Помощь в лечении систем от нечисти

**Sanitar** · 11 июня, 2007

Sanitar: давно пользовался outpost, и ни каких проблем=) А синий экран....ты уверен, что это из-за него?.....

После установки его все и началось. Но все равно, платить за него я не хочу.

**salam** · 11 июня, 2007

Nujen HELP.

U menya dva notebooka i oba poimali virusi (odin uj tochno). Ne znau kak udalit? :) Skaniroval stari komp Kasperskim i on vidal mne problemi. (smotrite LOG) kasperski_report.html a takje proshelsya Hijackthis i vot ego LOG.hijackthis.log

Drugoi komp bolee novi, no vsegda v internet "prosto" ne zahodit po Wireless a pishet "Aquiring network address" i eto dlitsa dolgo. Delau vruchnuu... I glavnoe kogda on ne v seti to na pustom rabochem stole, ne trogaya komp - vdrug zvuk kak pri oshibki windows, no NE CHEGO ne otkrito, daje okna oshibki??? Prosto: BUM! Ili eshe odin zvuk, kogda vkl./vkl. knopku Wireless to Assistant vsegda izdaet dvoinoi zvuk i vsplivaet okoshko (Bluethoose:ON Wireless:ON) ili OFF.

A tut ya siju za drugim kompom i tot je zvuk no net opoveshenia, i knopka-to ne vkluchena??? KOroche mistika s primes'u Spyware :) Izvenite chto zagruzil vas, no sam ne mogu. Spasibo

kasperski_report.html

hijackthis.log

**Saule** · 11 июня, 2007

в системе имеется устройство, которое хочу удалить: Virtual Usb Bus Enumerator

Удалить скриптом можно (правда, не совсем понятно зачем, но смотрите сами):

beginBC_DeleteSvc('vusb');BC_DeleteFile('\SystemRoot\system32\drivers\vusb.sys');BC_Activate;RebootWindows(true);end.

Sanitar: давно пользовался outpost, и ни каких проблем=) А синий экран....ты уверен, что это из-за него?.....

Outpost Firewall: Система падает в синий экран

**torch777** · 11 июня, 2007

Saule:

Outpost Firewall: Система падает в синий экран

В принципе я с этим сталкивался, но...опять таки не у себя на ПК. Нужно просто малость настроить систему. А так в мусор Outpost выкидывать я не буду.

По многим параметрам надежная штука=)

**litlex** · 11 июня, 2007

Удалить скриптом можно (правда, не совсем понятно зачем, но смотрите сами):

вобщем это устройство появилось врезультате установки эмулятора для 1с-8, позже появились реальные ключи хасп (usb-шные) и потребность в эмуляторе отпала, сносим эмулятор, ставим ключи, но система не видит ключ на сервер 1с-предприятия, при этом в процессе сноса эмулятора выше указанное устройство не удалось удалить, система виснет при попытке его удаления....

вобщем думаю что ключ не определяется из Virtual Usb Bus Enumerator, потому и хочу его удалить и проверить заработает ли..

Как думаете? сработает? не было таких случаев? можно ли просто удалить драйвер Virtual Usb Bus Enumerator из system32?

этот скрипт генерится в AVZ?

**ser208** · 12 июня, 2007

litlex

Поищи в диспетчере устройств. Это же виртуальное устройство, оно должно там отображаться. Там и выключишь или удалишь.

Потом может работать как служба. Можно там выключить.

В эмуляторах обычно в комплекте идет утилита деинсталляции.

Запусти в cmd инсталляционный файл с ключом /? , выдаст список доступных задач. Там может быть ключ /u или еще какой-нибудь для удаления.

Сам драйвер можно удалить в Safe Mode.

**Saule** · 12 июня, 2007

вобщем думаю что ключ не определяется из Virtual Usb Bus Enumerator, потому и хочу его удалить и проверить заработает ли..
Как думаете? сработает? не было таких случаев? можно ли просто удалить драйвер Virtual Usb Bus Enumerator из system32?

этот скрипт генерится в AVZ?

Да, этот скрипт для запуска в AVZ (в верхнем меню: Файл > Выполнить скрипт > копируем скрипт в открывшееся окошко > нажимаем на 'Запустить').

Но вы действительно можете попробовать:

1. Удалить этот драйвер вручную.

2. После чего перезагружаем компьютер.

3. Устанавливаем оригинальные драйвера защиты (HASP):

hinstall.exe /i

4. Снова перезагружаем компьютер и пробуем.

**torch777** · 12 июня, 2007

Для этого есть уже созданная тема- Помощь в лечении систем от нечести

Не создавайте мусорные темы пожалуйста....

Просьба еще не писать на транслите.

**Saule** · 12 июня, 2007

Nujen HELP.

U menya dva notebooka i oba poimali virusi (odin uj tochno). Ne znau kak udalit? :) Skaniroval stari komp Kasperskim i on vidal mne problemi. (smotrite LOG) kasperski_report.html a takje proshelsya Hijackthis i vot ego LOG.hijackthis.log

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\jfppvjop.dll",realset

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Избавляемся от временных файлов системы. Например, с помощью программы ATF-Cleaner (cкачиваем, запускаем (инсталляция не требуется), для полной чистки отмечаем галочкой "Select All" и нажимаем на кнопку "Empty Selected"). После компьютер необходимо перезагрузить.

3. Находим и удаляем следующий файл:

C:\WINDOWS\System32\

jfppvjop.dll

После чего нужно повторить лог.

И еще важно:

Эта служба вам хоть как-то знакома?

O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\System32\j8201237.exe

Плюс следующие записи вы сами вносили в hosts-файл?

O1 - Hosts: 62.189.6.78 _sip._tls.sip1.callserve.com

O1 - Hosts: 62.189.6.78 _sip._ssl.sip1.callserve.com

O1 - Hosts: 62.189.6.79 _sip._tls.sip2.callserve.com

O1 - Hosts: 62.189.6.79 _sip._ssl.sip2.callserve.com

O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com

O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com

O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com

O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com

**pavel lv** · 12 июня, 2007

переодически комп жутко тормозит,помогите вылечить зверя)

Logfile of HijackThis v1.99.1

Scan saved at 14:12:58, on 12.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Pavel\LOCALS~1\Temp\Rar$EX00.093\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

O1 - Hosts: 81.177.17.70 u1.eset.com

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.19.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/w...ntrol_en_US.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" -r (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Saule** · 12 июня, 2007

переодически комп жутко тормозит,помогите вылечить зверя)

Следующую запись вы сами вносили в hosts-файл (если нет, то пофиксите её с помощью HijackThis; пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked")?

O1 - Hosts: 81.177.17.70 u1.eset.com

Больше ничего необычного в логе не видно. Поэтому можно еще посмотреть на лог AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы: 'Файл' > 'Исследование системы' и присоединяем полученный протокол к своему сообщению), либо причины этого торможения в чем-то другом.

**pavel lv** · 12 июня, 2007

да,при повторном сканировании O1 - Hosts: 81.177.17.70 u1.eset.com -нету.

Протокол исследования системы

AVZ 4.25 http://z-oleg.com/secur/avz/

Список процессов

Имя файла PID Описание Copyright MD5 Информация

\\gunta\c\es\_es.exe

Скрипт: Kарантин, Удалить, Удалить через BC 3684 ?? 1245.93 кб, rsAh,

создан: 07.03.2006 14:08:48,

изменен: 24.10.2005 7:52:00

Командная строка:

"\\Gunta\C\ES\_es.exe"

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avp.exe

создан: 17.12.2006 22:56:18,

изменен: 17.12.2006 22:56:18

Командная строка:

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avp.exe

создан: 17.12.2006 22:56:18,

изменен: 17.12.2006 22:56:18

Командная строка:

c:\docume~1\pavel\locals~1\temp\rar$ex00.500\avz4\avz.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1792 Антивирусная утилита AVZ Антивирусная утилита AVZ ?? 701.00 кб, rsAh,

создан: 12.06.2007 17:00:00,

изменен: 17.04.2007 15:12:28

Командная строка:

"C:\DOCUME~1\Pavel\LOCALS~1\Temp\Rar$EX00.500\avz4\avz.exe"

c:\program files\daemon tools\daemon.exe

создан: 12.11.2006 13:48:46,

изменен: 12.11.2006 13:48:46

Командная строка:

"C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

c:\windows\explorer.exe

создан: 12.02.2007 16:06:15,

изменен: 12.02.2007 16:06:15

Командная строка:

C:\WINDOWS\Explorer.EXE

c:\program files\internet explorer\iexplore.exe

создан: 22.03.2007 10:38:29,

изменен: 21.02.2007 11:00:58

Командная строка:

"C:\Program Files\Internet Explorer\iexplore.exe"

c:\program files\outlook express\msimn.exe

создан: 22.03.2007 10:38:37,

изменен: 18.08.2004 14:00:00

Командная строка:

"C:\Program Files\Outlook Express\msimn.exe"

c:\program files\common files\ahead\lib\nmbgmonitor.exe

создан: 13.09.2006 12:12:52,

изменен: 13.09.2006 12:12:52

Командная строка:

"C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

c:\program files\common files\ahead\lib\nmindexstoresvr.exe

создан: 13.09.2006 12:07:08,

изменен: 13.09.2006 12:07:08

Командная строка:

"C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe" -Embedding

c:\windows\system32\svchost.exe

создан: 18.08.2004 14:00:00,

изменен: 18.08.2004 14:00:00

Командная строка:

C:\WINDOWS\System32\svchost.exe -k netsvcs

c:\windows\system32\winlogon.exe

создан: 18.08.2004 14:00:00,

изменен: 18.08.2004 14:00:00

Командная строка:

winlogon.exe

Обнаружено:32, из них опознаны как безопасные 26

Имя модуля Handle Описание Copyright MD5 Используется процессами

\\gunta\c\es\foxtools.fll

\\Gunta\C\ES\VFP6R.DLL

\\Gunta\C\ES\VFP6RENU.DLL

C:\Program Files\Common Files\Ahead\Lib\AdvrCntr2.dll

C:\Program Files\Common Files\Ahead\Lib\NeroIPP.dll

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ahead\Lib\NMCoFoundation.dll

C:\Program Files\Common Files\Ahead\Lib\NMDataServices.dll

C:\Program Files\Common Files\Ahead\Lib\NMFullTextExtraction.dll

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvrPS.dll

C:\Program Files\Common Files\Ahead\Lib\NMLogCxx.dll

C:\Program Files\Common Files\Ahead\Lib\NMPluginBase.dll

C:\Program Files\Common Files\Ahead\Lib\NMSearchPluginSimilarImages.dll

C:\Program Files\Common Files\Ahead\Lib\NMSQLDB.dll

C:\Program Files\DAEMON Tools\daemon.dll

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\DAEMON Tools\Plugins\Images\bw5mount.dll

C:\Program Files\DAEMON Tools\Plugins\Images\ccdmount.dll

C:\Program Files\DAEMON Tools\Plugins\Images\cuemount.dll

C:\Program Files\DAEMON Tools\Plugins\Images\mdsmount.dll

C:\Program Files\ICQLite\ICQLiteShell.dll

C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\ahfw.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\ahids.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\antispam.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\aphish.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\aphisht.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\arj.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avlib.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avp1.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avp3info.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\AVPGS.PPL

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avpgui.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avpmgr.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avs.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avspm.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\basegui.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\bl.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\btdisk.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\btimages.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\cab.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\CKAHComm.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\ckahrule.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\CKAHUM.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\comstreamio.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\crpthlpr.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\dmap.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\dtreg.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\fsdrvplgn.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\FSSync.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\hashcont.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\hashmd5.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\hccmp.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\httpanlz.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\httpscan.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\icheckersa.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\ichk2.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\imapprotocoller.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\inflate.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\iwgen.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\klaveng.dll

Скрипт: Kарантин, Удалить, Удалить через BC 68288512 -- 1892

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\klscav.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\l_llio.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\lha.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\lic60.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\maildisp.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\mc.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\mdb.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\minizip.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\msoe.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\ndetect.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\nfio.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\nntpprotocoller.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\oas.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\oeas.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\og.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\params.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\pdm.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\pop3protocoller.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\popupchk.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\prkernel.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\prloader.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\procmon.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\prremote.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\prseqio.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\prutil.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\pxstub.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\qb.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\rar.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\report.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\resip.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\sc.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\schedule.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scrchpg.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\sfdb.ppl

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ShellEx.dll

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\smtpprotocoller.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\spamtst.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\tempfile.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\thpimpl.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\timer.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\tm.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\trafficmonitor2.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\uniarc.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\wdiskio.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\winreg.ppl

c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\wmihlpr.ppl

C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll

C:\Program Files\Skype\toolbars\Shared\SPhoneParser.dll

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

C:\WINDOWS\system32\klogon.dll

C:\WINDOWS\system32\WgaLogon.dll

c:\windows\system32\wuauserv.dll

C:\WINDOWS\system32\xmllite.dll

Обнаружено модулей:434, из них опознаны как безопасные 317

Модули пространства ядра

Модуль Базовый адрес Размер в памяти Описание Производитель

\SystemRoot\System32\Drivers\ayofyfif.SYS

Скрипт: Kарантин, Удалить, Удалить через BC F6FDE000 04A000 (303104)

\SystemRoot\System32\Drivers\dump_atapi.sys

Скрипт: Kарантин, Удалить, Удалить через BC F57F6000 018000 (98304)

\SystemRoot\System32\Drivers\dump_WMILIB.SYS

Скрипт: Kарантин, Удалить, Удалить через BC F7AEA000 002000 (8192)

kl1.sys

\??\C:\WINDOWS\system32\drivers\klif.sys

sptd.sys

Скрипт: Kарантин, Удалить, Удалить через BC F73DB000 0DA000 (892928)

Обнаружено модулей - 117, опознано как безопасные - 111

Службы

Служба Описание Статус Файл Группа Зависимости

AVP Kaspersky Anti-Virus 6.0 Работает "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" -r

Скрипт: Kарантин, Удалить, Удалить через BC

Обнаружено - 47, опознано как безопасные - 46

Драйверы

Служба Описание Статус Файл Группа Зависимости

kl1 kl1 Работает \SystemRoot\system32\drivers\kl1.sys

Скрипт: Kарантин, Удалить, Удалить через BC

klif klif Работает \??\C:\WINDOWS\system32\drivers\klif.sys

Скрипт: Kарантин, Удалить, Удалить через BC

sptd sptd Работает \SystemRoot\System32\Drivers\sptd.sys

Скрипт: Kарантин, Удалить, Удалить через BC Boot Bus Extender

Обнаружено - 89, опознано как безопасные - 86

Автозапуск

Имя файла Статус Метод запуска Описание

C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

C:\Program Files\BitTorrent\bittorrent.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, BitTorrent

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}

C:\Program Files\DAEMON Tools\daemon.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, DAEMON Tools

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AVP

C:\WINDOWS\system32\klogon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon, DLLName

WgaLogon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon, DLLName

Обнаружено элементов автозапуска - 61, опознано как безопасные - 54

Модули расширения Internet Explorer (BHO, панели ...)

Имя файла Тип Описание Производитель CLSID

C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.19.dll

C:\Program Files\ICQToolbar\tbu35\toolbaru.dll

C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

C:\Program Files\ICQLite\ICQLite.exe

Обнаружено элементов - 14, опознано как безопасные - 8

Модули расширения проводника

Имя файла Назначение Описание Производитель CLSID

deskpan.dll

Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея {42071714-76d4-11d1-8b24-00a0c9068ff3}

Расширения оболочки для сжатия файлов {764BF0E1-F219-11ce-972D-00AA00A14F56}

Контекстное меню шифрования {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}

Панель задач и меню ''Пуск'' {0DF44EAA-FF21-4412-828E-260A8728E7F1}

rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

Учетные записи пользователей {7A9D77BD-5403-11d2-8785-2E0420524153}

C:\Program Files\Common Files\Microsoft Shared\Web Folders\msonsext.dll

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll

C:\Program Files\ICQLite\ICQLiteShell.dll

Обнаружено элементов - 199, опознано как безопасные - 190

Модули расширения системы печати (мониторы печати, провайдеры)

Имя файла Тип Наименование Описание Производитель

Обнаружено элементов - 9, опознано как безопасные - 9

Задания планировщика задач Task Scheduler

Имя файла Имя задания Состояние задания Описание Производитель

D:\shema\Look2Me-Destroyer.exe

Скрипт: Kарантин, Удалить, Удалить через BC At1.job The task has not yet run. Removal Tool for Look2Me adware. ©atribune.org

D:\shema\Look2Me-Destroyer.exe

Скрипт: Kарантин, Удалить, Удалить через BC At2.job The task has not yet run. Removal Tool for Look2Me adware. ©atribune.org

D:\shema\Look2Me-Destroyer.exe

Скрипт: Kарантин, Удалить, Удалить через BC At3.job The task has not yet run. Removal Tool for Look2Me adware. ©atribune.org

D:\shema\Look2Me-Destroyer.exe

Скрипт: Kарантин, Удалить, Удалить через BC At4.job The task has not yet run. Removal Tool for Look2Me adware. ©atribune.org

D:\shema\Look2Me-Destroyer.exe

Скрипт: Kарантин, Удалить, Удалить через BC At6.job The task has not yet run. Removal Tool for Look2Me adware. ©atribune.org

Обнаружено элементов - 5, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID

Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание

Обнаружено - 15, опознано как безопасные - 15

Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания

Порты TCP

135 LISTENING 0.0.0.0 35000 [1012] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

139 LISTENING 0.0.0.0 45128 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

445 LISTENING 0.0.0.0 2144 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

1025 LISTENING 0.0.0.0 30840 [1552] c:\windows\system32\alg.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1037 ESTABLISHED 192.168.0.213 139 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

1110 TIME_WAIT 127.0.0.1 1271 [0]

1110 TIME_WAIT 127.0.0.1 1277 [0]

1110 TIME_WAIT 127.0.0.1 1281 [0]

1110 TIME_WAIT 127.0.0.1 1287 [0]

1110 TIME_WAIT 127.0.0.1 1289 [0]

1110 TIME_WAIT 127.0.0.1 1291 [0]

1110 TIME_WAIT 127.0.0.1 1293 [0]

1110 TIME_WAIT 127.0.0.1 1295 [0]

1110 TIME_WAIT 127.0.0.1 1297 [0]

1110 TIME_WAIT 127.0.0.1 1305 [0]

1110 TIME_WAIT 127.0.0.1 1315 [0]

1110 LISTENING 0.0.0.0 18484 [1892] c:\program files\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations\avp.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1110 TIME_WAIT 127.0.0.1 1269 [0]

1272 TIME_WAIT 217.16.18.188 80 [0]

1273 TIME_WAIT 127.0.0.1 1110 [0]

1274 TIME_WAIT 209.85.135.167 80 [0]

1278 TIME_WAIT 81.19.66.19 80 [0]

1279 TIME_WAIT 127.0.0.1 1110 [0]

1283 TIME_WAIT 127.0.0.1 1110 [0]

1284 TIME_WAIT 194.67.35.191 80 [0]

1285 TIME_WAIT 127.0.0.1 1110 [0]

1286 TIME_WAIT 88.212.196.77 80 [0]

1288 TIME_WAIT 81.222.128.12 80 [0]

1290 TIME_WAIT 81.222.128.12 80 [0]

1294 TIME_WAIT 217.16.18.188 80 [0]

1296 TIME_WAIT 194.67.35.191 80 [0]

1298 TIME_WAIT 88.212.196.77 80 [0]

1299 TIME_WAIT 127.0.0.1 1110 [0]

1300 TIME_WAIT 81.222.128.12 80 [0]

1301 TIME_WAIT 127.0.0.1 1110 [0]

1302 TIME_WAIT 81.222.128.12 80 [0]

1306 TIME_WAIT 217.16.18.188 80 [0]

1309 TIME_WAIT 127.0.0.1 1110 [0]

1310 TIME_WAIT 194.67.35.191 80 [0]

1311 TIME_WAIT 127.0.0.1 1110 [0]

1312 TIME_WAIT 88.212.196.77 80 [0]

1313 TIME_WAIT 127.0.0.1 1110 [0]

1314 TIME_WAIT 81.222.128.12 80 [0]

1316 TIME_WAIT 81.222.128.12 80 [0]

1317 TIME_WAIT 127.0.0.1 1110 [0]

Порты UDP

123 LISTENING -- -- [1100] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

123 LISTENING -- -- [1100] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

137 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

138 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

445 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

500 LISTENING -- -- [800] c:\windows\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1033 LISTENING -- -- [1168] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1040 LISTENING -- -- [3448] c:\program files\internet explorer\iexplore.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1045 LISTENING -- -- [1168] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1108 LISTENING -- -- [1168] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1118 LISTENING -- -- [1168] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

4500 LISTENING -- -- [800] c:\windows\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

Downloaded Program Files (DPF)

Имя файла Описание Производитель CLSID URL загрузки

C:\Program Files\LizardTech\DjVuControl\DjVuCntl.dll

C:\WINDOWS\system32\LegitCheckControl.DLL

Скрипт: Kарантин, Удалить, Удалить через BC Windows Genuine Advantage Validation © 1995-2007 Microsoft Corporation {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/download/9/b...heckControl.cab

Обнаружено элементов - 2, опознано как безопасные - 0

Апплеты панели управления (CPL)

Имя файла Описание Производитель

C:\WINDOWS\system32\alsndmgr.cpl

C:\WINDOWS\system32\intl.cpl

Обнаружено элементов - 24, опознано как безопасные - 22

Active Setup

Имя файла Описание Производитель CLSID

Обнаружено элементов - 14, опознано как безопасные - 14

Файл HOSTS

Запись файла Hosts

127.0.0.1 localhost

Протоколы и обработчики

Имя файла Тип Описание Производитель CLSID

Обнаружено элементов - 30, опознано как безопасные - 30

--------------------------------------------------------------------------------

Команды скрипта

Добавить в скрипт команды:

Нейтрализация перехватов функций при помощи антируткита

Включить AVZGuard

BootCleaner - импорт списка удаленных файлов

Чистка реестра после удаления файлов

BootCleaner - активация

Перезагрузка

Вставить заготовку для QuarantineFile() - помещение файла в карантин

Вставить заготовку для DeleteFile() - удаление файла

Вставить заготовку для DelCLSID() - удаление CLSID класса из реестра

--------------------------------------------------------------------------------

Список файлов

**Saule** · 12 июня, 2007

Протокол исследования системы AVZ 4.25

Очень большая просьба не копировать протокол AVZ, а присоединять его к сообщению, так как в скопированном виде часть информации просто не возможно увидеть.

На всякий случай:

Как присоединить к сообщению изображение, или файл

http://www.softboard.ru/index.php?showtopic=24786&st=40&p=187995' rel="external nofollow">

---------------

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginBC_DeleteFile('C:\WINDOWS\system32\drivers\ayofyfif.SYS');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки - 'Запустить'.

После этого компьютер перезагрузиться (поэтому все лишние программы и приложения желательно заранее выключить).

2. Затем желательно повторить лог исследования системы с помощью AVZ.

**pavel lv** · 14 июня, 2007

Очень большая просьба не копировать протокол AVZ, а присоединять его к сообщению, так как в скопированном виде часть информации просто не возможно увидеть.

На всякий случай:

Как присоединить к сообщению изображение, или файл

---------------

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:
beginBC_DeleteFile('C:\WINDOWS\system32\drivers\ayofyfif.SYS');BC_Activate;RebootWindows(true);end.
Запускаем с помощью соответствующей кнопки - 'Запустить'.

После этого компьютер перезагрузиться (поэтому все лишние программы и приложения желательно заранее выключить).

2. Затем желательно повторить лог исследования системы с помощью AVZ.

avz_sysinfo.htm

**sollar_valley** · 14 июня, 2007

Logfile of HijackThis v1.99.1

Scan saved at 14:29:50, on 14.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Ася\ICQ.exe

C:\Program Files\ICQLite 5.1\ICQLite.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\25AE~1\LOCALS~1\Temp\Rar$EX00.984\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ri

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Лапочка\Application Data\Mra\Update\mrasearch.dll

R3 - URLSearchHook: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\программы\Flashget\jccatch.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\DOCUME~1\25AE~1\0016~1\65CE~1\Dmaster\DOWNLO~2\dmiehlp.dll (file missing)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\getflash.dll (file missing)

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmbar.dll (file missing)

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\программы\winamp53_full\Winamp\winampa.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [style] C:\Program Files\ICQLite\IM In Style\Style.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite 5.1\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [iCQ] "C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Ася\ICQ.exe" silent

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite 5.1\ICQLite.exe -trayboot

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\программы\Flashget\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\программы\Flashget\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Dmaster\Download Master2\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Dmaster\Download Master2\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll/dic.htm

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Dmaster\Download Master2\dmaster.exe (file missing)

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Dmaster\Download Master2\dmaster.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite 5.1\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite 5.1\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\FlashGet.exe (file missing)

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\FlashGet.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\ICQ.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{004068DD-C2C2-4FDD-9972-3F3E29732394}: NameServer = 212.48.193.38 212.48.193.36

O17 - HKLM\System\CS1\Services\Tcpip\..\{004068DD-C2C2-4FDD-9972-3F3E29732394}: NameServer = 212.48.193.38 212.48.193.36

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Bluetooth\BTNtService.exe (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\25AE~1\LOCALS~1\Temp\hpdj.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

можете проверить, а то комп иногда тормозит...и экран выключается...

**Iomhar Dealgach** · 14 июня, 2007

Мемберы! Вы модера будете слушать аль нет?

Ведь просит же логи прикреплять файлами... Ан нет - надо впрямую запостить!

**Saule** · 14 июня, 2007

pavel lv

Попробуйте скачать GMER, запустить и нажать на кнопку 'Scan' (единственное, нужно иметь в виду, что это сканирование займет какое-то время). После - на кнопку Copy и затем Paste в текстовый файл (для сохранения).

Либо Rootkit Unhooker - там будет последняя вкладка - Report, кнопка Scan (там есть поддержка в том числе и русского языка).

Только вместе эти программы работать не будут(!) Поэтому лучше либо одну, либо другую, либо поочередно (запуск > сканирование > деинсталляция > перезагрузка > запуск следующей...). Так как у вас в системе действительно происходит что-то не совсем нормальное и таким образом разобраться будет попроще.

можете проверить, а то комп иногда тормозит...и экран выключается...

Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Лапочка\Application Data\Mra\Update\mrasearch.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть) и перезагружаем компьютер.

Мемберы! Вы модера будете слушать аль нет?
Ведь просит же логи прикреплять файлами... Ан нет - надо впрямую запостить!

Да не, прикреплять нужно именно логи от AVZ (так как там часть информации вообще выводится только с помощью JavaScript). HijackThis - наоборот - проще, когда копируют

**sollar_valley** · 14 июня, 2007

спс... сделала как Вы сказали, посмотрим что будет...ну все равно СПАСИБО!!!

**Iomhar Dealgach** · 14 июня, 2007

solar valley: по содержанию лога -

1. Зачем Вам две качалки - FlashGet и Download Master - оставьте одну...

2. В 09 позициях есть немало "file misiing" - тоже можно пофиксить!

**THE OLD VERMIN** · 14 июня, 2007

Saule, здравствуй! Посмотри, пожалуйста, лог одной девчонки. ;)

hijackthis.zip

В общем, у нее какая-то зараза убила почти все приложения и мультимедиа файлы. Размер всех mp3 и exe - 0 байт.

Виндовс вроде работает, но программы почти все потребовалось переустанавливать - от офиса до оперы.

В автозагрузке нашел какой-то 05.vbs, а в Windows лежели еще и с 01 по 04 vbs

В общем, почистил как смог.

И еще по поводу своего компа хочу спросить.

При подключении уже второй по счету флешки в usb порт, выскакивает сообщение mcafee virusscan, что найден троян по адресу C:\WINDOWS\system32\windfire.exe => windfire.exe.Vir

Но найти я его не могу нигде: ни в system32, ни в папке карантина. Хотя в настройках стоит именно карантин.

Информации в Инете про windfire.exe тоже никакой не нашел.

Первая флешка была своя, и я ее просто отформатировал. Но другая - чужая и с инфой, как ее вылечить?

Еще интересует вопрос о сосуществовании двух и более антивирусов на машине: как это удобней всего осуществить?

Хотел бы добавить к уже существующему mcafee 8.5i что-нибудь типа avast или то, что посоветуете.... ;)

Как их разместить в автозагрузке?

hijackthis.zip

Изменено 14 июня, 2007 пользователем THE OLD VERMIN

**Valery** · 14 июня, 2007

THE OLD VERMIN:

Еще интересует вопрос о сосуществовании двух и более антивирусов на машине: как это удобней всего осуществить?

Что бы друг с другом грызлись? При установке DrWeb, даже галку надо поставить мол подписуюсь в том, что на компе нет других антивирусных программ. ;)

Как их разместить в автозагрузке?

Ставь оба, если так уж надо, сами пропишутся.

**THE OLD VERMIN** · 14 июня, 2007

Valery: Нет, я имел в виду, чтобы в один момент времени работал только один, естественно. Но при желании мог бы всегда включить другой для контрольной экспресс-проверки файлов, отключив предварительно первый.

Хотел у Saule спросить, да вспомнил, что она вообще не пользуется ими - она вирусы невооруженным глазом видит насквозь. ;)

**ser208** · 14 июня, 2007

В автозагрузке нашел какой-то 05.vbs, а в Windows лежели еще и с 01 по 04 vbs

В общем, почистил как смог.

http://slil.ru/24513548

Утилитка для этого вируса.

**Iomhar Dealgach** · 14 июня, 2007

THE OLD VERMIN:

Что бы друг с другом грызлись? При установке DrWeb, даже галку надо поставить мол подписуюсь в том, что на компе нет других антивирусных программ. ;)

Ставь оба, если так уж надо, сами пропишутся.

1. Монитор - один, сканнеров - хоть пять.

2. Dr. Web Cure-It! другие антивирусники терпит!

3. На одном компе у меня - Avira (мониторит!), Stop! Scanner, AVZ, Cure-It!

**Кота** · 15 июня, 2007

Всем здрасте.Помогите пожалуйста.Цепанули трояна,который заблокировал два диска (хочешь открыть диск,а он пишит- выберите программу для открытия файла).Стоит касперский.Написал вот это: обнаружено: потенциально опасное ПО Trojan.generic Процесс: E:\wuksftu.exe

Помощь в лечении систем от нечисти

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на другие сайты

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Saule

Saule

Saule

Изображения в теме

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Последние посетители 0 пользователей онлайн

Объявления