Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помощь в лечении систем от нечисти


Рекомендуемые сообщения

Здравствуйте!

Мне нужна помощь по компу: что и куда здесь на удаление!!

Спасибки!!

вот лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 0:29:59, on 18.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Вот это точно вирус

C:\WINDOWS\svchost.exe

Скорее всего у тебя все исполняемые файлы заражены. В настройках антивируса (Касперский или DrWeb) поставь "лечить"

Можешь воспользоваться этим http://download.drweb.com/drweb+cureit/?lng=ru

Это O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)

и оставшиеся записи на NAV спец позже тебе подскажет, как удалить.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 1,9 тыс
  • Создана
  • Последний ответ

Топ авторов темы

Подскажите пожалуйста.

Подхватил какую-то заразу в инете, теперь сижу мучаюсь....очень большой исходящий и входящий траффик. Пробовал лечиться DRWEB, Касперским, AVZ. Касперский не нашел ничего, так как давно не обновлялся....DRWEB несколько троянов....удалил, AVZ тоже обнаружил пару бяк..........вроде тоже удалил. К сожалению не помогло.......трафик по прежнему большой .......использую IEXPLORER.

Пробовал чистить реестр.....наверно как-то коряво почистил, потому что перестала открываться справка в меню пуск и пропал поиск для Windows. И еще в IEXPLORER перестали отображаться гостевые книги на fastbb.ru.

Помогите разобраться в этом во всем пожалуйста.

А вот и лог.....

Logfile of HijackThis v1.99.1

Scan saved at 17:33:39, on 17.01.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

У тебя видеокарта GF от ASUS?

Надо убрать это

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [anvshell] anvshell.exe

программы для поиска свежих драйверов от NVidia. А они постоянно выходят новые :).

Ты вообще зря ставил драйвера от ASUS. Надо было просто свежие от NVidia поставить. Удали вспомогательные программы от АSUS.

O4 - HKLM\..\RunServices: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe

У тебя раньше карта Radeon была? Зайди в службы и выключи этот сервис (поставь в положение "отключено") и вручную удали этот файл после перезагрузки.

Скачай программку xp-AntiSpy и выключи все обновления.

Для просмотра трафика нужен файрволл.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Вот это точно вирус

C:\WINDOWS\svchost.exe

Скорее всего у тебя все исполняемые файлы заражены. В настройках антивируса (Касперский или DrWeb) поставь "лечить"

Можешь воспользоваться этим http://download.drweb.com/drweb+cureit/?lng=ru

Это O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)

и оставшиеся записи на NAV спец позже тебе подскажет, как удалить.

Спасибо за ответ! DrWeb проверка не вытаскивает 2 вируса - хоть и обозначивает, что они будут вылечены после рестарта! После рестарта таже фигня! :)

Так же не устанавливается Касперский - даже при удаленном Nortone :)

Скорее всего проблема вэтом - при чистке компа что-то удалила с оряча и выскакивает вот это

Buffer overrun detected!

Program: C:\WINDOWS\Explorer.EXE

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за ответ! DrWeb проверка не вытаскивает 2 вируса - хоть и обозначивает, что они будут вылечены после рестарта! После рестарта таже фигня! :mad:

Так же не устанавливается Касперский - даже при удаленном Nortone :sly:

Скорее всего проблема вэтом - при чистке компа что-то удалила с оряча и выскакивает вот это

Buffer overrun detected!

Program: C:\WINDOWS\Explorer.EXE

Вирус не дает исполняемые файлы запускать. Касперскому не Нортон мешает.

Попробуй сделать проверку Вебом в безопасном режиме или установить Касперского в безопасном режиме.

(или Saule подождать :g:)

Перестань удалять все подряд сама. Надпись "Buffer overrun detected!" пропадет сама после лечения.

Просто у тебя и Explorer.exe заражен ( не вздумай удалить :))

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Вирус не дает исполняемые файлы запускать. Касперскому не Нортон мешает.

Попробуй сделать проверку Вебом в безопасном режиме или установить Касперского в безопасном режиме.

(или Saule подождать :sly:)

Перестань удалять все подряд сама. Надпись "Buffer overrun detected!" пропадет сама после лечения.

Просто у тебя и Explorer.exe заражен ( не вздумай удалить :g:)

уже остановилась! и вся в расстройствах - профессионала вызывать дорого - не могу сейчас!

Короче вся в слезах!

Онлайн Касперский тоже не идет :mad:

Как устанавливать в безопасном режиме??

Восстановление системы у меня отключено!!

Ссылка на комментарий
Поделиться на другие сайты

уже остановилась! и вся в расстройствах - профессионала вызывать дорого - не могу сейчас!

Короче вся в слезах!

Онлайн Касперский тоже не идет :mad:

Как устанавливать в безопасном режиме??

Восстановление системы у меня отключено!!

При загрузке Виндоуз жми на клавишу F8.

Только я не уверен, что все получится.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

При загрузке Виндоуз жми на клавишу F8.

Только я не уверен, что все получится.

O-o! Что жтогда делать-то? Как до Saule достучаться??

Ссылка на комментарий
Поделиться на другие сайты

Так же не устанавливается Касперский - даже при удаленном Nortone :bye1:

Скорее всего проблема вэтом - при чистке компа что-то удалила с оряча и выскакивает вот это

Ни Нортона ли случайно вы в тот раз удалили? Потому что создалось впечатление, что его не деинсталлировали так, как полагается, а просто вырвали из системы... И это не есть хорошо.

И еще, что за вирусы были найдены Dr.WEB'ом? (названия файлов + где именно они находились?)

И как часто появляется сообщение о переполнении буфера?

Очень жаль, что функция System Restore у вас была отключена. В вашем случае восстановиться из более раннего состояния - было бы самое верное :clap:

Плюс ко всему, по всей видимости, в системе находится руткит, и в такой ситуации от антивируса в любом случае толку будет немного (кстати, многие антивирусы, в том числе и Касперский, в безопасном режиме, к сожалению, не устанавливаются).

Для начала:

1. Скачиваем SDFix

Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix.

В вашем случае она будет здесь:

C:\
SDFix

2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

3. Открываем папку SDFix и запускаем файл RunThis.bat.

Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4. После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

5. Скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis + также очень желательно провести исследование системы с помощью AVZ и приложить к сообщению его протокол (скачиваем, распаковываем, запускаем, делаем сканирование и после него нажимаем в верхнем меню программы: Файл > Исследование системы; только галочку напротив "Создать ZIP архив с протоколом исследования системы" - ставить не нужно).

Ссылка на комментарий
Поделиться на другие сайты

Пробовал чистить реестр.....наверно как-то коряво почистил, потому что перестала открываться справка в меню пуск и пропал поиск для Windows. И еще в IEXPLORER перестали отображаться гостевые книги на fastbb.ru.

По вашему логу:

Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no file)
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

------------

Пробовали чистить реестр с помощью какой(-их) программы конкретно? Так как, бесполезных и совершенно ненужных ключей слишком много даже в логе HijackThis(

И по поводу трафика - попробуйте воспользоваться советами, которые дали вам VanGog и ser208.

Ссылка на комментарий
Поделиться на другие сайты

Пробовал чистить реестр.....наверно как-то коряво почистил, потому что перестала открываться справка в меню пуск и пропал поиск для Windows.

А еще за справку отвечает служба Справка и поддержка (что бы открыть службы пуск-выполнить-services.msc). Перевести в состояние работает, загрузка - авто.

Насчет поиска, может проблема со скриптами.

Тогда в Пуск\Выполнить надо набрать, а потом нажать ОК на появишемся сообщении:

regsvr32 jscript.dll

regsvr32 vbscript.dll

regsvr32 mshtml.dll

После ввода каждой строчки, естественно, нажимать на Enter :bye1:

Saule,

В лечении подобных случаев может быть очень полезен: SDFix (см. следующий пост).
в теме "Важно знать!". Следующий пост - это где?
Ссылка на комментарий
Поделиться на другие сайты

Saule, в теме "Важно знать!". Следующий пост - это где?

Это я так заранее, на будущее пишу :)

Ссылка на комментарий
Поделиться на другие сайты

Всем спасибо за заботу!

VanGog сделал так как ты написал.......

ввел

regsvr32 jscript.dll

regsvr32 vbscript.dll

regsvr32 mshtml.dll

заработала и справка и поиск и форумы стали отображаться как надо.....вобщем все в шоколаде....спасибки тибе)))

Saule

профиксил все что ты указала....надеюсь помогло

чистил реестр с помощью Registry Cleaner 32........там в списке секций для сканирования есть строчка COM object entries, так вот во всех других секциях прога находит ошибки и фиксит без проблем, а в этой нашла 602 ошибки, но почему то не хочет их фиксить и никаких сообщений по этому поводу не выдает....

по поводу траффика......поставил Outpost, он определил заразу, которая и сжирала весь траффик - protector.exe. Помог антивирус AVZ, он определил, что это RootKit и вроде бы удалил...теперь проблемм с траффиком нет.......после чего проверил еще раз и меня смущают вот эти строчки в его отчете:

"3. Сканирование дисков

Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys

C:\WINDOWS\system32\ntio256.sys >>>>> Rootkit.Win32.Agent.cf удаление запрещено настройкой"

то есть, как я понимаю, это еще один Rootkit.......а как его тогда удалить???

Ссылка на комментарий
Поделиться на другие сайты

уже остановилась! и вся в расстройствах - профессионала вызывать дорого - не могу сейчас!

Короче вся в слезах!

Онлайн Касперский тоже не идет :(

Как устанавливать в безопасном режиме??

Восстановление системы у меня отключено!!

Сейчас пришел к товарищу, он попросил поглядеть, что у него там за дрянь на компе.

Все симптомы, как у тебя. Начал устанавливать антивирус--не устанавливается.

Копирую portable антивирусы с флешки--не идут.

Запустил диспетчер задач--ничего плохого не видно.

Запустил утиллиту Process Explorer NT от Systernals (можно использовать любой вьювер процессов, где виден путь до приложения)--убил процесс C:\Windows\svchost.exe (Process Explorer NT надо запустить только один раз, второй раз не запустится, потому что сразу заражается).

После этого начал устанавливаться антивирус. Устанавливать надо новый инсталлятор, потому что старый не запускается, потому что тоже заражен

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

..................

5. Скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis + также очень желательно провести исследование системы с помощью AVZ и приложить к сообщению его протокол (скачиваем, распаковываем, запускаем, делаем сканирование и после него нажимаем в верхнем меню программы: Файл > Исследование системы; только галочку напротив "Создать ZIP архив с протоколом исследования системы" - ставить не нужно).

Здравствуйте, Saule!

Спасибо вам за информацию. выложенную для меня..

Я высылаю вам лог от SDFix

Сообщение о переполнеии буфера появлялось сразу как только я открывала компьюетер, попытки закрыть его или дать Ок не приводили ни к каим резалтам.

System Restore я закрыла уже после того как сама пыталась чистиь комп всеми чистилками.. Кстати, когда у меня уже ничего не получалдось и вирусы не вытаскивались, я нашла ваш сайт и следовала указаниям по чистке компа, где и сказано закрыть System Restore.

Спасибо вам за помощь

SDFix: Version 1.60

19.01.2007 - 19:02:53,54

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

COM+ Messages

Path:

File Path - "C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272

COM+ Messages Deleted

Restoring Windows Registry Entries

Restoring Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Files will be copied to Backups folder and removed:

C:\DOCUME~1\Elina1\LOCALS~1\Temp\magent.exe - Deleted

C:\DOCUME~1\Elina1\LOCALS~1\Temp\setup.exe - Deleted

C:\WINDOWS\svchost.exe - Deleted

C:\WINDOWS\system32\unsvchosts.lzma - Deleted

C:\WINDOWS\Temp\removalfile.bat - Deleted

C:\WINDOWS\Temp\win1.tmp - Deleted

C:\WINDOWS\Temp\win175.tmp - Deleted

C:\WINDOWS\Temp\win2D.tmp - Deleted

C:\WINDOWS\Temp\win32.tmp - Deleted

C:\WINDOWS\Temp\win35.tmp - Deleted

C:\WINDOWS\Temp\win3B.tmp - Deleted

C:\WINDOWS\Temp\win3C.tmp - Deleted

C:\WINDOWS\Temp\win3D.tmp - Deleted

C:\WINDOWS\Temp\win3E.tmp - Deleted

C:\WINDOWS\Temp\win3F.tmp - Deleted

C:\WINDOWS\Temp\win7.tmp - Deleted

C:\WINDOWS\Temp\win98.tmp - Deleted

C:\WINDOWS\Temp\win99.tmp - Deleted

C:\WINDOWS\Temp\win9A.tmp - Deleted

C:\WINDOWS\Temp\win9C.tmp - Deleted

C:\WINDOWS\Temp\win9E.tmp - Deleted

C:\WINDOWS\Temp\winA0.tmp - Deleted

C:\WINDOWS\Temp\winA1.tmp - Deleted

C:\WINDOWS\Temp\winA2.tmp - Deleted

C:\WINDOWS\Temp\winA4.tmp - Deleted

C:\WINDOWS\Temp\winA7.tmp - Deleted

C:\WINDOWS\Temp\winA8.tmp - Deleted

C:\WINDOWS\Temp\winB6.tmp - Deleted

C:\WINDOWS\Temp\winBC.tmp - Deleted

C:\WINDOWS\Temp\winD0.tmp - Deleted

Alternate Streams Check:

C:\WINDOWS\system32

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe"="C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe:*:Disabled:Matt Hayes Fishing"

"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Westwood\\RA2\\game.exe"="C:\\Westwood\\RA2\\game.exe:*:Enabled:Main executable for Red Alert 2"

"C:\\Westwood\\RA2\\patchget.dat"="C:\\Westwood\\RA2\\patchget.dat:*:Enabled:patchgrabber"

"C:\\Westwood\\RA2\\mph.exe"="C:\\Westwood\\RA2\\mph.exe:*:Enabled:mph"

"C:\\CounterStrike\\hl.exe"="C:\\CounterStrike\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe"="C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

"C:\\Pr

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

"C:\\Program Files\\Valve\\hl.exe"="C:\\Program Files\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Need For Speed Underground\\speed.exe"="C:\\Program Files\\Need For Speed Underground\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"

"C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe"="C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe:*:Enabled:Visual Site Designer Application"

"C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe"="C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe"="C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

"C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"

"C:\\Program Files\\World of Warcraft\\lacd_client.exe"="C:\\Program Files\\World of Warcraft\\lacd_client.exe:*:Disabled:LostAngel's WoW cheating death client"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe:*:Disabled:Yahoo! Messenger"

"C:\\WebServers\\usr\\local\\apache\\Apache.exe"="C:\\WebServers\\usr\\local\\apache\\Apache.exe:*:Enabled:Apache"

"C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe"="C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe"="C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe:*:Enabled:bfvietnam"

"C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"="C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe:*:Enabled:CrazyTalk"

"C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe:*:Enabled:µTorrent"

"C:\\NaPali\\System\\Unreal.exe"="C:\\NaPali\\System\\Unreal.exe:*:Enabled:Unreal"

"C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe"="C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe"="C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe"="C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe:*:Enabled:winE.tmp"

"C:\\WINDOWS\\TEMP\\win26A.tmp.exe"="C:\\WINDOWS\\TEMP\\win26A.tmp.exe:*:Enabled:win26A.tmp"

"C:\\WINDOWS\\TEMP\\win60.tmp.exe"="C:\\WINDOWS\\TEMP\\win60.tmp.exe:*:Enabled:win60.tmp"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\NTDETECT.COM

C:\Documents and Settings\Elina1\Local Settings\Temp\xkgiwyif.dll

C:\Documents and Settings\Vitaly\Local Settings\Temp\eppmqhqo.dll

C:\WINDOWS\system32\ddcbxvv.dll

C:\WINDOWS\system32\ddccc.dll

C:\WINDOWS\system32\vtutu.dll

C:\WINDOWS\system32\xxyvutt.dll

C:\WINDOWS\system32\xxyxwuu.dll

C:\Documents and Settings\Vitaly\My Documents\?ystem\svchost.exe

C:\Program Files\Common Files\svchost.exe

C:\Program Files\W?nSxS\nslookup.exe

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\ej6jawja.sys

C:\hiberfil.sys

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\Documents and Settings\All Users\Application Data\13.sys

C:\Documents and Settings\All Users\Application Data\ќ™ѓ„3113>.sys

C:\WINDOWS\WSYS049.SYS

C:\WINDOWS\system32\KGyGaAvL.sys

C:\Documents and Settings\All Users\Application Data\Google Updater\cache\BIT42.tmp

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

C:\Documents and Settings\Elina1\Local Settings\Temp\bmp17.tmp

C:\Documents and Settings\Elina1\Local Settings\Temp\Z@R37.tmp

C:\Documents and Settings\Elina1\Local Settings\Temp\Z@S38.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\10 Saphir\~WRL3451.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\11Royal Blue\~WRL0992.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\11Royal Blue\~WRL2194.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\3 Coral\~WRL2013.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\3 Coral\~WRL3704.tmp

C:\Documents and Settings\Elina1\My Documents\Aura-Soma\RELATING to AURA-SOMA\COLORS\5 Zoloto\~WRL0050.tmp

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0838e3ca46c974d22be0ec664b800381\BIT4.tmp

C:\WINDOWS\system32\bbeeg.tmp

Finished

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, Saule!

Спасибо вам за информацию. выложенную для меня..

Я высылаю вам лог от SDFix

Сообщение о переполнеии буфера появлялось сразу как только я открывала компьюетер, попытки закрыть его или дать Ок не приводили ни к каим резалтам.

System Restore я закрыла уже после того как сама пыталась чистиь комп всеми чистилками.. Кстати, когда у меня уже ничего не получалдось и вирусы не вытаскивались, я нашла ваш сайт и следовала указаниям по чистке компа, где и сказано закрыть System Restore.

Спасибо вам за помощь

SDFix: Version 1.60

19.01.2007 - 19:02:53,54

Finished

Хорошо, если вылечены все зараженные исполняемые файлы. Если остался хоть один--проблема "восстанет, как птица Феникс" :):).

Пройтись оживленным антивирусом желательно.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Хорошо, если вылечены все зараженные исполняемые файлы. Если остался хоть один--проблема "восстанет, как птица Феникс"

Уверенна, что в данном случае речь идет совсем о разных вирусах.

Я высылаю вам лог от SDFix

После SDFix стало гораздо легче. Так как он удалил, по крайней мере, часть руткита, и благодаря этому многое, чего раньше было не видно, теперь будет отображаться.

Правда, не смотря на это в вашей системе до сих пор живет куча заразы, которую будет не так легко истребить. Но попробовать можно.

1. Скачиваем VundoFix

Закрываем все открытые окна и запускаем программу.

Ставим галочку напротив "Run VundoFix as a task"

fixdz0.gif

Появится сообщение: "VundoFix will now close and re-open in 1 minute or less..."

Нажимаем ОК (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно).

При её повторном включении нажимаем на кнопку "Scan for Vundo"

Когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo"

Затем программа спросит у вас, действительно ли вы хотите удалить эти файлы, нажимаем на "Yes"

После чего начнется удаление инфекции.

Когда программа закончит, появится сообщение о выключении компьютера, нажимаем ОК, и ваш компьютер выключится.

Включаем его обратно.

2. Теперь нужно удалить все временные файлы системы с помощью ATF-Cleaner:

Скачиваем, запускаем (инсталляция не требуется), для полной чистки отмечаем галочкой "Select All" и нажимаем на кнопку "Empty Selected".

3. Также нужно постараться найти и удалить следующие файлы (нужно включить опцию "видеть скрытые файлы"):

C:\Documents and Settings\Vitaly\My Documents\?ystem\
svchost.exe
C:\Program Files\Common Files\
svchost.exe

Если вручную у вас сделать этого не получится, то попробуйте удалить эти файлы с помощью KillBox.

Процедура удаления файла с помощью Killbox выполняеться следующим образом:
В строку его окошка нужно скопировать точное местоположение файла (например, C:\Program Files\Common Files\svchost.exe).
Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

4. После этого компьютер нужно перезагрузить.

5. Также можно почистить следующие строчки в логе HijackThis (если такие всё еще будут присутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {2315AAA8-111A-1BE1-6F25-11E4C8B3B3EE} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-9EB4-FE6FA694B13E} - (no file)
O2 - BHO: (no name) - {664A7BBA-92C4-4086-8B63-D029A149629E} - C:\WINDOWS\system32\jkkiffg.dll
O2 - BHO: (no name) - {754FABFB-164F-1AE7-6925-11E4C8B3B2BA} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - (no file)
O2 - BHO: (no name) - {866CA964-1B81-142E-FF9C-1A44E28119B1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {EB6A4992-71CD-4C6C-87F7-5FF6BFE06049} - C:\WINDOWS\system32\geebb.dll
O2 - BHO: (no name) - {F9E5F47A-45FD-450C-91DF-81C72E1FADB0} - (no file)
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll
O20 - Winlogon Notify: jkkiffg - C:\WINDOWS\SYSTEM32\jkkiffg.dll
O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing)

6. Затем было бы очень неплохо еще раз прогнать ту операцию с SDFix (не из-за удаления чего-либо, а скорее из-за его лога) + сделать новый лог HijackThis.

Так как даже после всего этого, у вас всё равно кое-что в системе останется, но сначала нужно посмотреть на реакцию. Скорее всего, у вас есть еще один руткит и там нужно подумать, как будет лучше.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, если вылечены все зараженные исполняемые файлы.

Судя по тому, что показывает Report и Dr.Web - "не все гладко в датском королевстве"

Dr.Web показывает C:\WINDOWS\system32\geebb.dll - инфицирован Trojan.Virtumod

при задании удалить - ничего - каждый раз при перезагрузке компа-

эта же фихня. Переименовывала файл, чтобы удалить - тоже не переименовывается и не удаляется..

Spybot S&D показывает вот эту строку - не может удалить:

HKEY_Local_Machine\SYSTEM\ControlSet001\Services\cmdService

HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\cmdService

Где найти функцию - видеть скрытые файлы??

Ссылка на комментарий
Поделиться на другие сайты

Судя по тому, что показывает Report и Dr.Web - "не все гладко в датском королевстве"

Dr.Web показывает C:\WINDOWS\system32\geebb.dll - инфицирован Trojan.Virtumod

при задании удалить - ничего - каждый раз при перезагрузке компа-

эта же фихня. Переименовывала файл, чтобы удалить - тоже не переименовывается и не удаляется..

Ага, с этим диагнозом я вас немного опередила :)

Антивирусы на самом деле не могут удалить эту инфекцию (т.е. там дело не в Dr.WEB'е). Из-за этого и была создана программа VundoFix.

Spybot S&D показывает вот эту строку - не может удалить:

HKEY_Local_Machine\SYSTEM\ControlSet001\Services\cmdService

HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\cmdService

По поводу cmdService:

1. Скачиваем ren-cmdservice и распаковываем архив на рабочем столе.

Важное примечание: распаковать папку действительно нужно именно на рабочем столе (либо затем просто её туда перенести), т.к. корректное удаление
Comand service
возможно только когда ren-cmdservice запущен отсюда:
Desktop\ren-cmdservice
.

Открываем папку программы и запускаем файл ren-cmdservice.bat.

Нажимаем на любую клавишу клавиатуры и ждем, пока перед вами автоматически откроется текстовый файл с отчетом (файл tmp.txt в папке ren-cmdservice).

2. Удаляем временные файлы системы:

Либо с помощью
http://www.atribune.org/ccount/click.php?id=1' rel="external nofollow">
:
Скачиваем, запускаем (инсталляция не требуется), для полной чистки отмечаем галочкой "Select All" и нажимаем на кнопку "Empty Selected".
Либо в ручную:
  1. Идем: C:\Windows\
    Temp

    Удаляем всё содержимое этой папки.

  2. Дальше: Start > Run

    Висываем
    %temp%

    Нажимаем ОК или клавишу ENTER.

    Удаляем всё содержимое папки, которая откроется автоматически.

  3. Control Panel > Internet Options

    Нажимаем на кнопку
    Delete Files
    .

3. Теперь нужно перезагрузить компьютер и затем удостовериться, что Comand service действительно удален.

В случае если и после этого, Spybot S&D всё равно будет указывать на эту проблему, скопируйте содержимое отчета ren-cmdservice в своё сообщение.

Где найти функцию - видеть скрытые файлы??

Например тут:

Control Panel/Панель Управления > Folder Options/Свойства папки > закладка View/Вид

В области 'Advanced settings'/'Дополнительные параметры' находим и включаем опцию 'Show hidden files and folders'/'Показывать скрытые файлы и папки' + находим и отключаем опцию 'Hide protect operating system files (Recomended)'/'Скрывать защищенные системные файлы (рекомендуется)' (на вопрос Windows - отвечаем 'Yes'/'Да').

Затем нажимаем 'OK' и все скрытые файлы станут видны.

Ссылка на комментарий
Поделиться на другие сайты

Ага, с этим диагнозом я вас немного опередила :)

Антивирусы на самом деле не могут удалить эту инфекцию (т.е. там дело не в Dr.WEB'е). Из-за этого и была создана программа VundoFix.

.............По поводу cmdService:

...............2. Удаляем временные файлы системы:

Saule! Солнышко!

Произвела все написанное вами.. чистку..

Во временном фолдере %temp% один файл все же не стирается и не переименовывается! ~DF2ASF.tmp Что с ним делать ?

Dr.Web после всего этого все-равно выкидывает эти два вируса

C:\WINDOWS\System32\geebb.dll

C:\WINDOWS\System32\jkkiffg.dll

они не стираются , не удаляются и не переименовываются! :)

Spyder S&D показывает чисто и Ewido тоже чисто!

Что это за программа VundoFix, которую вы упомянули?

Спасибки

Ссылка на комментарий
Поделиться на другие сайты

нашла и скачала VundoFix; что нашел.. то удалила!

Dr.Web - все равно показывает вирус - geebb.dll и jkkiffg.dll !

возможно у меня только триал-версия (я ее скачала пару дней назад) и она не столь эффективна!

Buffer detected overrun пропал, но зато вылазит ErorSafe и winantiviruspro.com - где это вытаскивать или чем??

Windows все равно пляшет - на одном сайте не показывает страницу (раньше все было нормально) а только список ссылок синего цвета!

Media Player - не работает - попытка загрузить новый - пишет "отсутствие необходимых компонентов"

Сделала новый SDFix - вот лог:

SDFix: Version 1.60

21.01.2007 - 18:00:03,04

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

Path:

Restoring Windows Registry Entries

Restoring Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Files Found..

Alternate Streams Check:

C:\WINDOWS\system32

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe"="C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe:*:Disabled:Matt Hayes Fishing"

"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Westwood\\RA2\\game.exe"="C:\\Westwood\\RA2\\game.exe:*:Enabled:Main executable for Red Alert 2"

"C:\\Westwood\\RA2\\patchget.dat"="C:\\Westwood\\RA2\\patchget.dat:*:Enabled:patchgrabber"

"C:\\Westwood\\RA2\\mph.exe"="C:\\Westwood\\RA2\\mph.exe:*:Enabled:mph"

"C:\\CounterStrike\\hl.exe"="C:\\CounterStrike\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe"="C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

"C:\\Program Files\\Valve\\hl.exe"="C:\\Program Files\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Need For Speed Underground\\speed.exe"="C:\\Program Files\\Need For Speed Underground\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"

"C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe"="C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe:*:Enabled:Visual Site Designer Application"

"C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe"="C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe"="C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

"C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"

"C:\\Program Files\\World of Warcraft\\lacd_client.exe"="C:\\Program Files\\World of Warcraft\\lacd_client.exe:*:Disabled:LostAngel's WoW cheating death client"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe:*:Disabled:Yahoo! Messenger"

"C:\\WebServers\\usr\\local\\apache\\Apache.exe"="C:\\WebServers\\usr\\local\\apache\\Apache.exe:*:Enabled:Apache"

"C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe"="C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe"="C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe:*:Enabled:bfvietnam"

"C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"="C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe:*:Enabled:CrazyTalk"

"C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe:*:Enabled:µTorrent"

"C:\\NaPali\\System\\Unreal.exe"="C:\\NaPali\\System\\Unreal.exe:*:Enabled:Unreal"

"C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe"="C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe"="C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe"="C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe:*:Enabled:winE.tmp"

"C:\\WINDOWS\\TEMP\\win26A.tmp.exe"="C:\\WINDOWS\\TEMP\\win26A.tmp.exe:*:Enabled:win26A.tmp"

"C:\\WINDOWS\\TEMP\\win60.tmp.exe"="C:\\WINDOWS\\TEMP\\win60.tmp.exe:*:Enabled:win60.tmp"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\NTDETECT.COM

C:\WINDOWS\system32\ddcbxvv.dll

C:\WINDOWS\system32\ddccc.dll

C:\WINDOWS\system32\vtutu.dll

C:\WINDOWS\system32\xxyvutt.dll

C:\WINDOWS\system32\xxyxwuu.dll

C:\Program Files\Common Files\svchost.exe

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\ej6jawja.sys

C:\hiberfil.sys

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\WINDOWS\WSYS049.SYS

C:\WINDOWS\system32\KGyGaAvL.sys

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Finished

что делать с этими файлами, которые обозначены как with Hidden Attributes : - они не очень внушают доверия судя по названию :)

HijackThis после всего этого кордебалета ..

Ссылка на комментарий
Поделиться на другие сайты

что делать с этими файлами, которые обозначены как with Hidden Attributes : - они не очень внушают доверия судя по названию

Я бы удалил

"C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe"="C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe:*:Enabled:winE.tmp"

"C:\\WINDOWS\\TEMP\\win26A.tmp.exe"="C:\\WINDOWS\\TEMP\\win26A.tmp.exe:*:Enabled:win26A.tmp"

"C:\\WINDOWS\\TEMP\\win60.tmp.exe"="C:\\WINDOWS\\TEMP\\win60.tmp.exe:*:Enabled:win60.tmp"

C:\WINDOWS\system32\ddcbxvv.dll

C:\WINDOWS\system32\ddccc.dll

C:\WINDOWS\system32\vtutu.dll

C:\WINDOWS\system32\xxyvutt.dll

C:\WINDOWS\system32\xxyxwuu.dll

C:\Program Files\Common Files\svchost.exe

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\WINDOWS\WSYS049.SYS

C:\WINDOWS\system32\KGyGaAvL.sys

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Ну а geebb.dll и jkkiffg.dll удали с помощью

KillBox

на предыдущей странице Saule говорила как.

Ссылка на комментарий
Поделиться на другие сайты

Dr.Web после всего этого все-равно выкидывает эти два вируса

C:\WINDOWS\System32\geebb.dll

C:\WINDOWS\System32\jkkiffg.dll

они не стираются , не удаляются и не переименовываются! :blink:

Что это за программа VundoFix, которую вы упомянули?

Пост для вас от 20.01.2007, 20:39:

пункт 1.:
1. Скачиваем
...

Прочитайте внимательнее, пожалуйста.

Я лично проверила перед тем, как его вам написать, удаляет ли эта версия вашу модификацию с той ошибкой (т.е. в вашем случае файлы geebb.dll и "jkkiffg.dll).

Программ с названием VundoFix в интернете существует побольше десятка, вам нужна была именно та, на которую я дала ссылку.

Больше ничем эти файлы трогать не нужно! Ни Dr.WEB'ом, ни Unlocker'ом, ни KillBox'ом (с помощью KillBox'а удалять нужно было левые файлы svchost.exe). Это не только никак не поможет вашей системе, но и в случае чрезмерного упорства может сделать ей еще хуже, так как на их месте просто появятся новые файлы с другим ПРОИЗВОЛЬНЫМ(!) названием (поэтому искать по названиям в гугле действительно неэффективно).

Лог SDFix нужен был только после того, как вашу систему почистил бы VundoFix, так как у вас сидит еще и другая инфекция, которая, по сути, еще посерьезнее Vundo, но перед тем как её удалять, с ней нужно остаться в системе "один на один", без посторонней заразы.

И еще вы попробовали удалить этот файл:

C:\Program Files\Common Files\
svchost.exe

Какой был результат? Разрешил ли он себя удалять (после чего просто вернулся на место) или не разрешил? Или же он всё-таки не был найден?

что делать с этими файлами, которые обозначены как with Hidden Attributes : - они не очень внушают доверия судя по названию :)

Самостоятельно лучше, конечно, вообще их не трогать. Так как часть из них уберется после того, как вы сделайте чистку с помощью VundoFix (после неё желательно скопировать лог этой программы в своё сообщение) + еще часть - это ваши системные, без которых Windows может отказаться нормально работать + то, что там остаётся - как я уже говорила, удалять нужно будет потом, но вручную вы до них не доберетесь.

Ссылка на комментарий
Поделиться на другие сайты

Пост для вас от 20.01.2007, 20:39:

пункт 1.:
1. Скачиваем
...

Прочитайте внимательнее, пожалуйста.

Я лично проверила перед тем, как его вам написать, удаляет ли эта версия вашу модификацию с той ошибкой (т.е. в вашем случае файлы geebb.dll и "jkkiffg.dll).

Лог SDFix нужен был только после того, как вашу систему почистил бы VundoFix, так как у вас сидит еще и другая инфекция, которая, по сути, еще посерьезнее Vundo, но перед тем как её удалять, с ней нужно остаться в системе "один на один", без посторонней заразы.

И еще вы попробовали удалить этот файл:

C:\Program Files\Common Files\
svchost.exe

Этот файл удалился сразу без капризов

C:\Program Files\Common Files\
svchost.exe

так же как и тот, кот. Вы указали вместе с ним на удаление..

Я почему-то ваши посты по лечению моей проблемы увидила в обратной последовательности, потому про VundoFix, нужный мне сразу не заметила.

Файлы geebb.dll и jkkiffg.dlll убрались к бениной маме и еще какая-то мутата вместе с ними.

Конечно напугали вы меня здорово, что у меня там сидит что-то похлеще Vundo!

Вот лог SDFix после удаления vundo:

SDFix: Version 1.60

22.01.2007 - 10:32:20,10

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

Path:

Restoring Windows Registry Entries

Restoring Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Files Found..

Alternate Streams Check:

C:\WINDOWS\system32

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe"="C:\\Program Files\\Electronic Arts\\Matt Hayes Fishing\\Matt Hayes Fishing.exe:*:Disabled:Matt Hayes Fishing"

"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Westwood\\RA2\\game.exe"="C:\\Westwood\\RA2\\game.exe:*:Enabled:Main executable for Red Alert 2"

"C:\\Westwood\\RA2\\patchget.dat"="C:\\Westwood\\RA2\\patchget.dat:*:Enabled:patchgrabber"

"C:\\Westwood\\RA2\\mph.exe"="C:\\Westwood\\RA2\\mph.exe:*:Enabled:mph"

"C:\\CounterStrike\\hl.exe"="C:\\CounterStrike\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe"="C:\\Program Files\\EA GAMES\\Need for Speed Most Wanted\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

"C:\\Program Files\\Valve\\hl.exe"="C:\\Program Files\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Need For Speed Underground\\speed.exe"="C:\\Program Files\\Need For Speed Underground\\speed.exe:*:Enabled:speed"

"C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"

"C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe"="C:\\Program Files\\CoffeeCup Software\\CoffeeCup Visual Site Designer\\vsd.exe:*:Enabled:Visual Site Designer Application"

"C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe"="C:\\Program Files\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe"="C:\\Documents and Settings\\Elina1\\Local Settings\\Temporary Internet Files\\Content.IE5\\YFY9UH8T\\magent[1].exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

"C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\[PC GAMES] Stronghold crusader\\clsscs01\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"

"C:\\Program Files\\World of Warcraft\\lacd_client.exe"="C:\\Program Files\\World of Warcraft\\lacd_client.exe:*:Disabled:LostAngel's WoW cheating death client"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe:*:Disabled:Yahoo! Messenger"

"C:\\WebServers\\usr\\local\\apache\\Apache.exe"="C:\\WebServers\\usr\\local\\apache\\Apache.exe:*:Enabled:Apache"

"C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\CaptureTheFlag_EG-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\WowExpansionMaster_1024_2100_B_English-avi-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe"="C:\\Program Files\\Warcraft III - Frozen Throne\\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe"="C:\\Program Files\\Battlefield Vietnam\\bfvietnam.exe:*:Enabled:bfvietnam"

"C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"="C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe:*:Enabled:CrazyTalk"

"C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe"="C:\\Documents and Settings\\Vitaly\\Desktop\\utorrent.exe:*:Enabled:µTorrent"

"C:\\NaPali\\System\\Unreal.exe"="C:\\NaPali\\System\\Unreal.exe:*:Enabled:Unreal"

"C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe"="C:\\Documents and Settings\\Elina1\\Desktop\\magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe"="C:\\Documents and Settings\\Elina1\\Application Data\\Mail.Ru\\Agent\\Magent.exe:*:Enabled:Mail.Ru Agent"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe"="C:\\DOCUME~1\\Vitaly\\LOCALS~1\\Temp\\winE.tmp.exe:*:Enabled:winE.tmp"

"C:\\WINDOWS\\TEMP\\win26A.tmp.exe"="C:\\WINDOWS\\TEMP\\win26A.tmp.exe:*:Enabled:win26A.tmp"

"C:\\WINDOWS\\TEMP\\win60.tmp.exe"="C:\\WINDOWS\\TEMP\\win60.tmp.exe:*:Enabled:win60.tmp"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\NTDETECT.COM

C:\WINDOWS\system32\ddccc.dll

C:\WINDOWS\system32\vtutu.dll

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\ej6jawja.sys

C:\hiberfil.sys

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\WINDOWS\WSYS049.SYS

C:\WINDOWS\system32\KGyGaAvL.sys

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Finished

Во временном фолдере все же не удаляется один файл

C:\DOCUME~1\Elina1\LOCALS~1\Temp~DF267B.tmp

Это решается?

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу



×
×
  • Создать...