Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помощь в лечении систем от нечисти

Strannnik

Автор Strannnik
в Сетевая безопасность

 Поделиться

Рекомендуемые сообщения

juve

juve

Опубликовано
Опубликовано (изменено)

Таша: Лечение системы от RootKit посмотрите в этой, сообщение по номером 16...

Изменено пользователем juve
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 1,9 тыс
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Saule
Saule

1. На время лечения желательно отключить функцию System Restore. Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в раздел System Restore и поставить галочку напротив Turn of

Saule
Saule

Ничего подозрительного в логе нет. Единственное, пара вопросов. Насколько я понимаю, Wanadoo - ваш ISP (Internet Service Рrovider)? Если да, то отвечать даже не обязательно. И насчет этого, вам это

Saule
Saule

Личное сообщение по каким-то причинам очень упорно не желает к вам отправлятся :) Пишет: Нет такого пользователя. Проверьте введенное имя и повторите попытку. Это личное сообщение не отправлено. По

Изображения в теме

Saule

Saule

Опубликовано
Опубликовано
Saule посмотрите пожалуйста мой лог:

Ничего подозрительного не видно.

Если же беспокоит что-то конкретное, то попробуйте рассказать по-подробнее.

На всякий случай выложу свой лог.

Всё хорошо. Но удалить можно следующее (удалить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)

Ничего страшного в этом нет. Это, скорее, из соображений чистоты и порядка.

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано
Помогите, пожалуйста!

мой любимый компик подцепил RootKit

Если вы сами не устанавливали ничего с этого сайта - http://216.32.89.203/ , то пофиксите следующую строку (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) -

И руткит:

  1. Cкачиваем SDFix и запускаем (это самораспаковывающийся архив).

    В системном каталоге будет создана папка SDFix:

    C:\
    SDFix
  2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

    При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
  3. Открываем папку SDFix и запускаем файл RunThis.bat.

    Пишем букву Y и нажимаем на ENTER.

    Начнется удаление компонентов руткита и восстановление системных настроек в реестре.

    Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

  4. После перезагрузки процедура удаления снова ненадолго продолжится.

    Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

    Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

После этого, если что-то будет еще беспокоить, желательно сделать новый лог HijackThis + не будет лишним присоединить лог SDFix к своему сообщению.

А не можешь перечислить как ты от него избавлялся? У меня как раз такой вирус ;)

Здесь достаточно подробно об этом написано: ГНОЙ и трояны ему подобные.

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

Помогите пожалуйста....устал я биться с червем Warezov.ne, по тупой случайности не посмотрев открыл ссылку в асе от девушки...

Целые сутки боролся и каспером и AVZ4, токо руки скрутил вирю...но убить не могу! :)

Ребята, помогите! Могу сказать важные вещи, во-первых каспер ругается на diagisr.dll именно с подписью Warezov.ne, я его не могу удалить, а когда получалось, то он опять возвращался!!!Делал отложенное удаление с эвристикой и ни хрена :)

Прикладываю лог.....Далее я бессилен!

hijackthis.log

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано
Прикладываю лог.....Далее я бессилен!

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [idl32.exe] C:\WINDOWS\idl32.exe s
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s
O4 - HKLM\..\Run: [soundMnEx32] C:\WINDOWS\skksd32.exe
O20 - Winlogon Notify: autoplus - C:\WINDOWS\system32\autoplus.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Закрываем все посторонние программы и приложения, чтобы ничего не мешало и запускаем AVZ.

Нажимаем в верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на AppInit_DLLs, находим строку напротив, которая ссылается на winrkbdc.dll и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с winrkbdc.dll и затем нажимаем на кнопку "X").

То же самое делаем со строкой, ссылающейся на trafracp.dll.

Если вдруг таких строк вы там не найдете, то просто переходим к следующему пункту.

3. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).

4. После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\WINDOWS\system32\winrkbdc.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и "ОК".

То же самое делаем и со следующим файлом:

C:\WINDOWS\system32\trafracp.dll

Плюс вручную удаляем файлы, если такие еще будут присутствовать:

C:\WINDOWS\
idl32.exe
C:\WINDOWS\
skksd32.exe
C:\WINDOWS\
skksd32.exe

5. Снова перезагружаем компьютер.

Ссылка на комментарий
Поделиться на другие сайты
ИльяQ

ИльяQ

Опубликовано
Опубликовано

И еще одно огромное спасибо форуму и великому Солнцу Saule! :)

был вирус из серии "ГНОЙ и трояны ему подобные" (Trojan.Plastix, Trojan.Krotten, Trojan.Griven, Win32/KillFiles.NAB, Trojan.Agent.il, Trj/Sirery и др.)

(как с ними бороться описано в разделе http://www.softboard.ru/index.php?showtopi...mp;#entry289256 )

у меня "вредными файлами", которые надо удалить через HijackThis оказались:

C:\WINDOWS\pchealth\UploadLB\Config\AvpM.exe

и C:\WINDOWS\msagent\intl\ALG.exe

проделал все процедуры - и комп заработал нормально.

Еще раз СПАСИБО! :)

Ссылка на комментарий
Поделиться на другие сайты
ВВВ

ВВВ

Опубликовано
Опубликовано

Здравствуйте.

Тут у меня проблема, а я совершенно не знаю, как с нею бороться, в компьютере-то я не очень разбираюсь и вот подумал, может Вы поможете.

Вроде для диагностики Вам нужен лог HijackThis:

Scan saved at 14:29:23, on 22.04.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\system32\drivers\STDSB.exe

C:\WINDOWS\system32\drivers\Icon.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Winamp\Winamp.exe

C:\DOCUME~1\F414~1\LOCALS~1\Temp\Rar$EX02.775\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rinet.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [sTDSB] C:\WINDOWS\system32\drivers\STDSB.exe

O4 - HKLM\..\Run: [icon] C:\WINDOWS\system32\drivers\Icon.exe

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 First Step\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Вова\Application Data\Mail.Ru\Agent\MAgent.exe -CU

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2D4C57AA-54C0-4942-BB2A-51DF0727950B} (ImResize Class) - http://www.openkremlin.ru/cab/ImResCtl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1162301449496

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Заранее благодарен.

Ссылка на комментарий
Поделиться на другие сайты
ВВВ

ВВВ

Опубликовано
Опубликовано

Да вот троян засел:

C:\WINDOWS\system32\rsvp32_2.dll - модифицированный Win32/TrojanProxy.Cimuz троян

А если антивирусом его удалять, то пропадает интернет.

Я тут читал о подобных проблемах у людей, но я так понял, что лечение в каждом индивидуальном случае своё.

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing Твоя проблема?!

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:

rsvp32_2.dll.system32\mswsock.dll

То есть загружается не системная библиотека, а библиотека вируса.

Поскольку мы удалили ее, система ее не находит, и сеть не работает.

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:

%SystemRoot%\system32\mswsock.dll

у меня же он заменял не SystemRoot, а месторасположение Traffic Compressor...

пришлось вписывать его...

А лучше загрузи вот, что еще ftp://ftp5.natm.ru/incoming/for_people/a/...insockxpFix.exe исправит кое какие ошибки но перед этим удали следующие файлы

unpn.exe, rsvp32_2.dll, trj35_1.tmp, trj35_2.tmp, uin.txt, adv.txt, unpn.exe, sporder.dll

должно работать

Ссылка на комментарий
Поделиться на другие сайты
ВВВ

ВВВ

Опубликовано
Опубликовано

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing Твоя проблема?!

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:

rsvp32_2.dll.system32\mswsock.dll

То есть загружается не системная библиотека, а библиотека вируса.

Поскольку мы удалили ее, система ее не находит, и сеть не работает.

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:

%SystemRoot%\system32\mswsock.dll

у меня же он заменял не SystemRoot, а месторасположение Traffic Compressor...

пришлось вписывать его...

Я в компах не очень - я так понимаю это: %SystemRoot%\system32\mswsock.dll надо вписать в "Выполнить", а потом удалить троян?

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

Я так понял у вас стоит HijackThis, эт хорошо. Нажмите на Do a system scan only. После найдите строчку O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing, поставь галку в квадрате и нажми на Fix Checked!

след файлы, если их нет ...то не страшно unpn.exe, rsvp32_2.dll, trj35_1.tmp, trj35_2.tmp, uin.txt, adv.txt, unpn.exe, sporder.dll ищи их стандартным поиском, в условия поиска поставь поиск системных и скрытых файлов. Скачай http://z-oleg.com/avz4.zip

открываешь AVZ - сервис - менеджер Winsock Spi - там переходишь на вкладку поиск ошибок - и нажимаете внизу кнопку автоматическое исправление ошибок..

Чуть не забыл

AVZ - сервис - менеджер Winsock Spi - вкладка поставщик транспортных протоколов (tcp. lps) там находите вот эти строчкий и удаляете их..

LAYERED MSAFD Tcpip [TCP/IP] D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD Tcpip [uDP/IP] D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD Tcpip [RAW/IP] D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED RSVP UDP Service Provider D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED RSVP TCP Service Provider D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD Irda [irDA] D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{1D853074-CEDE-45E8-A9E5-6F45955FEC10}] SEQPACKET 0 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{1D853074-CEDE-45E8-A9E5-6F45955FEC10}] DATAGRAM 0 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B3167FE-64E3-4FF4-8D2D-94097FFFDEF1}] SEQPACKET 1 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B3167FE-64E3-4FF4-8D2D-94097FFFDEF1}] DATAGRAM 1 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{0827C9A2-1C9A-4F22-833C-586F38A919C1}] SEQPACKET 2 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{0827C9A2-1C9A-4F22-833C-586F38A919C1}] DATAGRAM 2 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{46C5B398-B5A1-4BD7-8F59-E09C42DE9A57}] SEQPACKET 3 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{46C5B398-B5A1-4BD7-8F59-E09C42DE9A57}] DATAGRAM 3 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{3599C797-1F7E-4C9F-BD1D-6D52F181D3BF}] SEQPACKET 4 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{3599C797-1F7E-4C9F-BD1D-6D52F181D3BF}] DATAGRAM 4 D:\WINDOWS\system32\ rsvp32 _ 2 . dll

Скрипт: Kарантин Удалить ()

LAYERED_PROVIDER

+ надо будет реестр почистить. Опять таки AVZ-Сервис-Поиск данных в реестре набираешь в верхней строке rsvp32 _ 2 . dll и удаляешь все ключи связанные с эти файлом=) Всё! Если не заработает, можно впридачу этим воспользоваться, но только после выше перечисленного ftp://ftp.widomaker.com/pub/winsock/utils/WinsockxpFix.exe

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано
Тут у меня проблема, а я совершенно не знаю, как с нею бороться, в компьютере-то я не очень разбираюсь и вот подумал, может Вы поможете.

Вроде для диагностики Вам нужен лог HijackThis:

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [icon] C:\WINDOWS\system32\drivers\Icon.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Чтобы с инетом всё было в порядке, то, перед тем как удалить 'rsvp32_2.dll', нужно предварительно скачать LSP-Fix (http://cexx.org/lspfix.htm). И после удаления вредоносного dll-файла запускаем его.

Если при включении программа сразу покажет вам красную надпись: "Problems found in LSP chain...", то вам нужно будет поставить галочку рядом с "I know what I'm doing..." и нажать кнопку "Finish":

lspfix.gif

Только больше ничего с этой программой делать не нужно (в смысле нельзя что-либо с её помощью удалять и т.д.)! - это важно! Просто: галочка и кнопка "Finish". В этом случае после перезагрузки интернет у вас пропасть не должен.

3. Перезагружаем компьютер.

4. Удаляем файл:

C:\WINDOWS\system32\drivers\
Icon.exe

post-33125-1177250908_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
ВВВ

ВВВ

Опубликовано
Опубликовано

Спасибо большое!

Вроде бы все удалилось и интернет не пропал!

Даже не знаю, как Вас и благодарить - и откуда такие умные люди берутся?

В общем СПАСИБО!

Ссылка на комментарий
Поделиться на другие сайты
woodpeckerrr

woodpeckerrr

Опубликовано
Опубликовано

Saule: и другим нашим антивирусникам :blink: , посмотрите мой лог:

уLogfile of HijackThis v1.99.1

Scan saved at 21:56:41, on 23.04.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\Program Files\Norton Utilities\NPROTECT.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\system32\srvany.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\resetservice.exe

D:\Program Files\Virtual CD v4\System\vcdsecs.exe

C:\Aston\aston.exe

C:\Aston\XP\internat.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\Program Files\Mail.Ru\Agent\MAgent.exe

D:\Program Files\CursorXP\CursorXP.exe

D:\Program Files\foobar2000\foobar2000.exe

D:\WINDOWS\explorer.exe

D:\Program Files\Opera\Opera.exe

D:\Documents and Settings\димон\Мои документы\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe

O1 - Hosts: 127.0.0.2 custom-host

O1 - Hosts: 127.0.0.2 www.custom

O1 - Hosts: 127.0.0.2 custom

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kav] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [CursorXP] D:\Program Files\CursorXP\CursorXP.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: + &Download Express: загрузить этот файл - D:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://D:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://D:\Program Files\Offline Explorer Enterprise\Add_AllO.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{15BD2421-AFB3-4B17-8265-A1202B9B591C}: NameServer = 212.122.1.9 212.107.200.68

O20 - Winlogon Notify: klogon - D:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dll

O20 - Winlogon Notify: WB - D:\PROGRA~1\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - D:\WINDOWS\system32\srvany.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VCDSecS - H+H Software GmbH - D:\Program Files\Virtual CD v4\System\vcdsecs.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

Все началось недавно, у меня щас гпрс, и я постоянно подключен, по сайтам сильно не гоняю, в основном майлагент да яся включена, да факт в том что подключен постоянно... Сначала каспер сказал о переполнении буфера, но я ничего кроме ОК нажать не мог! вылетало штук вроде 6 таких табличек, что мол svchost переполняет буфер, потом каспер выдавал табличку, мол удалить "троянская программа Trojan-Dropper.Win32.Pakes Файл: D:\WINDOWS\system32\nxkj.exe", я его удалял, но потом история повторилась, только по другому адресу - "троянская программа Trojan-Dropper.Win32.Pakes Файл: D:\WINDOWS\system32\xkwa.exe"... После этого дня два было все тихо, а вот сегодня вечером комп стал сильно тупить, несколько раз завис намертво и в конце концов касперус указал мне на троянская программа Trojan-Dropper.Win32.Pakes Файл: D:\WINDOWS\SYSTEM32\LOGON.EXE и удалил его в процессе перезагрузки, сейчас броде все нормально, нодля профилактики скидываю лог!

З.Ы. Saule, знаю, будешь смеяться или ругаться, но у меня хп сп1, и небыло до сих пор файерволла. Сейчас как временный поставил первый аутпост...

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано
посмотрите мой лог

Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
>>если установил её в качестве Start Page не сам лично
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
O1 - Hosts: 127.0.0.2 custom-host
>>если ты сам не вносил эти изменения в файл Hosts
O1 - Hosts: 127.0.0.2 www.custom
>>если ты сам не вносил эти изменения в файл Hosts
O1 - Hosts: 127.0.0.2 custom
>>если ты сам не вносил эти изменения в файл Hosts
O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
>>если не пользуешься
http://www.smartcomputing.com/editorial/article.asp?article=articles/archive/l0602/12l02/12l02.asp&guid=' rel="external nofollow">
в IE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

З.Ы. Saule, знаю, будешь смеяться или ругаться, но у меня хп сп1, и небыло до сих пор файерволла. Сейчас как временный поставил первый аутпост...

Ругаться точно не буду, так как это твой комп, а не мой :blink:

И по сути мне глубоко всё равно, кто и как относится к своей безопасности, ведь согласись, это всё-таки совсем не мои проблемы. Я могу лишь в чем-то помочь тем, кто этого хочет - но насильно я этого делать не собираюсь :mad:

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

Saule: Привет!

Вот помог человеку с компом, засел у него червь довольно с прикольным названием Sramota.h. У него ни фига не стояло из систем защиты от вирусных атак;) И появилась проблема, меня пугал виндовский инсталлер, я пытался установить каспера...Появлялось окно установки и как только я наводил на окошко указателем - окно исчезало! Эту проблему я решил с помощью клавиатуры...Каспер нашел червя удалил...пофиксил в HijackThis, и почистил реестр....Комп заработал нормально без всяких подвисаний, НО проблемы с инсталлятором те же...

Посмотри пожалуйста лог; и еще вопрос,, где достать новую версию HijackThis, заранее спасибо=)

Logfile of HijackThis v1.99.1

Scan saved at 17:01:30, on 23.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\1\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

Вот еще проблема, Saule: ! Я наверное скоро надоем со своими вопросами... Помнишь ты мне помогла разобраться с Warezov.ne, так вот он опять о себе дает знать, появляясь в одной и той же папке=> удалено: вирус Email-Worm.Win32.Warezov.ne Файл: C:\System Volume Information\_restore{1712AB11-4B27-45DB-A422-9E62A424597B}\RP51\A0016453.exe//PE_Patch.UPX//UPX и второй удалено: вирус Email-Worm.Win32.Warezov.ne Файл: C:\System Volume Information\_restore{1712AB11-4B27-45DB-A422-9E62A424597B}\RP51\A0025782.exe//PE_Patch.UPX//UPX

AVZ вообще молчит!

Вот еще на всяк пожарный выложу свой лог:

Logfile of HijackThis v1.99.1

Scan saved at 0:35:25, on 24.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

D:\Program Files\Winamp\winampa.exe

C:\Program Files\LClock\LClock.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

D:\Program Files\Privoxy\privoxy.exe

D:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

D:\PROGRA~1\FlashGet\flashget.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

D:\Program Files\Mail.Ru\Agent\Magent.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\ICQLite\ICQLite.exe

C:\Documents and Settings\Артём\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 69.151.128.185:8000

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe

O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: HDDlife.lnk = D:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Privoxy.lnk = D:\Program Files\Privoxy\privoxy.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - D:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - D:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

Проблемы продолжаются, теперь стало еще хуже=( Впервые с таким сталкиваюсь...ВИРУС ЖИВ И ВЕСЕЛИТСЯ У МЕНЯ НА КОМПЕ!!!

После удаления C:\System Volume Information\_restore{1712AB11-4B27-45DB-A422-9E62A424597B}\RP51\A0016453.exe//PE_Patch.UPX//UPX и

Email-Worm.Win32.Warezov.ne Файл: C:\System Volume Information\_restore{1712AB11-4B27-45DB-A422-9E62A424597B}\RP51\A0025782.exe//PE_Patch.UPX//UPX

они вернулись, НО когда антивир начинает поиск в зоне System Volume Information, подается запрос на чтение флоппи диска и отклик материнской платы, через 10 сек компьютер перезагрузился самолично! После отключения флоппи драйва копьютер, как заколдованный начал сам перезагружаться даже не успев догрузить ОС, а потом выдает, что случилась критическая ошибка и просит вставить загрузочный диск. Вернув на место флоппи проблема исчезла, но я даже боюсь проверять касперским копьютер....ведь опять повторится....что делать...всякое перевидал...но это просто до смеха...(всё тот же Warezov.ne) Прикрепляю лог HijackThis 2.0Beta

hijackthis.log

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
torch777

torch777

Опубликовано
Опубликовано

На вирус лист описания ВООБЩЕ НЕТ! Даже не знаю чего с ним делать, компьютер продолжает себя так вести...а вирус живет своей жизнью=(

Ссылка на комментарий
Поделиться на другие сайты
woodpeckerrr

woodpeckerrr

Опубликовано
Опубликовано

Saule: Спасибочки, что уделила немного времени!

Ругаться точно не буду, так как это твой комп, а не мой

И по сути мне глубоко всё равно, кто и как относится к своей безопасности, ведь согласись, это всё-таки совсем не мои проблемы. Я могу лишь в чем-то помочь тем, кто этого хочет - но насильно я этого делать не собираюсь

Ну это естественно... Сейчас сам понимаю свои ошибки, просто нет возможности исправить их все и сразу! :g: А указал ето все просто, мало ли понадобится....

З.Ы. Огромное тебе спасибо и респект! Может быть мой случай и не был для тебя слишком сложным, но вобщем, твоя оперативность, работоспособность, твои знания и желание помогать людям удивляют и просто вызывают восхищение! Спасибо тебе за то что ты есть, и за то какая ты есть!!!

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано
Комп заработал нормально без всяких подвисаний, НО проблемы с инсталлятором те же...
Путь в реестре к инсталлятору Windows верный прописан? :g:
и еще вопрос,, где достать новую версию HijackThis, заранее спасибо=)
HijackThis v2.0.0 BETA
так вот он опять о себе дает знать, появляясь в одной и той же папке=> удалено: вирус Email-Worm.Win32.Warezov.ne Файл: C:\System Volume Information\_restore...

Вам нужно просто отчистить папки System Volume Information, так как у антивируса нет доступа на удаление вирусов из этих папок (не смотря на то, что он пишет о том, что файлы удалены; это особенность операционной системы Windows).

Для этого кликаем правой кнопкой мыши на "My Computer" ("Мой Компьютер") и заходим в "Properties" ("Свойства").
Находим закладку "System Restore" ("Восстановление Системы") и ставим галочку напротив "Turn off System Restore on all drives" ("Запpетить Восстановление Системных файлов на всех дисках").
Затем на "Apply" ("Пpименить").
Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".
Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:
My Computer > Properties > System Restore
И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

После этого папки System Volume Information будут чистыми.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу


×
×
  • Создать...