Saule Опубликовано 2 апреля, 2007 Жалоба Поделиться Опубликовано 2 апреля, 2007 На наше общее счастье, в версии Home ее вообще нет. Да, действительно недоступна, что в принципе очень логично :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Smile:) Опубликовано 2 апреля, 2007 Жалоба Поделиться Опубликовано 2 апреля, 2007 Приветствую! Поселилась у меня с 1 апреля зараза, от которой весь день пытаюсь избавится. Ad-aware, Spy-Bot:S&D приносят результаты, но затем трояны снова размножаются в системе. Вот лог: Logfile of HijackThis v1.99.1 Scan saved at 22:40:31, on 02.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\WINDOWS\CTHELPER.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {20929603-21DB-477C-BA6F-0B8E70B3C8A0} - (no file) O2 - BHO: (no name) - -{C08DF07A-3E49-4E25-9AB0-D3882835F153} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [Fraza] C:\fraza.exe //не считать трояном, это афоризм при старте системы; файл проверенный. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe //собственно, по своей глупости разрешил ему выйти в интернет и... O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Окно состояния Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: http://onecare.live.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {33331111-1111-1111-1111-611111193457} - O16 - DPF: {33331111-1111-1111-1111-622221193458} - O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {64311111-1111-1121-1111-111191113457} - O16 - DPF: {A2505C6C-6F17-456F-89D2-4301FBDC6EC7} (Iewiper Control) - https://owa.fifa.org/nortel_cacheable/iewiper.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F48F0767-FE73-4A63-96FE-3BFD5CB2DF7C}: NameServer = 212.188.4.10 195.34.32.116 O20 - Winlogon Notify: -evtjrumn - C:\WINDOWS\ O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll //От этой ереси хотел избавится, стерев ее из-под DOS'а, но лучше дождусь вашей рекомендации O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - (no file) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Documents and Settings\Super\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe Вот. Еще такой вопрос: в системе присутствует ZoneAlarm, который фиксирует 3-5 нападений на комп. в 2 минуты. Мне он не нравится, можно ли жовериться стандартному файрволу XP? Да, и еще информация, мб полезная. NOD32 просканировал весь диск, было удалено около 30 троянов; Micro Trend RootkitBuster удалил скрытые области реестра "pe386"; 1 апреля, после массовоо пришелствия троянов, перестали работать файлы консоли (gpedit и т.п.) - восстановил; Также перестал работать поиск (тот, который системный, активируется нажатием F3) - восстановил. Може быть, поможет. Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Скачайте http://z-oleg.com/avz4.zip, распакуйте; AVZ - Файл - Стандартные скрипты, выполнить скрипт номер 3 и перезагрузиться; затем запостить здесь архив из подпапки LOG в папке AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Здравстуйте. Прошу прощения за новое беспокойство, но моя проблема появилась опять. Saule писалa: '' Для этого обычно устанавливается файрволл (он же брандмауэр, он же межсетевой экран). Топик: Firewall - Что это такое. Либо в качестве более легкого варианта можно использовать, например, TCPView (бесплатная программа Марка Руссиновича, работает без инсталляции). Или более постоянное приложение - NetLimiter 2 Monitor (3-я сверху; также бесплатна). " Я установил ZoneAlarm , TCPView я использовал иногда и раньше. Какое то время все было спокойно, но сегодня все повторилось. То, что постоянно лезет в интернет, и что-то там очень активно делает, это services.exe. За час полученных-отправленных пакетов - более 200000 каждых. В ZoneAlarm я его зоблокировал, ZA показывает, что services.exe принимает постоянные попытки пролезть, но ''action taken'' - ''blocked''. В окне TCPView services.exe все же присутсвует, к тому же несколько, одни появляются, другие изчезают, и так постоянно. Если здесь их прибить, машина выключается. К тому же с заблокированным services.exe не работает интернет. (Хотел приаттачить скриншот всего этого, но невижу как). Установил AVZ 4.24, но он ничего не находит, только ругается на ZoneAlarm. Вот новый лог HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 10:17:12, on 2007.04.03. Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Program Files\Outlook Express\msimn.exe C:\WINNT\system32\wuauclt.exe C:\Program Files\Sr\AgentSvc.exe C:\Program Files\Sr\AgentFrm.exe C:\Program Files\Sr\compnts\Vr\PavSrv50.exe C:\Program Files\Sr\compnts\Vr\AVENGINE.EXE C:\Program Files\Sr\SrLogon.exe C:\Program Files\Sr\Compnts\Vr\WebProxy.exe C:\temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.majasdsl.lv/pages/startView O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O8 - Extra context menu item: &Translate with Tilde Computer Dictionary - res://C:\Program Files\Tildes Birojs 2002\TDVLauncher.DLL /201 O8 - Extra context menu item: Download using Download &Express - C:\Program Files\Download Express\Add_Url.htm O9 - Extra button: Tildes Meklētājs - {11FD30F4-F186-4ebe-A384-E22965FDEC7A} - C:\Program Files\Tildes Birojs 2002\TLFindAddIn.dll O9 - Extra 'Tools' menuitem: Tildes &Meklētājs - {11FD30F4-F186-4ebe-A384-E22965FDEC7A} - C:\Program Files\Tildes Birojs 2002\TLFindAddIn.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Commander Service - Seagull Scientific, Inc - C:\Program Files\Seagull\BarTender 7.10\Trial\CmdrSrv.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Sr\compnts\Vr\PavSrv50.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Secure Resolutions Managed Agent (SR Agent) - Unknown owner - C:\Program Files\Sr\AgentSvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe Еще раз Спасибо всем ! Извините ламера Не увидел "Прикрепление файлов". Вот скриншот безобразия: Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Поселилась у меня с 1 апреля зараза, от которой весь день пытаюсь избавится.Ad-aware, Spy-Bot:S&D приносят результаты, но затем трояны снова размножаются в системе. 1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее: R3 - URLSearchHook: (no name) - {20929603-21DB-477C-BA6F-0B8E70B3C8A0} - (no file) O2 - BHO: (no name) - -{C08DF07A-3E49-4E25-9AB0-D3882835F153} - (no file) O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 //раз уж WgaLogon.dll с диска вы всё равно удалили O16 - DPF: {33331111-1111-1111-1111-611111193457} - O16 - DPF: {33331111-1111-1111-1111-622221193458} - O16 - DPF: {64311111-1111-1121-1111-111191113457} - O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O20 - Winlogon Notify: -evtjrumn - C:\WINDOWS\ O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - (no file) Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). Также не уверенна, по поводу следующего компонента управления ActiveX (т.е. если вы действительно им пользуйтесь, то ок; если нет, то точно также удалите с помощью HijackThis): O16 - DPF: {A2505C6C-6F17-456F-89D2-4301FBDC6EC7} (Iewiper Control) - https://owa.fifa.org/nortel_cacheable/iewiper.cab 2. Перезагружаем компьютер. 3. Удаляем файл: C:\WINDOWS\system32\ a3dxq.dll Если таким образом файл a3dxq.dll удалить не удастся (это может быть в том случае, если, напр., запись в Winlogon Notify непрерывно обновляется), то можно сделать следующее (либо через консоль восстановления и DOS): Скачиваем AVZ.Распаковываем, запускаем и нажимаем в верхнем меню программы: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. И далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на A3dxq и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с A3dxq и затем нажимаем на кнопку "X"). Если вдруг такой строчки там не окажется, то просто переходим к следующему пункту. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно). После перезагрузки в верхнем меню AVZ выбираем:Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строку: C:\WINDOWS\system32\a3dxq.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". Снова перезагружаем компьютер. Micro Trend RootkitBuster удалил скрытые области реестра "pe386" Были удалены только скрытые области реестра без основного файла lzx32.sys (который также является скрытым)? На всякий случай можно попробовать поискать его с помощью того же AVZ - более подробно это описано здесь: Rustock.B (если что-то вдруг будет там не совсем ясно, то спрашивайте). Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Установил AVZ 4.24, но он ничего не находит, только ругается на ZoneAlarm. Вы не могли бы еще раз сделать сканирование с помощью AVZ и затем нажать в верхнем меню этой программы: Файл > Исследование системы После чего приложить полученный протокол к своему сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 3. Удаляем файл: Распаковываем, запускаем и нажимаем в верхнем меню программы: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. И далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на A3dxq и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с A3dxq и затем нажимаем на кнопку "X"). Если вдруг такой строчки там не окажется, то просто переходим к следующему пункту. [*]Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно). [*]После перезагрузки в верхнем меню AVZ выбираем: Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строку: C:\WINDOWS\system32\a3dxq.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". [*]Снова перезагружаем компьютер. Saule, кстати говоря, все вами описанное достигается выполнением в AVZ скрипта: beginSearchRootkit (true, true);SetAVZGuardStatus (True);DeleteFile ('C:\WINDOWS\system32\a3dxq.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows (true);end. Жаль, однако, что пользователь не выполнил исследование системы - возможно, там есть иное malware. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Вы не могли бы еще раз сделать сканирование с помощью AVZ и затем нажать в верхнем меню этой программы: Файл > Исследование системы После чего приложить полученный протокол к своему сообщению. Перед очередным сканированием при помощи AVZ установил AVG Anti-Rootkit Beta и просканировал им. AVG нашел lzx32.sys, что я и предпологал. Он есть и в протоколе AVZ. Почему AVZ на него не ругается ? Никаких действий по лечению пока не предпринимал, жду Ваших советов. Вот протокол AVZ : Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Saule, кстати говоря, все вами описанное достигается выполнением в AVZ скрипта: Знаете почему я так не люблю скрипты? Если можно, я процитирую ваши слова: "...но в Сети столько тупых (простите) юзеров, что HIPS еще долго не будут составлять конкуренцию антивирусам..." И вот я искренне считаю, что от авто-выполнения стандартных скриптов эта ситуация в лучшую сторону никогда не изменится. Мне важно, чтобы люди хотя бы немного думали, прежде чем что-либо делать и в процессе выполняемых действий. Иначе, никакого смысла в своей деятельности тут я не вижу. Ведь форумов, где при лечении системы пользователю думать не надо, в сети на мой взгляд хватает. Устраивать тут нечто подобное у меня желания нет. Уж лучше я успею ответить одному человеку, но он хотябы что-то для себя из этого вынесет (и вполне возможно, в следующий раз, если будет необходимо, уже справится с вирусом самостоятельно), чем напишу 20 скриптов (прекрасно понимания при этом, что люди, для которых я эти скрипты пишу, в последствии будут вынуждены обращаться за помощью при любых подозрениях на что-либо вредоносное). К тому же, стремления что-то понять встречаются не так часто, поэтому хотелось бы, чтобы у пользователей в этом плане была хоть какая-то альтернатива. Ведь, никто не препятствует такой работе со стандартными скриптами (поверьте, что о существовании virusinfo многие очень хорошо знают) и во многих случаях именно такая работа будет в разы эффективнее. Но всё-таки не всегда + повторюсь: тут принципиально иная система помощи Перед очередным сканированием при помощи AVZ установил AVG Anti-Rootkit Beta и просканировал им. AVG нашел lzx32.sys, что я и предпологал. Он есть и в протоколе AVZ. Почему AVZ на него не ругается ? Не ругается, потому что это не специализированный антируткит, а скорее универсальный анализатор системы. Встроенный в него механизм для поиска и удаления руткитов - лишь один из компонентов программы. Поэтому эффективность работы AVZ напрямую зависит от пользователя, так как ряд действий всё-таки подразумевает под собой определенный опыт и знания. Либо выполнение скриптов, по поводу которых у меня чуть выше есть некоторые несогласия с товарищем NickGolovko В общем, для удаления Rustock, делаем следующее: 1. В верхнем меню AVZ нажимаем: Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: begin// Включение AVZPMSetAVZPMStatus(True);// Противодействие руткитуSearchRootkit(true, true);// Включение AVZGuardSetAVZGuardStatus(True);// Удаление указанных файловDeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');DeleteFile('C:\WINDOWS\system32:lzx32.sys');// Импорт списка удаленных файлов в настройки Boot CleanerBC_ImportDeletedList;// Чистка ссылок на удаленные файлыExecuteSysClean;// Удаления драйвера PE386BC_DeleteSvc('PE386');// Создание протокола в папке программы с названием boot_clr.logBC_LogFile(GetAVZDirectory + 'boot_clr.log');// Активация драйвераBC_Activate;// Перезагрузка компьютераRebootWindows(true);end. Все фразы за // - это комментарии действий AVZ (на его работу они никак не влияют, это исключительно в целях "просвещения" пользователя). Обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние приложения желательно заранее выключить. 2. После перезагрузки убедитесь в том, что файла lzx32.sys в протоколе AVZ больше нет. После чего выключите AVZPM в верхнем меню программы: AVZPM > Удалить и выгрузить драйвер расширенного мониторинга процессов Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Знаете почему я так не люблю скрипты? Если можно, я процитирую... Хм. Да, вероятно, мы можем быть неправы, поставив лечение вирусов на конвейер (как мы делаем это на VirusInfo). Я тоже не всегда писал скрипты, будьте уверены, - было время, когда я расписывал инструкции пошагово, желая учить пользователя работать и осознавать свои действия. Но со временем практика привела меня к мысли, что разница между этими стилями не особенно велика. Если пользователь хочет понять, что происходит, он спросит, и я предоставлю ему комментарий; тот же, кто не желает учиться, будет лишь тяготиться "лишними" телодвижениями и вряд ли извлечет урок (но должен сказать, что повторные обращения после моего лечения крайне редки). Так или иначе, я не имею своей целью оспорить вашу философию и постараюсь в дальнейшем вам не мешать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Rada Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Программа RemoveIT Pro v4 - SE обнаружила вот этот "неопознанный объект": C:\WINDOWS\Updreg.exe, идентифицировав его как вирус. Что это за файл? Можно ли его удалить без ущерба для работоспособности компьютера? Ребята, помогите, пожалуйста, разобраться! Спасибо! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 апреля, 2007 Жалоба Поделиться Опубликовано 3 апреля, 2007 Программа RemoveIT Pro v4 - SE обнаружила вот этот "неопознанный объект": C:\WINDOWS\Updreg.exe, идентифицировав его как вирус. Что это за файл? Можно ли его удалить без ущерба для работоспособности компьютера? Со 100%-ой уверенностью можно будет что-то сказать, только если вы выложите куда-нибудь копию этого файла. Так как аналогичное название (updreg = upd + reg = update registry = обновление реестра) по сути могло быть дано очень различным софтом (т.е. название файла слишком распространенное). Но в папке Windows предположительно он был создан при установке программного обеспечения к звуковым картам SoundBlaster от Creative Labs ("напоминалка" о регистрации). В любом случае на работоспособность компьютера удаление этого файла не повлияет (повлиять может лишь на работоспособность программы, которой этот файл, предположим, принадлежал; но это легко можно будет исправить переустановкой этой программы). Ссылка на комментарий Поделиться на другие сайты Поделиться
Rada Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Со 100%-ой уверенностью можно будет что-то сказать, только если вы выложите куда-нибудь копию этого файла. Куда можно его выложить? Я выложу. Не хочется удалять ни в чем неповинный файл... Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Rada: Можешь на форум файл прикрепить, можешь на webfile.ru закачать и сюда ссылку скинуть Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashist Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 случайно наткнулся на этот форум... решил задержаться)) посмотрите пожалуйста мой лог. вроде система работает стабильно, но чем черт не шутит... hijackthis.log hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Не ругается, потому что это не специализированный антируткит, а скорее универсальный анализатор системы. Встроенный в него механизм для поиска и удаления руткитов - лишь один из компонентов программы. Поэтому эффективность работы AVZ напрямую зависит от пользователя, так как ряд действий всё-таки подразумевает под собой определенный опыт и знания. Либо выполнение скриптов, по поводу которых у меня чуть выше есть некоторые несогласия с товарищем NickGolovko :) В общем, для удаления Rustock, делаем следующее: Все сделал, как Вы сказали. Lzx32.sys больше ненаходит ни AVZ, ни AVG. Большое СПАСИБО. Но у меня появились некоторые вопросы : 1. Почему Вы советовали лечить с помощю AVZ, а не AVG, раз уж AVG Anti-Rootkit более специализированный продукт ? 2. Почему судя по написанному о Rustock на z-oleg, AVZ должен был не просто ругаться, а даже матом крыть, чего не делал, за то лечить, и успешно, ZoneAlarm он может, и считает нужным? Хотя и тест на anti-malware.ru тоже считает, что AVZ "Находит RootKit pe386 C:\WINDOWS\system32:lzx32.sys и и удаляет." Может быть, в системе есть еще что-то ? 3. Насколько мне нужен ZoneAlarm, если присутствие нечисти я все равно обнаружил по косвенным признакам, а в конкретном случае толку от него - чуть ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Rada Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Rada: Можешь на форум файл прикрепить, можешь на webfile.ru закачать и сюда ссылку скинуть Вот этот подозрительный тип Updreg.log :) Правда расширение .exe пришлось сменить на .log (иначе не загружался). Проверьте, пожалуйста, вирус это или добропорядочный винтик системы. :) Updreg.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Но у меня появились некоторые вопросы :1. Почему Вы советовали лечить с помощю AVZ, а не AVG, раз уж AVG Anti-Rootkit более специализированный продукт ? 2. Почему судя по написанному о Rustock на z-oleg, AVZ должен был не просто ругаться, а даже матом крыть, чего не делал, за то лечить, и успешно, ZoneAlarm он может, и считает нужным? Хотя и тест на anti-malware.ru тоже считает, что AVZ "Находит RootKit pe386 C:\WINDOWS\system32:lzx32.sys и и удаляет." Может быть, в системе есть еще что-то ? Всё, что нужно, AVZ определяет и удаляет, но подобные функции в нем не активированы по умолчанию. Если бы вы, помимо детектирования перехватчиков API и Rootkit, включили бы систему активного противодействия ("Блокировать RootKit"), то это позволило бы программе обнаружить тот маскируемый драйвер именно таким образом, как вы это предполагали (т.е >>>> Подозрение на RootKit pe386). Хотя и без этого AVZ показал более, чем достаточно (Kernel space modules (Модули пространства ядра) - \??\C:\WINNT\system32:lzx32.sys), ведь для опознания вредоносного файла совершенно не нужно, чтобы программа на него как-то по-особенному ругалась (к примеру, HijackThis также ни на кого никогда не ругается. Он всего лишь показывает то, что он видит - и без участия пользователя толку от него будет ровно нисколько. Тем не менее, очень часто с его помощью можно удалить самые разнообразные вирусные инфекции, несмотря на то, что HijackThis не является специализированным антивирусным средством). Что же касается драйвера от ZoneAlarm, то там точно такая же аналогия. Никто на него не ругался. AVZ всего лишь показал перехваты (т.к. была включена функция "детектировать перехватчики..."), поиск которых осуществляется не через применение сигнатур, а посредством анализа вашей системы. Из FAQ к AVZ: Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром. По моей статистике примерно в одном случае из 50-80 перехват произведен вредоносной программой, в остальных случаях как правило это антивирусы и Firewall. Или другими словами, задача AVZ в данном случае - это не поиск "плохих" перехватчиков, а обращение вашего внимания на любые из них, если они имеют место там быть. 3. Насколько мне нужен ZoneAlarm, если присутствие нечисти я все равно обнаружил по косвенным признакам, а в конкретном случае толку от него - чуть ? Насколько вам нужен ZoneAlarm можете решить только вы сами. Или чтобы было понятнее, то это примерно то же самое, как, допустим, спрашивать: "Я установил в своем автомобиле анти-радар, но сегодня утром меня всё равно остановила неизвестно откуда взявшаяся полиция, когда я повернул там, где это было запрещено. Ну и есть ли толк от анти-радара?" К тому же, наверное, лучше всё-таки пояснить, что вам удалось обнаружить присутствие нечисти не совсем обычной, так как одной из её основных задач было именно сокрытие своего присутствия от каких-либо программ по безопасности: В ОС Windows под термином " руткит " принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе. Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы. Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д, что делает любую проверку системы обычными средствами полностью бесполезной... Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 посмотрите пожалуйста мой лог. вроде система работает стабильно, но чем черт не шутит... Единственная строчка, которую можно пофиксить (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"): O9 - Extra button: (no name) - DctMapping - (no file) Но в ней нет ничего страшного, это, скорее, из соображений чистоты и порядка. Вот этот подозрительный тип Да, это именно та предполагаемая "напоминалка" о регистрации (Creative Registry Update), о которой я говорила в предыдущем посте, адресованном вам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Rada Опубликовано 4 апреля, 2007 Жалоба Поделиться Опубликовано 4 апреля, 2007 Да, это именно та предполагаемая "напоминалка" о регистрации (Creative Registry Update), о которой я говорила в предыдущем посте, адресованном вам. Эту "напоминалку" можно удалить? Удаление не отразится на работе звуковухи? Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashist Опубликовано 5 апреля, 2007 Жалоба Поделиться Опубликовано 5 апреля, 2007 Saule: спасибо за потраченное на меня время. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 5 апреля, 2007 Жалоба Поделиться Опубликовано 5 апреля, 2007 Эту "напоминалку" можно удалить? Удаление не отразится на работе звуковухи? Не отразится, поэтому, если есть такое желание, можно :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Rada Опубликовано 5 апреля, 2007 Жалоба Поделиться Опубликовано 5 апреля, 2007 Не отразится, поэтому, если есть такое желание, можно :) Желания особого нет, но RemoveIT Pro XT - SE на этот файл ругается, так что удалить, похоже, придется... Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 5 апреля, 2007 Жалоба Поделиться Опубликовано 5 апреля, 2007 И опять здравствуйте! не прошло и... опять какая то ерунда. Вообщем у меня стоит каспер 6 обновляю каждый день практически, вроде все в норме, но недавно заметила комп начал так сильно тормозить и программы некоторые не запускаются с ярлыка, только когда правой кнопкой нажмешь ОТКРЫТЬ С ПОМОЩЮ (например проигрыватели). Залезла в Касперскоко а там обнаружено 6 вирусов, 4 удалено а 2 нет и даже не лечит и ничего с ними не делает, вот они : вирус Virus.Win32.Hidrag.a Файл: \\192.168.9.49\Xenus\unins000.exe и вирус Virus.Win32.Hidrag.aФайл: \\192.168.9.49\Xenus\MapFix.exe. Вообщем не знаю что делать. Уже проверила многими антивирусами, но не один эти вирусы не обнаруживает. Плиз!!!! Дорогая Saule!!! Посмотри пожалуйста!!! Вот лог Logfile of HijackThis v1.99.1 Scan saved at 22:10:17, on 05.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\trafinspag.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\rundll32.exe H:\установленные програмки\Нокиа\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\QIP\qip.exe C:\Program Files\Opera\Opera.exe C:\DOCUME~1\ЯНОЧКА~1.АРТ\LOCALS~1\Temp\Rar$EX00.734\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx?mkt=ru-RU R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1:8080/config.script R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PCSuiteTrayApplication] H:\установленные програмки\Нокиа\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [NetBlock Pro Agent] C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe 1 O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 апреля, 2007 Жалоба Поделиться Опубликовано 5 апреля, 2007 (изменено) И опять здравствуйте! не прошло и... опять какая то ерунда. Вообщем у меня стоит каспер 6 обновляю каждый день практически, вроде все в норме, но недавно заметила комп начал так сильно тормозить и программы некоторые не запускаются с ярлыка, только когда правой кнопкой нажмешь ОТКРЫТЬ С ПОМОЩЮ (например проигрыватели). Залезла в Касперскоко а там обнаружено 6 вирусов, 4 удалено а 2 нет и даже не лечит и ничего с ними не делает, вот они : вирус Virus.Win32.Hidrag.a Файл: \\192.168.9.49\Xenus\unins000.exe и вирус Virus.Win32.Hidrag.aФайл: \\192.168.9.49\Xenus\MapFix.exe. Вообщем не знаю что делать. Уже проверила многими антивирусами, но не один эти вирусы не обнаруживает. Плиз!!!! Дорогая Saule!!! Посмотри пожалуйста!!! Вот лог У вас сеть? Каспер показывает сетевой адрес. Изменено 5 апреля, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения