] "C:\Program Files\Yandex\Desktop\yandesk.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: KeepCalc.exe.lnk = ?

O4 - Startup: Mozilla Thunderbird.lnk = D:\Program Files\Mozilla Thunderbird\thunderbird.exe

O4 - Startup: NumLock Calculator.lnk = C:\Program Files\NumLock Calculator\NLCalc.exe

O4 - Startup: OpenOffice.org 2.0.3.lnk = D:\Program Files\OpenOffice.org 2.0.3\program\quickstart.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O4 - Global Startup: FastStone Capture.lnk = D:\Program Files\FastStone Capture\FSCapture.exe

O8 - Extra context menu item: &CHMSaver - Save to chm... - C:\Program Files\CHMSaver\run.html

O8 - Extra context menu item: &CHMSaver - Settings... - C:\Program Files\CHMSaver\run_settings.html

O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Translate with Lingvo - res://D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx

O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C77B853-CDE5-4A51-A996-12EFA08A0649}: NameServer = 213.137.248.2,80.72.124.2

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\FLEXLM\lmgrd.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Есть что-нибудь опасное в моем компе?

Share this post


Link to post
Share on other sites
Сейчас меня смущают результаты сканирования программой AVZ.

Как мне на них реагировать?

В вашем случае можно реагировать аналогично выводу протокола AVZ в самом конце: найдено вредоносных программ 0.

В логе HijackThis тоже ничего подозрительного не видно.

Что касается "Подозрение на Keylogger или троянскую DLL", то оба файла принадлежат Авасту и то, а типичное для кейлоггеров поведение связано с механизмами мониторинга антивирусом операционной системы (также может быть отслеживание нажатий на "горячие клавиши").

Надпись "не зарегистрировано" означает, что файл просто еще не внесен в базу AVZ, как безопасный.

Поэтому, если у вас будет желание, то вы можете самостоятельно заархивировать копии этих файлов (ASWIDLE.DLL и AVCOMMEX.DLL) и отослать архив Олегу с помощью формы на сайте: http://z-oleg.com/secur/avz/uploadvir.php, для внесения их в список безопасных и для того, чтобы подобное вас больше бы не смущало.

Привет, Saule! Вчера какой-то косяк был на форуме. На всякий случай проверил комп антивирусом и хайджекером. Вот что он пишет:

Есть что-нибудь опасное в моем компе?

Ничего опасного в логе нет :rolleyes:

А с форумом косяк, о котором ты говоришь, был вчера, если даже и не у всех, то у многих.

Share this post


Link to post
Share on other sites
Guest avb_constructor

Ничего опасного в логе нет :rolleyes:

А с форумом косяк, о котором ты говоришь, был вчера, если даже и не у всех, то у многих.

Спасибо большое. :rolleyes: Меня это успокоило.

Edited by avb_constructor

Share this post


Link to post
Share on other sites
В вашем случае можно реагировать аналогично выводу протокола AVZ в самом конце: найдено вредоносных программ 0.

В логе HijackThis тоже ничего подозрительного не видно.

Спасибо.

А перехватчики API в UserMode ничего гадкого мне не обещают?

Share this post


Link to post
Share on other sites
Спасибо.

А перехватчики API в UserMode ничего гадкого мне не обещают?

Это ваш антивирус.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...