Помощь в лечении систем от нечисти

[Bernadotte]

Погоди че делать с файлом который принял по http://forum.oszone.net/attachment.php?attachmentid=4685.

[ser208]

Как что? Распаковать. Ой, битый чуть.

Вот он http://slil.ru/24470709

[Bernadotte]

SPS!!!Помагло!А что это за прога такая?

И еще подскажи, как убрать надпись из заголовка браузера "-Hacked by Godzilla"

11.bmp

11.bmp

[$traykeR]

отчистил комп от вирусов и теперь при двойном клике на локальные диски появляется надпиь:

Bernadotte:

Для начала грохни этот вирус (если еще ну удалял)! Можешь обновить базы своего антивирусника и т.д., но вирус постарайся найти.

Через Total Commander открой диск, включи показ скрытых файлов и ручками вычисти гадость эту(хитрые autorun).

В корневых каталогах всех дисков и в папке Win\System32 грохнуть 13 файлов autorun с расширениями: ~ex, bat, bin, exe, ico, inf, ini, reg, srm, txt, vbs, wsh, inf_!!!!!!, причем последний из-под Win не удаляется, надо из Dos или ERD Commander.

Далее в реестре:

1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Userinit"="userinit.exe,autorun.bat" убрать все, что за запятой (запятую оставить!)

2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] удалить параметр "ShowSuperHidden"=dword:00000000

Теперь должно все заработать. Еще лучше отключить восстановление на всех дисках.

www.drweb.com

Изменено 5 июня, 2007 пользователем $traykeR

[Maikll]

Bernadotte: уже обсуждалось, в следующий раз используй поиск

http://www.softboard.ru/index.php?s=&s...st&p=354066

[Maikll]

Bernadotte: Воспользуйся для этого программой HijackThis (ссылка на закачку в шапке топика)

и пофикси с ее помощью подобную строчку

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla,

[Bernadotte]

Еще раз ОГРОМНОЕ спасибо!!!Надпись исчезла.

[Matador_20]

Добрый вечер , мне кто то послал по асе файл с расширением EXE, я его по случайности открыл не успев увидеть что это в точности . У меня есть большое подозрение что это вирус я файл тут же удалил , но может он распостранился ? Вобшем как мне это проверить если у меня он или нет ? Дело в том что у меня есть что воровать как раз я был в отдельной онлайн игре , отуда может и присоеденились . Не могли бы вы мне помочь определить есть ли он у меня или нет. Спасибо заранее .

[ser208]

Добрый вечер , мне кто то послал по асе файл с расширением EXE, я его по случайности открыл не успев увидеть что это в точности . У меня есть большое подозрение что это вирус я файл тут же удалил , но может он распостранился ? Вобшем как мне это проверить если у меня он или нет ? Дело в том что у меня есть что воровать как раз я был в отдельной онлайн игре , отуда может и присоеденились . Не могли бы вы мне помочь определить есть ли он у меня или нет. Спасибо заранее .

Давай отчет Hijack, как в шапке описано. Если файл был запущен, то у тебя что угодно может быть.

Изменено 7 июня, 2007 пользователем ser208

[torch777]

Matador_20: Ваш компьютер заражен вирусным ПО типа почтовый червь. Будте внимательны, когда открываете исполнительные файлы или файлы относящиеся к DOS. Вы запустили программу, а значит она выполнила свое предназначение и скопировала себя в нужные папки=) Так что удаление исходного файла не поможет, теперь главный фактор время, чем быстрее вы его удалите, тем меньше вреда он нанесет...

Обязательно обновите базы антивируса! Сделайте после полную проверку ПК. Далее скиньте в тему ваш лог HijackThis! На первой странице этой темы(самое первое сообщение) подробно написано что, а главное как, нужно сделать, чтобы получить совет по вашей проблеме=)

[Saule]

спасибо ..глупый был вопрос учитывая папку где они лежали )

вот лог из авз

В логе ничего подозрительного не видно. Единственное, очень желательно протокол AVZ не копировать, а присоединять к своему сообщению, так как в скопированном виде часть информации утрачивает свою читабельность.

Добрый вечер , мне кто то послал по асе файл с расширением EXE, я его по случайности открыл не успев увидеть что это в точности . У меня есть большое подозрение что это вирус я файл тут же удалил , но может он распостранился ?

На 99%, как уже было сказано выше, вы действительно заражены.

[Matador_20]

Вот лог к hijackhis :

Logfile of HijackThis v1.99.1

Scan saved at 7:10:54, on 08.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\TBPanel.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Desktop\New Folder\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c AVZ :

Протокол исследования системы

AVZ 4.25 http://z-oleg.com/secur/avz/

Список процессов

Имя файла PID Описание Copyright MD5 Информация

c:\program files\autocombats.info\autocombats.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1416 Клиент для "Бойцовского Клуба" ?? 2081.00 кб, rsAh,

создан: 29.03.2005 14:00:57,

изменен: 26.04.2007 10:44:10

Командная строка:

"C:\Program Files\AutoCombats.info\AutoCombats.exe"

c:\program files\grisoft\avg anti-spyware 7.5\avgas.exe

Скрипт: Kарантин, Удалить, Удалить через BC 788 AVG Anti-Spyware Copyright © 2006 Anti-Malware Development a.s. ?? 6120.00 кб, rsAh,

создан: 28.09.2006 17:13:50,

изменен: 23.03.2007 22:04:33

Командная строка:

"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

c:\program files\babylon\babylon-pro\babylon.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1924 Babylon Information Tool Copyright © Babylon Ltd. 1997-2005 ?? 2593.04 кб, rsAh,

создан: 08.04.2007 13:15:25,

изменен: 08.04.2007 14:22:47

Командная строка:

"C:\Program Files\Babylon\Babylon-Pro\Babylon.exe" -AutoStart

c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC 272 eMule Copyright © 2002-2007 Merkur - read license.txt for more infos ?? 5184.00 кб, rsAh,

создан: 13.05.2007 17:57:46,

изменен: 13.05.2007 17:57:46

Командная строка:

"C:\Program Files\eMule\emule.exe" -AutoStart

c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1616 ICQLite Copyright © 2002 ?? 3071.09 кб, rsAh,

создан: 23.03.2007 22:06:37,

изменен: 11.07.2006 13:06:40

Командная строка:

"C:\Program Files\ICQLite\ICQLite.exe" -minimize

c:\program files\internet explorer\iexplore.exe

Скрипт: Kарантин, Удалить, Удалить через BC 3636 Internet Explorer © Microsoft Corporation. All rights reserved. ?? 91.00 кб, rsAh,

создан: 22.03.2007 14:53:10,

изменен: 04.08.2004 15:00:00

Командная строка:

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"

c:\program files\ralink\common\raui.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1500 Ralink Wireless Utility © Copyright 2004, Ralink Technology, Inc. All rights reserved. ?? 576.00 кб, rsAh,

создан: 23.03.2007 15:58:13,

изменен: 09.11.2005 17:54:00

Командная строка:

"C:\Program Files\RALINK\Common\RaUI.exe" -s

c:\windows\rthdcpl.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1948 Realtek HD Audio Control Panel Copyright © 2004 Realtek Semiconductor Corp. ?? 15828.50 кб, rsAh,

создан: 22.03.2007 15:32:22,

изменен: 27.05.2006 5:47:26

Командная строка:

"C:\WINDOWS\RTHDCPL.EXE"

c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC 244 Skype. Take a deep breath © Skype Technologies S.A. ?? 24671.04 кб, rsAh,

создан: 22.03.2007 16:18:13,

изменен: 30.03.2007 13:34:08

Командная строка:

"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

c:\program files\skype\plugin manager\skypepm.exe

Скрипт: Kарантин, Удалить, Удалить через BC 2576 Skype Extras Manager Skype Limited ?? 1869.95 кб, RsAh,

создан: 30.03.2007 13:22:04,

изменен: 30.03.2007 13:22:04

Командная строка:

"C:\Program Files\Skype\Plugin Manager\SkypePM.exe" /SILENT

c:\windows\tbpanel.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1972 EXPERTool : Display Control Panel Copyright © 2005 ?? 2096.00 кб, RsAh,

создан: 22.03.2007 15:44:42,

изменен: 23.06.2006 16:29:40

Командная строка:

"C:\WINDOWS\TBPanel.exe" /A

Обнаружено:32, из них опознаны как безопасные 23

Имя модуля Handle Описание Copyright MD5 Используется процессами

C:\Program Files\AutoCombats.info\AutoCombats.bpl

Скрипт: Kарантин, Удалить, Удалить через BC 6356992 AutoCombats package -- 1416

C:\Program Files\AutoCombats.info\AutoCombats.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Клиент для "Бойцовского Клуба" ?? 1416

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Babylon Information Tool Copyright © Babylon Ltd. 1997-2005 ?? 1924

C:\Program Files\Babylon\Babylon-Pro\BabyServices.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 14811136 Babylon Services Copyright © Babylon Ltd. 1997-2005 -- 1924

C:\Program Files\Babylon\Babylon-Pro\BContentServer.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 19267584 Babylon Content Copyright © Babylon Ltd. 1997-2005 -- 1924

C:\Program Files\Babylon\Babylon-Pro\BException.dll

Скрипт: Kарантин, Удалить, Удалить через BC 268435456 Babylon EXception Copyright © Babylon Ltd. 1997-2005 -- 1924

C:\Program Files\eMule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 eMule Copyright © 2002-2007 Merkur - read license.txt for more infos ?? 272

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 AVG Anti-Spyware Copyright © 2006 Anti-Malware Development a.s. ?? 788

C:\Program Files\ICQToolbar\toolbaru.dll

Скрипт: Kарантин, Удалить, Удалить через BC 268435456 IE Toolbar Copyright 2001-2003. All rights reserved. -- 3636

C:\Program Files\RALINK\Common\AegisE5.dll

Скрипт: Kарантин, Удалить, Удалить через BC 268435456 IEEE 802.1X Protocol Copyright © Meetinghouse Data Communications 1997-2004 -- 1500

C:\Program Files\RALINK\Common\RaUI.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Ralink Wireless Utility © Copyright 2004, Ralink Technology, Inc. All rights reserved. ?? 1500

C:\Program Files\Skype\Phone\Skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Skype. Take a deep breath © Skype Technologies S.A. ?? 244

C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll

Скрипт: Kарантин, Удалить, Удалить через BC 17235968 Skype Extras Manager Utilites EasyBits Software Corp. -- 2576

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Skype Extras Manager Skype Limited ?? 2576

C:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll

Скрипт: Kарантин, Удалить, Удалить через BC 37027840 Skype Phone number parser © Skype Technologies. All rights reserved. -- 3636

C:\PROGRA~1\ICQLite\FILECO~1.OCX

Скрипт: Kарантин, Удалить, Удалить через BC 268435456 FileControl ActiveX Control Module Copyright © 2007 -- 1616

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 33947648 Skype add-on for IE © Skype Technologies. All rights reserved. -- 3636

C:\WINDOWS\GwLib.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 15532032 GWLIB Copyright c 2004 -- 1972

C:\WINDOWS\RTHDCPL.EXE

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Realtek HD Audio Control Panel Copyright © 2004 Realtek Semiconductor Corp. ?? 1948

C:\WINDOWS\TBManage.dll

Скрипт: Kарантин, Удалить, Удалить через BC 469762048 -- 1972

C:\WINDOWS\TBPanel.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 EXPERTool : Display Control Panel Copyright © 2005 ?? 1972

Обнаружено модулей:327, из них опознаны как безопасные 306

Модули пространства ядра

Модуль Базовый адрес Размер в памяти Описание Производитель

F7418000 018000 (98304)

\SystemRoot\system32\DRIVERS\AegisP.sys

Скрипт: Kарантин, Удалить, Удалить через BC EE0C9000 005000 (20480) IEEE 802.1X Protocol Driver Copyright © Meetinghouse Data Communications 1997-2005

\SystemRoot\System32\Drivers\DgiVecp.sys

Скрипт: Kарантин, Удалить, Удалить через BC F6D34000 00E000 (57344) Windows NT 4.0 IEEE-1284 parallel class driver for ECP, Byte, and Nibble modes Copyright © 1998, 1999 by DeviceGuys, Inc.

\SystemRoot\System32\Drivers\dump_nvata.sys

Скрипт: Kарантин, Удалить, Удалить через BC B1E13000 019000 (102400)

\SystemRoot\System32\Drivers\dump_WMILIB.SYS

Скрипт: Kарантин, Удалить, Удалить через BC F7B52000 002000 (8192)

\??\C:\WINDOWS\system32\Drivers\ET5Drv.sys

Скрипт: Kарантин, Удалить, Удалить через BC EE0A9000 008000 (32768) Generic Port I/O Copyright © Microsoft Corp. 1981-1996

\SystemRoot\system32\drivers\RtkHDAud.sys

Скрипт: Kарантин, Удалить, Удалить через BC F17DC000 43C000 (4440064) Realtek® High Definition Audio Function Driver Copyright © Realtek Semiconductor Corp.1998-2004

\SystemRoot\System32\Drivers\TBPanel.SYS

Скрипт: Kарантин, Удалить, Удалить через BC F7AF4000 002000 (8192) Display Control Program Copyright © Microsoft Corp. 1981-1999

Обнаружено модулей - 122, опознано как безопасные - 114

Службы

Служба Описание Статус Файл Группа Зависимости

Обнаружено - 43, опознано как безопасные - 43

Драйверы

Служба Описание Статус Файл Группа Зависимости

AegisP AEGIS Protocol (IEEE 802.1x) v3.4.3.0 Работает system32\DRIVERS\AegisP.sys

Скрипт: Kарантин, Удалить, Удалить через BC PNP_TDI

DgiVecp Team MFP Comm Driver Работает System32\Drivers\DgiVecp.sys

Скрипт: Kарантин, Удалить, Удалить через BC +Parallel Arbitrator

ET5Drv ET5Drv Работает \??\C:\WINDOWS\system32\Drivers\ET5Drv.sys

Скрипт: Kарантин, Удалить, Удалить через BC

IntcAzAudAddService Service for Realtek HD Audio (WDM) Работает system32\drivers\RtkHDAud.sys

Скрипт: Kарантин, Удалить, Удалить через BC

TBPanel TBPanel Работает TBPanel.sys

Скрипт: Kарантин, Удалить, Удалить через BC Extended Base

Обнаружено - 92, опознано как безопасные - 87

Автозапуск

Имя файла Статус Метод запуска Описание

C:\Program Files\Ahead\Nero BackItUp\NBJ.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, NBJ

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Babylon Client

C:\Program Files\Gigabyte\ET5\GUI.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, EasyTuneV

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, !AVG Anti-Spyware

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Documents and Settings\All Users\Start Menu\Programs\Startup\, C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office OneNote 2003 Quick Launch.lnk,

C:\Program Files\RALINK\Common\RaUI.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Documents and Settings\All Users\Start Menu\Programs\Startup\, C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Ralink Wireless Utility.lnk,

C:\Program Files\Skype\Phone\Skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, Skype

C:\Program Files\eMule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, eMuleAutoStart

C:\WINDOWS\RTHDCPL.EXE

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, RTHDCPL

C:\WINDOWS\SkyTel.EXE

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SkyTel

C:\WINDOWS\TBPanel.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Gainward

Обнаружено элементов автозапуска - 72, опознано как безопасные - 61

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла Тип Описание Производитель CLSID

C:\Program Files\ICQToolbar\toolbaru.dll

Скрипт: Kарантин, Удалить, Удалить через BC BHO IE Toolbar Copyright 2001-2003. All rights reserved. {055FD26D-3A88-4e15-963D-DC8493744B1D}

BHO {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

Скрипт: Kарантин, Удалить, Удалить через BC BHO Skype add-on for IE © Skype Technologies. All rights reserved. {22BF413B-C6D2-4d91-82A9-A0F997BA588C}

C:\Program Files\ICQToolbar\toolbaru.dll

Скрипт: Kарантин, Удалить, Удалить через BC Панель IE Toolbar Copyright 2001-2003. All rights reserved. {855F3B16-6D32-4fe6-8A56-BBB695989046}

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения Skype add-on for IE © Skype Technologies. All rights reserved. {77BF5300-1474-4EC7-9980-D32B190E9B07}

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

Скрипт: Kарантин, Удалить, Удалить через BC Модуль расширения Skype add-on for IE © Skype Technologies. All rights reserved. {92780B25-18CC-41C8-B9BE-3C9C571A8263}

Обнаружено элементов - 12, опознано как безопасные - 6

Модули расширения проводника

Имя файла Назначение Описание Производитель CLSID

deskpan.dll

Скрипт: Kарантин, Удалить, Удалить через BC Display Panning CPL Extension {42071714-76d4-11d1-8b24-00a0c9068ff3}

Shell extensions for file compression {764BF0E1-F219-11ce-972D-00AA00A14F56}

Encryption Context Menu {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}

Taskbar and Start Menu {0DF44EAA-FF21-4412-828E-260A8728E7F1}

rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

User Accounts {7A9D77BD-5403-11d2-8785-2E0420524153}

Shell Extensions for RealOne Player {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}

Обнаружено элементов - 188, опознано как безопасные - 181

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла Тип Наименование Описание Производитель

Обнаружено элементов - 8, опознано как безопасные - 8

Задания планировщика задач Task Scheduler

Имя файла Имя задания Состояние задания Описание Производитель

Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID

Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание

Обнаружено - 15, опознано как безопасные - 15

Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания

Порты TCP

80 LISTENING 0.0.0.0 45239 [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

135 LISTENING 0.0.0.0 2256 [880] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

139 LISTENING 0.0.0.0 10285 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

443 LISTENING 0.0.0.0 2240 [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

445 LISTENING 0.0.0.0 30840 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

1026 ESTABLISHED 127.0.0.1 1069 [1616] c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1026 LISTENING 0.0.0.0 16632 [1616] c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1034 LISTENING 0.0.0.0 16440 [2288] c:\windows\system32\alg.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1069 ESTABLISHED 127.0.0.1 1026 [1616] c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2018 ESTABLISHED 84.108.8.44 49422 [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2020 ESTABLISHED 64.12.28.78 443 [1616] c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2240 ESTABLISHED 81.179.103.102 49797 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2247 FIN_WAIT2 151.75.235.77 57888 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2482 ESTABLISHED 193.138.230.251 4242 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2523 TIME_WAIT 84.32.48.147 60741 [0]

2524 ESTABLISHED 85.73.65.177 6346 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2526 ESTABLISHED 82.52.207.242 9992 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

2533 TIME_WAIT 194.67.45.98 80 [0]

2535 TIME_WAIT 194.67.45.98 80 [0]

2536 TIME_WAIT 84.221.135.88 4662 [0]

2551 ESTABLISHED 88.147.11.197 48333 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

3136 LISTENING 0.0.0.0 18515 [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

3260 LISTENING 0.0.0.0 16489 [1872] c:\program files\alcohol soft\alcohol 120\starwind\starwindservice.exe

Скрипт: Kарантин, Удалить, Удалить через BC

3261 LISTENING 0.0.0.0 61473 [1872] c:\program files\alcohol soft\alcohol 120\starwind\starwindservice.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 LISTENING 0.0.0.0 34932 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 ESTABLISHED 60.3.56.248 3445 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 61.141.153.9 2963 [0]

14561 ESTABLISHED 62.10.127.3 4268 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 62.110.156.34 7903 [0]

14561 ESTABLISHED 68.98.147.124 1583 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 69.238.217.23 1727 [0]

14561 ESTABLISHED 74.103.242.147 63958 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 ESTABLISHED 76.171.168.254 33026 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 80.59.159.57 50254 [0]

14561 ESTABLISHED 80.119.10.250 61477 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 ESTABLISHED 81.140.118.55 2227 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 81.183.96.83 3734 [0]

14561 TIME_WAIT 82.100.43.5 3841 [0]

14561 ESTABLISHED 83.38.226.129 4187 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 83.45.229.32 1749 [0]

14561 TIME_WAIT 83.157.131.43 2285 [0]

14561 TIME_WAIT 83.190.42.218 4509 [0]

14561 TIME_WAIT 83.196.136.43 4099 [0]

14561 TIME_WAIT 84.122.146.239 2031 [0]

14561 TIME_WAIT 84.220.39.11 55686 [0]

14561 TIME_WAIT 85.136.70.6 1528 [0]

14561 TIME_WAIT 87.7.8.210 2523 [0]

14561 ESTABLISHED 87.175.239.146 4363 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 87.181.94.186 2480 [0]

14561 TIME_WAIT 88.82.58.104 56887 [0]

14561 TIME_WAIT 88.123.157.146 1595 [0]

14561 FIN_WAIT 89.6.69.79 1992 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 FIN_WAIT 123.52.1.2 15937 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 ESTABLISHED 151.38.84.212 3745 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 151.75.162.109 2540 [0]

14561 TIME_WAIT 189.143.89.65 60130 [0]

14561 ESTABLISHED 201.238.226.173 62897 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 201.255.102.253 4919 [0]

14561 ESTABLISHED 213.207.219.182 4886 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14561 TIME_WAIT 217.132.218.40 61829 [0]

14561 TIME_WAIT 218.166.211.142 4117 [0]

14561 TIME_WAIT 218.168.216.247 1574 [0]

14561 ESTABLISHED 222.218.36.65 2498 [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

Порты UDP

123 LISTENING -- -- [948] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

123 LISTENING -- -- [948] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

137 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

138 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

445 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

500 LISTENING -- -- [664] c:\windows\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1025 LISTENING -- -- [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1027 LISTENING -- -- [1616] c:\program files\icqlite\icqlite.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1028 LISTENING -- -- [1032] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1030 LISTENING -- -- [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1224 LISTENING -- -- [3636] c:\program files\internet explorer\iexplore.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1231 LISTENING -- -- [1032] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1260 LISTENING -- -- [1032] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1745 LISTENING -- -- [1416] c:\program files\autocombats.info\autocombats.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1064] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1064] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

3136 LISTENING -- -- [244] c:\program files\skype\phone\skype.exe

Скрипт: Kарантин, Удалить, Удалить через BC

4500 LISTENING -- -- [664] c:\windows\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

14571 LISTENING -- -- [272] c:\program files\emule\emule.exe

Скрипт: Kарантин, Удалить, Удалить через BC

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки

{D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwa...ash/swflash.cab

Обнаружено элементов - 1, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель

Обнаружено элементов - 27, опознано как безопасные - 27

Active Setup

Имя файла Описание Производитель CLSID

Обнаружено элементов - 13, опознано как безопасные - 13

Файл HOSTS

Запись файла Hosts

127.0.0.1 localhost

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID

Обнаружено элементов - 30, опознано как безопасные - 30

--------------------------------------------------------------------------------

Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 08.06.2007 7:13:34

Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58493

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0846E0)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055B6E0

KiST = 80503940 (284)

Функция NtClose (19) перехвачена (805BAF64->F74C1C58), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtCreateKey (29) перехвачена (80622104->F74C1C10), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtCreatePagingFile (2D) перехвачена (805AA4C4->F74B5C70), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtEnumerateKey (47) перехвачена (80622944->F74B64FE), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtEnumerateValueKey (49) перехвачена (80622BAE->F74C1D50), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtOpenKey (77) перехвачена (8062349A->F74C1BD4), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtOpenProcess (7A) перехвачена (805C9CFE->EE9718AC), перехватчик C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

Функция NtQueryKey (A0) перехвачена (806237BE->F74B651E), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtQueryValueKey (B1) перехвачена (806201BE->F74C1CA6), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtSetSystemPowerState (F1) перехвачена (80650E26->F74C14F0), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys

Функция NtTerminateProcess (101) перехвачена (805D1226->EE971812), перехватчик C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

Проверено функций: 284, перехвачено: 11, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 34

Количество загруженных модулей: 297

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\Anton\Local Settings\Temp\~DF9D53.tmp

Прямое чтение C:\Documents and Settings\Anton\Local Settings\Temp\~DFB0A8.tmp

Прямое чтение D:\Anton\MP3\milino\English\stevie_wonder_-_i_just_called_to_say_i_love_you.mp3

D:\University\Kurses\Fizika klasit 1\Theory\TENA3[1].doc >>> подозрение на IM-Flooder.Win32.VB.j ( 05CB2C57 039B49C0 000A7A85 004D6E44 155648)

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 229263, извлечено из архивов: 206456, найдено вредоносных программ 0

Сканирование завершено в 08.06.2007 7:56:59

Сканирование длилось 00:43:25

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Команды скрипта

Добавить в скрипт команды:

Нейтрализация перехватов функций при помощи антируткита

Включить AVZGuard

BootCleaner - импорт списка удаленных файлов

Чистка реестра после удаления файлов

BootCleaner - активация

Перезагрузка

Вставить заготовку для QuarantineFile() - помещение файла в карантин

Вставить заготовку для DeleteFile() - удаление файла

Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра

--------------------------------------------------------------------------------

Список файлов

А так же с AVZ :

[IgorI]

hijackthis.logavz_sysinfo.htm

Добрый день. Недавно обнаружил у себя на компе вот такую вот зверюшку: Trojan-Spy.Win32.Banker.cmb (http://www.viruslist.com/en/viruses/encyclopedia?virusid=154559#doc2).

Справиться с ней своими силами не получается. Самое интересное, что она живет у меня и на домашнем компьютере и на работе тоже....

Если есть возможность, помогите пожалуйста избавиться от непрошенных гостей.

протоколы обследования системы hijackthis и AVZ в прикрепленных файлах

avz_sysinfo.htm

hijackthis.log

[Saule]

Добрый день. Недавно обнаружил у себя на компе вот такую вот зверюшку: Trojan-Spy.Win32.Banker.cmb

1. Cкачиваем SDFix и запускаем (это самораспаковывающийся архив).

   В системном каталоге будет создана папка SDFix:

   C:\
   SDFix
2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)
   При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
3. Открываем папку SDFix и запускаем файл RunThis.bat.

   Пишем букву Y и нажимаем на ENTER.

   Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

   Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4. После перезагрузки процедура удаления снова ненадолго продолжится.

   Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

   Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

После этого, если что-то будет еще беспокоить, желательно сделать новые логи (AVZ и HijackThis) + также не будет лишним присоединить лог SDFix к своему сообщению.

[Saule]

Вот лог к hijackhis

В логе ничего подозрительного не видно. Единственное, пофиксите следующую строку (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Протокол исследования системы AVZ 4.25

С протоколом AVZ - очень желательно его не копировать, а присоединять к сообщению, так как в скопированном виде часть информации утрачивает какую-либо читабельность.

На всякий случай:

Как присоединить к сообщению изображение, или файл

http://www.softboard.ru/index.php?showtopic=24786&st=40&p=187995' rel="external nofollow">

Но при беглом просмотре мне ничего нехорошего найти в нем также не удалось.

[Matador_20]

Спасибо большое , видимо AVG Anti-Spyware его уже удалил .

[IgorI]

Saule, огромное спасибо за помощь. Как вы успеваете так быстро реагировать?...

Вот еще вопрос. Как я уже говорил, у меня проблема на двух компьютерах - дома и на работе. Те логи, что я высылал, были с рабочего компа. На домашнем все очень похоже (все что касается файла ntos.exe)... Можно ли воспользоваться этим же архивом (SDFix.exe) для лечения домашнего или надо по новой выкатывать сюда протоколы обследования??

[Saule]

Saule, огромное спасибо за помощь. Как вы успеваете так быстро реагировать?...

Вот еще вопрос. Как я уже говорил, у меня проблема на двух компьютерах - дома и на работе. Те логи, что я высылал, были с рабочего компа. На домашнем все очень похоже (все что касается файла ntos.exe)... Можно ли воспользоваться этим же архивом (SDFix.exe) для лечения домашнего или надо по новой выкатывать сюда протоколы обследования??

Если на домашнем компьютере установленная ОС - Windows XP или Windows 2000, то можно точно также воспользоваться SDFix.

Протоколы могут понадобиться только в том случае, если будут подозрения на что-либо еще.

[IgorI]

Saulе, еще раз огромно спасибо. На домашнем троянов извел (хотя было не просто - пришлось воспользоваться вашими советами из всей этой ветки). Рабочим займусь есссно после праздников. Но теперь я их не боюсь ;-))))

[Sanitar]

периодически DrWeb мне выдает такую инфу C:\WINDOWS\system32\ZLCommDB.dll - инфицирован Trojan.PWS.School.origin откуда эта гадость идет? То что это с инета я догадываюсь, каков источник может быть?

[torch777]

Sanitar: Снеси ZoneAlarm и поставь Outpost, проблема решиться..=)

Эта библиотека касается ZoneAlarm

[Saule]

периодически DrWeb мне выдает такую инфу C:\WINDOWS\system32\ZLCommDB.dll - инфицирован Trojan.PWS.School.origin откуда эта гадость идет? То что это с инета я догадываюсь, каков источник может быть?

Просто добавь этот файл с список исключений в сканере Dr.WEB:

Options > Change Settings > Excluded files (выбираем C:\WINDOWS\system32\ZLCommDB.dll) > Add

[litlex]

в системе имеется устройство, которое хочу удалить: Virtual Usb Bus Enumerator

AVZ выдал:

vusb Virtual Usb Bus Enumerator Работает system32\drivers\vusb.sys

Скрипт: Kарантин, Удалить, Удалить через BC ExtendedBase

можно ли скриптом удалить устройство (Удалить через BC ExtendedBase)?

avz_sysinfo.htm

hijackthis.log

avz_sysinfo.htm

hijackthis.log

[Sanitar]

Sanitar: Снеси ZoneAlarm и поставь Outpost, проблема решиться..=)

Эта библиотека касается ZoneAlarm

С оутпостом я уже намучался, из-за него был синий экран и внезапная перезагрузка компьютера. К тому же его покупать надо.

[torch777]

Sanitar: давно пользовался outpost, и ни каких проблем=) А синий экран....ты уверен, что это из-за него?.....