pavel lv Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 pavel lv Попробуйте скачать GMER, запустить и нажать на кнопку 'Scan' (единственное, нужно иметь в виду, что это сканирование займет какое-то время). После - на кнопку Copy и затем Paste в текстовый файл (для сохранения). Либо Rootkit Unhooker - там будет последняя вкладка - Report, кнопка Scan (там есть поддержка в том числе и русского языка). Только вместе эти программы работать не будут(!) Поэтому лучше либо одну, либо другую, либо поочередно (запуск > сканирование > деинсталляция > перезагрузка > запуск следующей...). Так как у вас в системе действительно происходит что-то не совсем нормальное и таким образом разобраться будет попроще. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Лапочка\Application Data\Mra\Update\mrasearch.dll Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть) и перезагружаем компьютер. Да не, прикреплять нужно именно логи от AVZ (так как там часть информации вообще выводится только с помощью JavaScript). HijackThis - наоборот - проще, когда копируют gmer.txt gmer.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 (изменено) Всем здрасте.Помогите пожалуйста.Цепанули трояна,который заблокировал два диска (хочешь открыть диск,а он пишит- выберите программу для открытия файла).Стоит касперский.Написал вот это: обнаружено: потенциально опасное ПО Trojan.generic Процесс: E:\wuksftu.exe Попробуйте скачать AVZ. Далее распаковываем, запускаем и нажимаем в верхнем меню программы: Файл > Восстановление системы Отмечаем галочкой пункт "Удаление отладчиков системных процессов" и нажимаем на кнопку "Выполнить отмеченные операции". Затем перезагружаем компьютер. Если дальше Касперский самостоятельно вдруг не справится, то нужна более подробная информация - т.е. логи HijackThis и AVZ (подробное описание в этом посте). Изменено 16 июня, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 Есть же для этого отдельная тема-Помощь в лечении систем от нечести!!! Я не могу понять, зачем создавать новые темы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 Saule, здравствуй! Посмотри, пожалуйста, лог одной девчонки. Ничего подозрительного в логе HijackThis нет, так как, видимо, вирус из автозагрузки вы действительно удалили. Дальше уже дело техники. Первая флешка была своя, и я ее просто отформатировал. Но другая - чужая и с инфой, как ее вылечить? Попробуй почистить с помощью той программы, ссылку на которую чуть ниже дал ser208. Все инструкции будут при запуске (в том числе и на русском). На всякий случай присоединю её прямо тут: anti_autorun.rar Либо можно попробовать отключить автоматический запуск через файлы AUTORUN.INF (чтобы флешка при подключении сразу не становилась активной), затем подключить её и после этого чистить (натравив на диск флешки свой антивирус). Хотел бы добавить к уже существующему mcafee 8.5i что-нибудь типа avast или то, что посоветуете.... :) Как их разместить в автозагрузке? Установка в атозагрузку двух антивирусов равносильно тому, что вы приделаете машине второй руль и посадите за неё двух водителей. Последствия непредсказуемы(!) + далеко вы наврядли уедете (представьте, к примеру, что будет, если антивирусы столкнутся с вирусом одновременно и попытаются его изолировать... Т.е. нормально не сможет сработать уже ни один из них). Но если речь действительно не шла об одновременной работе двух антивирусов, то таким образом можно посоветовать установить вариант, где и присутствует только лишь сканер. Например (сканер + авто-обновления): BitDefender 8 Free Edition ArcaMicroScan Либо есть сканера, которым не нужна инсталляция, а следовательно и в автозагрузку они не прописываются (т.е. запускаешь по мере необходимости и всё). Например: Dr.Web CureIt Правда, тут есть такой большой минус, как обновления: чтобы вирусные базы были свежими, подобные сканера нужно, по мере их надобности, скачивать заново. Еще можно посмотреть Google Pack: Norton Security Scan (сама не пользовалась, поэтому плохо представляю, что это из себя представляет). --------- Во всех других случаях, второй антивирус нужно обязательно убирать из автозагрузки + переводить его службы в ручной режим. По крайней мере до того момента, пока он вам не понадобиться (к тому же, у многих ав есть возможность после инсталляции отдельно запускать только сканер - ручками, без автозагрузки, оставляя монитор неактивным). anti_autorun.rar 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 Появилась в логе вот такая строка- "F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe" Вроде связано как то с системой, а точнее с лог он.... Раньше этой строчки небыло... Ссылка на комментарий Поделиться на другие сайты Поделиться
tarnad Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 Здраствуйте, Saule посмотрите пожалуста что можно еще зделать по чистке системы. Уже второй день процес перезагрузки приводит к появлению синего экрана. На компе стоит NOD32. В безопасном режиме CureIt нашел следующее: Без дезинсталяции NOD'a, синий экран снова появляется, также сам он ничего вышеизложеного невидит. Вроде СureIt, что то да удалил, но все ли. Вот то что показал Hijack: Logfile of HijackThis v1.99.1 Scan saved at 13:36:25, on 15.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe C:\WINDOWS\system32\p2001.exe C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Eset\nod32krn.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\Program Files\VMware\VMware Workstation\vmware-authd.exe C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.ru/buy R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O2 - BHO: Pragma Translator for IExplorer - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\Program Files\Trident Software\Pragma\piexp.dll O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstubl.dll (file missing) O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [P2001] C:\WINDOWS\system32\p2001.exe O4 - HKLM\..\Run: [Pragma] C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [uIWatcher] C:\Program Files\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Завантажити в&се у ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O8 - Extra context menu item: Завантажити у Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O9 - Extra button: Pragma - {B841C02E-A5A2-4195-9A54-89564EE4D73E} - C:\Program Files\Trident Software\Pragma\piexp.dll O9 - Extra 'Tools' menuitem: Pragma Translation - {B841C02E-A5A2-4195-9A54-89564EE4D73E} - C:\Program Files\Trident Software\Pragma\piexp.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Корзина для рекламы - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Показать Корзину - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{08C8C589-C713-4219-8B79-463F4CE30926}: NameServer = 195.5.46.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{5501F9C4-9197-4D22-AFCE-332A2CC2C376}: NameServer = 195.5.29.2,195.5.29.11 O17 - HKLM\System\CS3\Services\Tcpip\..\{08C8C589-C713-4219-8B79-463F4CE30926}: NameServer = 195.5.46.12 O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe И еще avz после всего этого удалил. Trojan-Proxy.Win32.Wopla.ag и вот результат его анализа. avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 (изменено) RavMonE завелся у меня вот такой файл на компе вроде ничего не глючит и все нормально пашет что это может быть ? это червь лезет и на флешки и на дискеты логи hijackthis.log hijackthis.log Изменено 15 июня, 2007 пользователем DIMKA-vrn Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 DIMKA-vrn: 1. Открываешь HijackThis жмешь Do a system scan only отмечаешь галкой следующее(браузер при этом закрой) C:\WINXP\RavMonE.exe G:\RavMonE.exe G:\RavMonE.exe G:\RavMonE.exe D:\RavMonE.exe C:\RavMonE.exe C:\RavMonE.exe O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O4 - HKLM\..\Run: [RavAV] C:\WINXP\RavMonE.exe После жмем Fix Checked 2. Берешь эту программу FxRajump Запускаешь , удаляешь(в принципе там все понятно) Лог повторить Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 15 июня, 2007 Жалоба Поделиться Опубликовано 15 июня, 2007 С флешками поступи так: Кода вставишь её, жми сразу Shift, это не даст заработать авто запуску. Открываем флешку и удаляем на ней все лишнее=) DIMKA-vrn: Чуть не забыл, если есть антивирус, а он надеюсь есть...обнови базы и просканируй=) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Появилась в логе вот такая строка- "F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe"Вроде связано как то с системой, а точнее с лог он.... Раньше этой строчки небыло... Эта строка могла быть создана (и, возможно, используется) каким-либо приложением, написанным под Win9x системы. ========================== Здраствуйте, Saule посмотрите пожалуста что можно еще зделать по чистке системы.Уже второй день процес перезагрузки приводит к появлению синего экрана. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее (если это еще будет присутствовать: O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstubl.dll (file missing) O4 - HKLM\..\Run: [P2001] C:\WINDOWS\system32\p2001.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). Перезагружаем компьютер. Cкачиваем SDFix и запускаем (это самораспаковывающийся архив).В системном каталоге будет создана папка SDFix: C:\ SDFix Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode) При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER. Открываем папку SDFix и запускаем файл RunThis.bat.Пишем букву Y и нажимаем на ENTER. Начнется удаление компонентов трояна и восстановление системных настроек в реестре. Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем. После перезагрузки процедура удаления снова ненадолго продолжится.Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся). Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия. После этого, если что-то будет еще беспокоить, то нужно сделать новые логи (AVZ и HijackThis) + также не будет лишним присоединить лог SDFix к своему сообщению. ========================== Открываешь HijackThis жмешь Do a system scan only отмечаешь галкой следующее(браузер при этом закрой)C:\WINXP\RavMonE.exe G:\RavMonE.exe G:\RavMonE.exe G:\RavMonE.exe D:\RavMonE.exe C:\RavMonE.exe C:\RavMonE.exe torch777, скажи, пожалуйста, каким образом это можно отметить галкой? :( Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 torch777, скажи, пожалуйста, каким образом это можно отметить галкой? Saule: Елки....это надо просто найти и удалить=) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Saule: Елки....это надо просто найти и удалить=) Они вручную не удаляться, пока ты не завершить эти процессы это червь лезет и на флешки и на дискеты С помощью HijackThis удаляем следующие строки: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apeha.ru/ O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O4 - HKLM\..\Run: [RavAV] C:\WINXP\RavMonE.exe Для того, чтобы не лез на флешки и др. сменные носители информации - делаем поиск файлов autorun.inf и проверяем их на наличие строк, ссылающейся на RavMonE.exe (эти строки оттуда нужно будет стереть - редактируется с помощью обычного Блокнота/Notepad): open=RavMonE.exe eshellexecute=RavMonE.exe eshell\Auto\command=RavMonE.exe eshell=Auto Либо просто удаляем все файлы autorun.inf с помощью программы AntiAutorun, если автоматический запуск CD и др. устройств тебе не нужен. Все процессы RavMonE.exe - завершаем, делаем поиск на файлы с таким названием и все найденные опять-таки удаляем: C:\ RavMonE.exe C:\WINXP\ RavMonE.exe D:\ RavMonE.exe G:\ RavMonE.exe FxRajump, который предложил torch777, также можно попробовать, но предупрежу, что в большинстве случаев фиксы от Symantec'а не работают. Кстати, сам вирус мог попасть к тебе через Video iPod © Apple, так как какое-то время эти плеера продавали вместе с этой заразой. Ссылка на комментарий Поделиться на другие сайты Поделиться
tarnad Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 У меня маленькая заминочка HijackThis, удалил отмеченые строчки, а вот [*]Cкачиваем SDFix и запускаем (это самораспаковывающийся архив). В системном каталоге будет создана папка SDFix: NOD32 не пропускает SDFix, говорит инфицирован :s(91): он может так сказать на этот архивчик или с ним что то не так? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 NOD32 не пропускает SDFix, говорит инфицирован он может так сказать на этот архивчик или с ним что то не так? Однажды уже объясняла: http://www.softboard.ru/index.php?s=&s...st&p=329221 ПРИЛОЖЕНИЕ (если бы это был вирус, то NOD32 так и сказал бы - ВИРУС или ТРОЯН, а не ПРИЛОЖЕНИЕ - это иногда всё-таки важно) Win32/PrcView - потенциально опасное ПО, которое имеет возможность видеть детализированную информацию о любом процессе системы (а следовательно, и завершать любой из этих процессов или, наоборот, запускать снова). Потенциально опасное из-за того, что такие возможности, разумеется, могут быть использованы и во вредоносных целях. Но как вы понимаете, я надеюсь, это совсем не тот случай. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Bombaster Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Здравствуйте, Господа, можете мне подсказать, это опасно или нет, по поводу "Шпиёнов". Ноут у меня новый, 2 месяца. У меня винда ХР лицензия, антивирус Аваст! Недавно поставил SpyBot - S&D. Нашел кучу там приблуд. Все их потер, в итоге при повторном поиске нахожу постоянно одни и те же вещи, насчет Кукисов. --- Search result list --- Avenue A, Inc.: Следы куки (Firefox: default) (Куки, nothing done) CasaleMedia: Следы куки (Firefox: default) (Куки, nothing done) DoubleClick: Следы куки (Firefox: default) (Куки, nothing done) CurePCSolution: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Tradedoubler: Следы куки (Firefox: default) (Куки, nothing done) Tradedoubler: Следы куки (Firefox: default) (Куки, nothing done) И это постоянно. Удаляю, проверяю, тоже самое. Это не опасно? Спасибо Вам заранее, настоящие Российские спецыалисты Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Saule: Кстати, сам вирус мог попасть к тебе через Video iPod © Apple, так как какое-то время эти плеера продавали вместе с этой заразой. Да было такое, но не только Ай Под наследил этим вирусом... флеш носители некоторых фирм были тоже заражены. К тебе так же вопрос: Появилась в логе вот такая строка- "F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe" Вроде связано как то с системой, а точнее с лог он.... Раньше этой строчки небыло... Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 К тебе так же вопрос: Появилась в логе вот такая строка- "F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe"Вроде связано как то с системой, а точнее с лог он.... Раньше этой строчки небыло... Я сегодня уже на этот вопрос тебе отвечала самое начало поста: http://www.softboard.ru/index.php?s=&s...st&p=358062 Недавно поставил SpyBot - S&D. Нашел кучу там приблуд. Все их потер, в итоге при повторном поиске нахожу постоянно одни и те же вещи, насчет Кукисов. Угроза нанесения вреда вашей системе с помощью кукисов - минимальна, т.к. они не могут ничего прочитать с жесткого диска и не могут пересылать данные. Чуть по-подробнее: Cookie - это текстовая информация, которую Web-сайт посылает на ваш компьютер, и когда позже вы снова посещаете тот же самый Web-сайт, компьютер возвращает ему эту информацию неизмененной. Сайт благодаря этому может предоставлять своим посетителям некоторые услуги, например, представлять сайт в том виде, в котором посетитель его ранее настроил, или разрешать авторизованным посетителям вход на сайт без ввода пароля. Тracking cookie (то, что находит SpyBot S&D) - это cookie, которыми могут пользоваться несколько сайтов (т.е. к такому виду cookie доступ может получить не только тот сайт, который создал его, но и другие определенные сайты), что нарушает конфиденциальность ваших данных. Именно поэтому от такого вида cookie рекомендуется избавляться. Чтобы обезопасить себя на будущее от tracking cookies какого-нибудь конкретного сайта, то для браузера FireFox можно сделать следующее: Инструменты > Настройки > Приватность > Исключения (в разделе Cookies) > вводим адреса сайтов, куки которых вы хотите блокировать, после каждого нажимая на кнопку 'Блокировать' В вашем случае некоторые из них будут следующими (оставшиеся можно посмотреть в окошке сканирования SpyBot S&D): casalemedia.com doubleclick.com curepcsolutions.com statcounter.com tradedoubler.com Ссылка на комментарий Поделиться на другие сайты Поделиться
Bombaster Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Saule Большое вам спасибо, успокоили. Сделаю все как Вы и сказали. Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Saule: Мда...не внимательный я...наверное заболел=) Ссылка на комментарий Поделиться на другие сайты Поделиться
Bombaster Опубликовано 16 июня, 2007 Жалоба Поделиться Опубликовано 16 июня, 2007 Сорри, чтото не проходит это. В Мазиле внес все как положено. Ссылки на домены там имеются, запретить . Все равно сканер после удаления поноой выдает. Попробовал отчет сохранить по нижней ссылке. Вот он ссылается на папку в самой проге: Avenue A, Inc.: Следы куки (Firefox: default) (Куки, nothing done) CasaleMedia: Следы куки (Firefox: default) (Куки, nothing done) DoubleClick: Следы куки (Firefox: default) (Куки, nothing done) CurePCSolution: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Statcounter: Следы куки (Firefox: default) (Куки, nothing done) Tradedoubler: Следы куки (Firefox: default) (Куки, nothing done) Tradedoubler: Следы куки (Firefox: default) (Куки, nothing done) BlackCore: Следы куки (Firefox: default) (Куки, nothing done) --- Spybot - Search & Destroy version: 1.4 (build: **********) --- 2007-06-16 unins000.exe (51.41.0.0) 2005-05-31 blindman.exe (1.0.0.1) 2005-05-31 SpybotSD.exe (1.4.0.3) 2005-05-31 TeaTimer.exe (1.4.0.2) 2005-05-31 Update.exe (1.4.0.0) 2005-05-31 aports.dll (2.1.0.0) 2005-05-31 borlndmm.dll (7.0.4.453) 2005-05-31 delphimm.dll (7.0.4.453) 2005-05-31 SDHelper.dll (1.4.0.0) 2005-05-31 UnzDll.dll (1.73.1.1) 2005-05-31 ZipDll.dll (1.73.2.0) 2007-05-23 advcheck.dll (1.5.3.0) 2007-01-02 Tools.dll (2.0.1.0) 2007-05-30 Includes\Dialer.sbi (*) 2007-06-13 Includes\Hijackers.sbi (*) 2006-10-27 Includes\Keyloggers.sbi (*) 2007-05-30 Includes\Malware.sbi (*) 2007-03-21 Includes\PUPS.sbi (*) 2007-05-30 Includes\Security.sbi (*) 2007-06-06 Includes\Spybots.sbi (*) 2007-05-16 Includes\Trojans.sbi (*) 2007-06-13 Includes\Cookies.sbi (*) 2007-06-13 Includes\Revision.sbi (*) 2005-02-17 Includes\Tracks.uti 2007-06-13 Includes\TrojansC.sbi (*) 2007-06-13 Includes\SpybotsC.sbi (*) 2007-06-13 Includes\SecurityC.sbi (*) 2007-06-13 Includes\PUPSC.sbi (*) Комп куплен в Москве, гдето в марте. Сидят шпиёны да? :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 17 июня, 2007 Жалоба Поделиться Опубликовано 17 июня, 2007 Сорри, чтото не проходит это. В Мазиле внес все как положено. Ссылки на домены там имеются, запретить . Все равно сканер после удаления поноой выдает. Попробовал отчет сохранить по нижней ссылке. Вот он ссылается на папку в самой проге... Видимо, сначала нужно удалить те куки, которые до этого были уже сохранены на вашем компьютере :) (SpyBot S&D их не удаляет; "Куки, nothing done" - т.е. с ними так ничего не сделано): Инструменты > Настройки > Приватность > Показать Cookies (в разделе Cookies) > находим куки с тех сайтов и нажимаем 'Удалить cookies' или лучше даже ничего не искать, а нажать на 'Удалить все cookies' Ссылка на комментарий Поделиться на другие сайты Поделиться
Bombaster Опубликовано 17 июня, 2007 Жалоба Поделиться Опубликовано 17 июня, 2007 Saule Поздравляю! Не обнаружено ни одного шпиона! Спасибо, Saule. Ты удивительно правильный программист. Успехов в окончании всех начинаний! :) Ссылка на комментарий Поделиться на другие сайты Поделиться
tarnad Опубликовано 18 июня, 2007 Жалоба Поделиться Опубликовано 18 июня, 2007 Однажды уже объясняла: http://www.softboard.ru/index.php?s=&s...st&p=329221 ПРИЛОЖЕНИЕ (если бы это был вирус, то NOD32 так и сказал бы - ВИРУС или ТРОЯН, а не ПРИЛОЖЕНИЕ - это иногда всё-таки важно) Win32/PrcView - потенциально опасное ПО, которое имеет возможность видеть детализированную информацию о любом процессе системы... Ну я так и думал , но все таки решил переспросить :) SDFix поработав выдал нагора слудующее: Это конечно не все только фрагмент, но так как дальше только Deleted и No streams found. вот интересное.. Name: kprof poof runtime ImagePath: \??\C:\WINDOWS\system32\kprof \??\C:\WINDOWS\system32\poof \??\C:\WINDOWS\System32\drivers\runtime.sys kprof - Deleted poof - Deleted Теперь пользуюсь поиском :) Операция прошла успешно Единственное, нужно удалить архив с копиями тех вредоносных файлов, который SDFix всегда создаёт на всякий случай: C:\SDFix\backups\backups.zip Сделал. Архив удален. Сейчас вроде бы ничего небеспокоит даже spoolsv, (о котором я и не вспомнил когда писал) тоже не беспокоит, вроде прописал чтобы служба не запускалась, а он каждый раз - ошибка обратитесь в Microsoft.... hijackthis все исправил, но вот в этом фрагмента есть runtime он не Deleted , что это значит он был замянят на нормальный или этот плохиш и далее в системе... Большое СПАСИБО, и извините что опять с этими вопросиками но сам ничего не нашел. Да и извините за ошибки Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 июня, 2007 Жалоба Поделиться Опубликовано 18 июня, 2007 но вот в этом фрагмента есть runtime он не Deleted g.gif , что это значит он был замянят на нормальный или этот плохиш и далее в системе... Сделайте, пожалуйста, еще раз Исследование системы с помощью AVZ (в верхнем меню программы: Файл > Исследование системы), потому как это, скорее всего, руткит, которого по каким-то причинам не было видно при первом сканировании. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ramarren Опубликовано 19 июня, 2007 Жалоба Поделиться Опубликовано 19 июня, 2007 Уважаемые модераторы, извините если оставил сообщение не там, где нужно. Сам не пойму суть проблемы. С недавних пор, контекстное меню объектов, находящихся в "ПУСК"-"Все программы", стало выглядеть странно. Теперь пункт -"проверить на вирусы", прописан там дважды. Также выглядят контекстные меню ярлыков на Рабочем столе и файлов рисунков в папках, при выборе строки - "открыть с помощью" - видно, что пунктов программы IrfanView - два. После переустановка IrfanView второй пункт исчез, но на следующий день появился вновь. Переустановка Касперского вообще ни к чему не привела. AVP_Касперский_6.0 и SpyBot_1.4 не обнаружили ничего подозрительного. AdAwareSE нашёл двух - Win32.Trojan.StartPage. Удаление этих файлов на контексты не повлияло. После проверил систему программами - AVZ и HijackThis. Подскажите, ненормальный вид меню, связан с "заражением" компа или последствиями "заражения"? Или это проблема Windows не из-за вирусов, а какого-то программного конфликта ? В чём тут дело, а то может, я зря терзаю компьютер проверками? Logfile of HijackThis v1.99.1 Scan saved at 16:07:44, on 19.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon.exe E:\Soft\ИнетПроги\Хак1991\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Алексей\Application Data\Mra\Update\mrasearch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O8 - Extra context menu item: Заполнить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: Настроить Меню - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm O8 - Extra context menu item: Сохранить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: Тулбар RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Заполнить - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: Заполнить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Сохранить - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: Сохранить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: Тулбар RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU) O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU) O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU) O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU) O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E188EFA5-3A7A-43B2-9D42-AB8CD8832D56}: NameServer = 85.28.195.129,85.28.195.130 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe avz_log.txt avz_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения