Saule Опубликовано 26 января, 2006 Жалоба Поделиться Опубликовано 26 января, 2006 (изменено) в течение вот уже нескольких дней начали периодически (раз в 5-10 минут) открыватьсяокна браузера и переходить на какие-то сайты. В основном на http://www.health-yshopping.com/normal/yyy102.html.... Иногда открывались те сайты, которые прописаны у меня в Избранном(но редко)... Поиск антивирусами ничего не дал... Был процесс winstall.exe, его удалил, из реестра вычистил, но сайты продолжают грузиться... Может быть у кого-то была такая проблема или кто-то знает как с ней справиться? Вот лог HijackThis... 1. Включаем HijackThis, нажимаем на кнопку Do a system scan only и отмечаем галочкой следующее: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch4.ocx O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing) O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing) O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplu...ptdmgainads.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - file://E:\controls\sdkinst.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB O20 - Winlogon Notify: ExtShellViews - C:\WINNT\system32\k8no0i53e8.dll O23 - Service: Visual Studio Analyzer RPC bridge - Unknown owner - C:\Program Files\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\varpc.exe (file missing) Когда всё отметим, жмем на кнопку Fix checked. 2. Скачайте на рабочий стол l2mfix.ехе и инсталируйте, прямо тут же, на рабочем столе. Затем в папке l2mfix нужно найти файл l2mfix.bat и запустить. Откроется приложение, которое сначала попросит нажать любую клавишу для продолжения, а после выдаст меню с возможными действиями. Необходимо нажать - 1 и затем Enter. ВАЖНО(!): больше ничего нажимать не нужно, пока вас об этом не попросят Через несколько секунд откроется текстовый файл, содержимое которого нужно будет скопировать и показать мне (в PM или на форум, как вам удобнее). Этот текстовый файл также появится в папке l2mfix с названием report.txt. Плюс сделайте новый лог HijackThis и покажите его вместе с логом l2mfix. 3. И еще, если не трудно, поясните, пожалуйста, знаком ли вам этот сервис: O23 - Service: Workforce Test Server (Workforce1) - Intellect Business Consultants Ltd - D:\_Intellect\dev1\server\debug\workserv.exe Обьяснять не обязательно, просто скажите вы сами что-то подобное инсталировали или в первый раз это видите. Изменено 27 января, 2006 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
felessan Опубликовано 27 января, 2006 Жалоба Поделиться Опубликовано 27 января, 2006 все сделал. логи в прикрепленном файле. После всех процедур проблема не ушла:D все продолжает выскакивать та страничка с периодичностью в 5-10 минут. P.S. O23 - Service: Workforce Test Server (Workforce1) - Intellect Business Consultants Ltd - D:\_Intellect\dev1\server\debug\workserv.exe - это серверная часть софта, которое наша фирма делает. logs.rar logs.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
felessan Опубликовано 27 января, 2006 Жалоба Поделиться Опубликовано 27 января, 2006 в логе прикрепленном к предыдущему посту я забыл пофиксать R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com но и после фиксания проблема осталсь... вот новые логи: log_new.rar log_new.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 января, 2006 Жалоба Поделиться Опубликовано 27 января, 2006 (изменено) P.S. O23 - Service: Workforce Test Server (Workforce1) - Intellect Business Consultants Ltd - D:\_Intellect\dev1\server\debug\workserv.exe - это серверная часть софта, которое наша фирма делает Ок. Просто первый раз вижу что-то подобное, поэтому на всякий случай спрасила :D все сделал. логи в прикрепленном файле.После всех процедур проблема не ушла:D все продолжает выскакивать та страничка с периодичностью в 5-10 минут. Не волнуйтесь, именно поэтому и нужно было сделать лог с помощью l2mfix, так как прежде чем лечить "по-настоящему" инфекцию подобную вашей, всегда сначала нужно удоставериться, что это именно эта инфекция. 1. На время лечения отключаем функцию System Restore. Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в закладку Performance. Нажать на кнопку File System. Зайти в закладку Troubleshooting и поставить галочку около 'Disable System Restore'. 2. Важно, чтобы любые посторонние окна и программы были закрыты. 3. Открываем HijackThis, но только лишь открываем, ничего не сканируем(!). Он должен так и оставатся открытым, пока вы будите выполнять следующее действие. 4. Открываем папку l2mfix и снова запускаем файл l2mfix.bat. Нажимаем любую клавишу, затем цифру 2 и Enter. Во время того, как L2mfix будет лечить компьютер, ваш рабочий стол и иконки исчезнут (это нормально). Когда он закончит (процесс займет у него около 5 минут), то попросит нажать любую клавишу, для того, чтобы перезагрузиться. Но(!) пока что клавиатуру вообще не трогаем, а с помощью мышки нажимаем на кнопку Do a System Scan Only в HijackThis. Затем в его логе нужно будет найти строчку, которая начинается с O20 - Winlogon Notify: и заканчивается dll файлом (название может быть абсолютно любое). Отметить галочкой и нажать кнопку Fix Checked. Возможно, что такой строчки не будет, но нам обязательно нужно в этом случае подстраховатся. 5. Закрываем HijackThis и нажимаем любую клавишу, так как l2mfix всё еще этого ждет, чтобы перезагрузить вашу систему. После перезагрузки можно будет посмотреть его лог, где будет указано всё то, что он удалил и какие ключи изменил в реестре. А также, если вдруг что-то помешает ему выполнить лечение, то по этому логу можно будет установить что именно. ------------- Если проблемы решились - возвращаем функцию System Restore. Если же вдруг что-то пошло не так и проблемы остались, придется показать этот лог мне. Изменено 27 января, 2006 пользователем Saule 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Arcticden Опубликовано 29 января, 2006 Жалоба Поделиться Опубликовано 29 января, 2006 Скачай HijackThis. Включи и сохрани лог (кнопка Do a systemscan and save a logfile). Этот лог пришли мне в PM или выложи на форуме Logfile of HijackThis v1.99.1 Scan saved at 14:54:47, on 29.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\svchost.exe C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Punto Switcher\ps.exe C:\Program Files\CursorXP\CursorXP.exe C:\Program Files\MyIE2 RU 0.8.2003 Special\MyIE.exe C:\Documents and Settings\Den\Local Settings\Temp\Временная папка 1 для hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Download using Download &Express - file://C:\Program Files\Download Express\Add_Url.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1F6ED18F-3A75-4BBB-AE51-B00561525ABB}: NameServer = 85.28.195.129 213.168.128.2 O17 - HKLM\System\CS2\Services\Tcpip\..\{1F6ED18F-3A75-4BBB-AE51-B00561525ABB}: NameServer = 85.28.195.129 213.168.128.2 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Stolik Опубликовано 29 января, 2006 Жалоба Поделиться Опубликовано 29 января, 2006 Arcticden "Нормальный" svchost живет в system32. Так что C:\WINDOWS\svchost.exe - явно кто-то нехороший. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 30 января, 2006 Жалоба Поделиться Опубликовано 30 января, 2006 помогите пожалуйста. Проблема вот такая с месяц уже поймал в сети тройян под названием.., а фиг его знает вообще то, короче он заменяет файл svchost.exe и не хочет удаляться. У меня антивируса нет, тока XoftSpy, он его находит но если пытается удалить то комп перезагружается. я уже винду переставил, удалив вручную этот файл с другого компа предварительно но не помогло). Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file) Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, все посторонние программы и, главное, браузер были закрыты. Открыт только HijackThis). ------------------------------- И теперь по поводу вашей главной проблемы - svchost.exe. Тут может быть два варианта. Первый: это червь, который заражает большинство .ехе файлов (не трогает только те, которые меньше 110 кб), и в дальнейшем, при запуске любого из них, svchost.exe будет создаваться в папке Windows автоматически. Также этот вирус генерирует поддельную цифровую подпись, которая полностью идентична подписи Microsoft, в результате чего, система считает его одним из компонентов ядра и внутренним сервисным процессом. Это обьянило бы почему перезагружается ваш компьютер при попытки удалить этот файл. На самом деле убить его совершенно не сложно, но есть одно НО. Если в вашей системе, либо на каком либо CD-R-/CD-RW-диске, который был записан уже на зараженной вирусом машине, либо если вы пользуйтесь флэшками для переноса/хранения информации (USB Flash Memory Storage) или дискетами, останеться хоть 1 зараженный .ехе файл и он будет запущен на вашем компьютере, то всё начнется сначала. И еще просто к свединию, очень часто этот вирус попадает на компьютеры пользователей вместе с софтом, переданного им друзьями или знакомыми, которые игнорируют антивирусные программы и просто не знают о том, что их софт заражен. В лечение может помочь либо jeefogui.com Бесплатная разработка компании Sophos. В конце сканирования создаст лог: C:\resolve.log Либо бесплатный лечащий сканер Dr.Web - CureIt!. На русском о нем можно почитать тут: http://download.drweb.com/drweb+cureit/ Сканировать в любом случае необходимо в безопасном режиме (Safe Mode). И функция System Restore должна быть отключена (для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties, затем в System Restore и поставить галочку напротив Turn off System Restore on all drives). Все .ехе файлы, которые вылечить будет возможно оба сканера благополучно умеют лечить; то, что вылечить будет нельзя, необходимо, к сожалению, удалить. Но не переживайте, если возникнут проблемы с восстановлением каких-либо .ехе файлов и вы что-то вдруг не сможете достать, то обратитесь в приват, я лично вам с этим постараюсь помочь, так как делала это не раз. Плюс в конце необходимо полностью отчистить папку: C:\WINDOWS\Prefetch Либо руками (удалить нужно не саму папку, а только лишь содержимое). Либо с помощью командного файла. Откройте блокнот и скопируйте туда следующее: del c:\Windows\Prefetch\*.* /Q Затем сохраните с расширением .bat (например, CleanPrefetch.bat). И запустите его. ------------------------------- И второй вариант: если jeefogui.com ничего на вашем компьютере не найдет, то C:\WINDOWS\svchost.exe - это замаскированный троян, которого возможно удалить с помощью KillBox.exe: http://www.bleepingcomputer.com/files/spyware/KillBox.zip Распаковываем и удаляем файл: C:\WINDOWS\svchost.exe C:\WINDOWS\dltime.dll (если присутствует) Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, C:\WINDOWS\svchost.exe). Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри. Перезагружаем компьютер. ------------------------------- Оба варианта в полне реальны, и к чему больше склоняться я даже не знаю. Если проблемы решились - возвращаем функцию System Restore. Если нет, то сделайте, пожалуйста, следующее: Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section" Далее, напротив "Generate StartupList log" нужно поставить галочки около "List also minor sections" (full) и "List empty sections (complete). И затем нажать на кнопку "Generate StartupList log" Затем в появившемся окошке нажать "Yes". И перед вами, а также в папке hijackthis, появится текстовый файл с названием startuplist.txt. Содержимое этого файла нужно показать мне. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Arcticden Опубликовано 30 января, 2006 Жалоба Поделиться Опубликовано 30 января, 2006 буду пробовать, спасибо что откликнулись. Ссылка на комментарий Поделиться на другие сайты Поделиться
felessan Опубликовано 31 января, 2006 Жалоба Поделиться Опубликовано 31 января, 2006 попробовал сделать все как написали...при лечении l2mfix'ом ничего не гасло и рабочий стол не исчезал...сам процесс длился секунд 5.. потом просканировал HijackThis'ом и пофиксал O20 - Winlogon Notify:...перезагрузился...никакого эффекта - O20 - Winlogon Notify: осталась, и сайты продолжают груиться...заразы.. backup от l2mfix прилагаю backup.zip backup.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 31 января, 2006 Жалоба Поделиться Опубликовано 31 января, 2006 попробовал сделать все как написали...при лечении l2mfix'ом ничего не гасло и рабочий стол не исчезал...сам процесс длился секунд 5.. потом просканировал HijackThis'ом и пофиксал O20 - Winlogon Notify:...перезагрузился...никакого эффекта - O20 - Winlogon Notify: осталась, и сайты продолжают груиться...заразы.. backup от l2mfix прилагаю Процесс лечения даже не начался Во время него l2mfix обязательно отключает еxplorer.ехе, поэтому и иконки на рабочем столе пропадают. Что ему помешало, пока не известно, либо инфекция, либо одна из включенных на тот момент программ (возможно, именно антивирус). Поэтому делаем следующее: 1. Сначала полное сканирование системы с помощью Ewido: http://www.ewido.net/en/onlinescan/ После которого желательно все зараженные файлы, которые он найдет удалить и сохранить его лог (кнопка Save report, которая в конце покажеться внизу его окошка). 2. И затем пробуем повторить эту процедуру: Важно, чтобы любые посторонние окна и программы были закрыты. Плюс отключите, пожалуйста, на время выполнения этой процедуры свой антивирус и всё, что можете отключить из постороннего программного обеспечения. После перезагрузки всё включится обратно. 1. Открываем HijackThis, но только лишь открываем, ничего не сканируем(!). Он должен так и оставатся открытым, пока вы будите выполнять следующее действие. 2. Открываем папку l2mfix и запускаем файл l2mfix.bat. Нажимаем любую клавишу, затем цифру 2 и Enter. Во время того, как L2mfix будет лечить компьютер, ваш рабочий стол и иконки исчезнут (это нормально). Когда он закончит (процесс займет у него около 5 минут), то попросит нажать любую клавишу, для того, чтобы перезагрузиться. Но(!) пока что клавиатуру вообще не трогаем, а с помощью мышки нажимаем на кнопку Do a System Scan Only в HijackThis. Затем в его логе нужно будет найти строчку, которая начинается с O20 - Winlogon Notify: и заканчивается dll файлом (название может быть абсолютно любое). Отметить галочкой и нажать кнопку Fix Checked. 3. Закрываем HijackThis и нажимаем любую клавишу, так как l2mfix всё еще этого ждет, чтобы перезагрузить вашу систему. 3. После этого мне бы хотелось видеть лог Ewido, лог L2mfix (файл с названием log.txt в его папке) и новый лог HijackThis. Ссылка на комментарий Поделиться на другие сайты Поделиться
stavr Опубликовано 3 февраля, 2006 Жалоба Поделиться Опубликовано 3 февраля, 2006 При роверке с загрузочного диска сканером NOD 32 обнаружилась такая запись MBR sector of the 1.physical disk contains probablu unknown TSR BOOT VIRUS (7) насколько я правелно перевел что загрузочный сектор заражен неизвестным вирусом .Что вы посоветуете делать Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 февраля, 2006 Жалоба Поделиться Опубликовано 3 февраля, 2006 При роверке с загрузочного диска сканером NOD 32 обнаружилась такая запись MBR sector of the 1.physical disk contains probablu unknown TSR BOOT VIRUS (7) насколько я правелно перевел что загрузочный сектор заражен неизвестным вирусом .Что вы посоветуете делать Скажите, вы случайно не пользуйтесь никакими программами для шифрования данных? Ссылка на комментарий Поделиться на другие сайты Поделиться
stavr Опубликовано 3 февраля, 2006 Жалоба Поделиться Опубликовано 3 февраля, 2006 Нет не пользуюсь Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 февраля, 2006 Жалоба Поделиться Опубликовано 3 февраля, 2006 Нет не пользуюсь Оставьте, пожалуйста, лог HijackThis, если не сложно. (Необходимо включить и нажать на кнопку Do a systemscan and save a logfile). Плюс, проверьте, сделаны ли у вас все обновления NOD 32. Либо, как вариант, пройдите одну из этих он-лайн проверок: McAfee Housecall Trendmicro Windows Live Safety Center Ссылка на комментарий Поделиться на другие сайты Поделиться
stavr Опубликовано 3 февраля, 2006 Жалоба Поделиться Опубликовано 3 февраля, 2006 Обновления нод 32 нет так как он работает с СD базы данных за июль 2005 . на компе стоит avast 4.6 он нечего не находит . Проверял опять же с CD ДР веб не чего не нашол . Но вирус скорее всего есть так как при работе сжестким диском ( хотел изменить размер второго диска) прога Р М 8.0 все сделала а при перезагрузке получилось 3 дииска хотел слить в один при перизагрузке вобще завис , и получил вобще не известный формат пропало все что нажито хоть диск С остался а сейчас при работе с жеским диском все что требует перезагрузки вобще не идет . в начале как всегда пишет подождите. для отмены нажмите кклавишу ивсе зависает. Напишите пожалуста или дайте сылку где прочесть что это за он-лайн провероки и как правилно их выполнить нужно ли отключать сетевой экран и антивирус, Logfile of HijackThis v1.99.1 Scan saved at 0:21:35, on 04.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Program Files\Best Clock\Best Clock v1.9.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Opera\Opera.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Total Commander\Totalcmd.exe C:\DOCUME~1\БОРИСБ~1\LOCALS~1\Temp\_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [ashDisp] C:\Program Files\Alwil Software\Avast4\ashDisp.exe O4 - HKLM\..\Run: [bestClock] C:\Program Files\Best Clock\Best Clock v1.9.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Progra~1\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Progra~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll c:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll c:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll c:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Speed Disk service - Unknown owner - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE (file missing) O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 февраля, 2006 Жалоба Поделиться Опубликовано 4 февраля, 2006 (изменено) Обновления нод 32 нет так как он работает с СD базы данных за июль 2005 . на компе стоит avast 4.6 он нечего не находит . Проверял опять же с CD ДР веб не чего не нашол . Но вирус скорее всего есть так как при работе сжестким диском ( хотел изменить размер второго диска) прога Р М 8.0 все сделала а при перезагрузке получилось 3 дииска хотел слить в один при перизагрузке вобще завис , и получил вобще не известный формат пропало все что нажито хоть диск С остался а сейчас при работе с жеским диском все что требует перезагрузки вобще не идет . в начале как всегда пишет подождите. для отмены нажмите кклавишу ивсе зависает. Напишите пожалуста или дайте сылку где прочесть что это за он-лайн провероки и как правилно их выполнить нужно ли отключать сетевой экран и антивирус Если есть лог HijackThis, то он-лайн проверки делать не нужно (я написала там - либо, как вариант) Что за прога была? DriveCrypt? И еще вопрос: что было в начале - глюк программы, а потом обнаружение вируса или наоборот? Изменено 4 февраля, 2006 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
stavr Опубликовано 4 февраля, 2006 Жалоба Поделиться Опубликовано 4 февраля, 2006 Сначала проблема с жестким диском . А потом я проверил винчестер загрузившись с СД . Именно DriveCrypt я неустанавливал но я ставлю много разных програм если не нравится удоляю может в какойто была и эта.И ещё два вопроса .Уменя на винчестере сейчас 2 раздела С NTFS где стоит ХР и еще один 3 гиг FAT откуда можно при загрузке востановить первоначальную конфигурацию так вот его ХР не видит и антивирусы не видят как проверить его?Конвертировать в NTFS страшновато вдруг что не так. Жалко лицензионную ХР . И если отфарматировать диск С то вирус в загрузочной записи сотрется или надо полность винт форматировать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 февраля, 2006 Жалоба Поделиться Опубликовано 4 февраля, 2006 Сначала проблема с жестким диском . А потом я проверил винчестер загрузившись с СД . Именно DriveCrypt я неустанавливал но я ставлю много разных програм если не нравится удоляю может в какойто была и эта.И ещё два вопроса .Уменя на винчестере сейчас 2 раздела С NTFS где стоит ХР и еще один 3 гиг FAT откуда можно при загрузке востановить первоначальную конфигурацию так вот его ХР не видит и антивирусы не видят как проверить его?Конвертировать в NTFS страшновато вдруг что не так. Жалко лицензионную ХР . И если отфарматировать диск С то вирус в загрузочной записи сотрется или надо полность винт форматировать? Вируса у вас нету. Лог HijackThis чистый. А NOD 32 среагировал так вот на это: и получил вобще не известный формат пропало все что нажито probably unknown TSR BOOT VIRUS - означает "возможно неизвесный TSR BOOT вирус", так как, видемо, этот формат был неизвестин и Ноду. И скорей всего при проверке с новыми базами такого бы не было. Поэтому вам сейчас нужно решать проблему совсем не с вирусом и я вам там помочь не смогу: http://www.softboard.ru/index.php?showforum=4 Ссылка на комментарий Поделиться на другие сайты Поделиться
THE OLD VERMIN Опубликовано 5 февраля, 2006 Жалоба Поделиться Опубликовано 5 февраля, 2006 Saule: Привет! Скачал Rootkit Revealer, запустил и он мне высветил несколько ключейRootkitReveal.txt. Что мне сейчас с ними делать? Не могли бы Вы посмотреть? RootkitReveal.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 5 февраля, 2006 Жалоба Поделиться Опубликовано 5 февраля, 2006 Saule: Привет! Скачал Rootkit Revealer, запустил и он мне высветил несколько ключейRootkitReveal.txt. Что мне сейчас с ними делать? Не могли бы Вы посмотреть? Посмотрела. Все ключи в принципе связаны с программой Alcohol 120, и, не смотря на то, что они скрытые, опасности для компьютера не представляют. Ссылка на комментарий Поделиться на другие сайты Поделиться
poohcoolguy Опубликовано 6 февраля, 2006 Жалоба Поделиться Опубликовано 6 февраля, 2006 :) SPOOLSV.EXE затромаживает тачку на 99% Отвечает за работоспособность модуля печати т.е. Если замочить принтер печатать не будет и установку будет требовать, которую осуществить не получится. Мне кажется, что это какой-то полиморфный вирус :( или еще дрянь какая-то :) . Сносить систему не помогло. Через 2 дня опять затормозило. ЧЕ делать? Кто разобрался каким антивирем вылечить? Отпишите плиз pavel-dom@ukr.net З.Ы. У меня AVAST HE 4.6 база свежая что-то нашел и закинул в хранилище, до этого НОД32 и Касперский ваще ничего не нашли!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 6 февраля, 2006 Жалоба Поделиться Опубликовано 6 февраля, 2006 :) затромаживает тачку на 99% Отвечает за работоспособность модуля печати т.е. Если замочить принтер печатать не будет и установку будет требовать, которую осуществить не получится. Мне кажется, что это какой-то полиморфный вирус :( или еще дрянь какая-то :) . Сносить систему не помогло. Через 2 дня опять затормозило. ЧЕ делать? Кто разобрался каким антивирем вылечить? Отпишите плиз pavel-dom@ukr.net З.Ы. У меня AVAST HE 4.6 база свежая что-то нашел и закинул в хранилище, до этого НОД32 и Касперский ваще ничего не нашли!! Нужен лог HijackThis (необходимо включить и нажать на кнопку Do a systemscan and save a logfile). Без него очень сложно давать какие-либо советы, так как неизвестно даже метоположение вашего SPOOLSV.EXE и вообще ничего неизвестно :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 12 февраля, 2006 Жалоба Поделиться Опубликовано 12 февраля, 2006 Сообщение для 12daily 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...count_id=138770 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [Media Gateway] C:\PROGRAM FILES\MEDIA GATEWAY\MEDIAGATEWAY.EXE O4 - HKLM\..\Run: [winsysban] C:\WINDOWS\WINSYSBAN.exe Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, все посторонние программы и, главное, браузер были закрыты. Открыт только HijackThis). 2. Перезагружаем компьютер. 3. Удаляем ФАЙЛ: C:\WINDOWS\WINSYSBAN.exe ПАПКУ: C:\PROGRAM FILES\MEDIA GATEWAY Если что-то начинает сопративляться, то для удаления используем Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, C:\PROGRAM FILES\MEDIA GATEWAY\MEDIAGATEWAY.EXE). Затем выбираем Delete on Reboot и нажимаем на кнопку, которая выглядит как красный кружок с белым крестиком внутри. 4. Теперь очень важно избавиться от всех временных файлов. Лучше с помощью вот этой пограммы: CleanUp (необходимо инсталлировать, включить и нажать на кнопку CleanUp). 5. После чего снова перезагружаем компьютер и рассказываем как дела. Ссылка на комментарий Поделиться на другие сайты Поделиться
GUST Опубликовано 13 февраля, 2006 Жалоба Поделиться Опубликовано 13 февраля, 2006 Вот, и я к ВАМ!!! :) Запарила табличка - откройте сайт - www.regfixes.com Ну и набрал... :) Добротный чей-то сайт. Но странный! Предлагает ПРОСКАНИТЬ РЕЕСТР! Пока открывал эту страничку Форума, получил - http://registrycleaner32.com/Install.exe И на загрузку встал файл Install.exe Кто сталкивался? И чья это команда беспокоится о моём регистре? РЕЕСТР знаю, А РЕГИСТРЫ? (комп же не орган - там есть регистры... :) ) :) Ссылка на комментарий Поделиться на другие сайты Поделиться
GUST Опубликовано 13 февраля, 2006 Жалоба Поделиться Опубликовано 13 февраля, 2006 (изменено) Либо, как вариант, пройдите одну из этих он-лайн проверок: McAfee Housecall Trendmicro Windows Live Safety Center Последняя ссылка запросила 20 МБ места для закачки! Ничего себе сканерочек! Есть ли по-меньше? Как эта процедура в прямом эфире идёт? Кто пользовался? И там ещё есть СервисПак 2 скачать. Кто пробовал? Изменено 13 февраля, 2006 пользователем GUST Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения