Помощь в лечении систем от нечисти

**Tima777** · 30 августа, 2007

Недавно столкнулся с новой заразой, которую по-разному определяли NOD32 и Dr.Web (Win32/Genetik, TrojanDownloader.Small.AWA). Удалил вручную из system32 Файлы ati2kaag.dll dllh8jkd1q1.exe и т.п Сам троян отрубал диспетчер задач, прописывая disable в policy. Худо бедно, удалось уничтожить заразу, загружаясь с LiveCD. Просмотрев тему, воспользовался SDFix, который прибил еще пару файлов:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\NSPRS.DLL - Deleted (кстати, что это за звери, размер которых оказалось 0 bytes?)

C:\WINDOWS\SYSTEM32\SERAUTH1.DLL - Deleted

C:\WINDOWS\SYSTEM32\SERAUTH2.DLL - Deleted

Помимо этого, использовал HijackThis. Прикладывают его отчет. Все ли чисто в моих закромах? :cray1: Подскажите, пожалуйста.

hijackthis.txt

**LexUmka** · 30 августа, 2007

нажмите одновременно две клавиши WIN и Pause Break, далее перейдите на вкладку "дополнительно" , нажмите "переменные среды" и исправьте путь системной переменной WINDIR на %SystemRoot% . И на всякий случай проверьте переменную Path на отсутствие тех же путей (C:\Documents and Settings\Administrator\WINDOWS\System32)

LexUmka

Попасть и изменить переменные окружения вы можете следующим образом:

Кликаем правой кнопкой мыши по

My Computer

(Мой компьютер) > заходим в

Properties

(Свойства) > закладка

Advanced

(Дополнительно) > кнопка

Environment Variables

(Переменные среды) > не созданы ли там новые переменные для администратора?

Всё это было проверено сразу как только я установил причину. Проблема в том, что под учётной записью администратор всё в порядке данный эффект появляется тока под записью SYSTEM ;) а где это прописано я не знаю :(

**Колючий** · 30 августа, 2007

Доброго дня обитателям этого форума! Помогите, пжалста! В Windows 2000 слетают настройки папок. То есть все папки у меня обычно отображаются как веб-страницы, но при переходе вверх, или назад, настройки периодически слетают и папка отображается в виде крупных значков. при повторном открытии все опять в норме (т.е. веб). Я предполагаю, что это какая-то дрянь из инета портит мне всю малину, т.к. на компе 2 системы (обе 2000), и во второй, не подключенной к инету, такого косяка нет и никогда не наблюдалось.

Да, и еще. В той же винде (подключенной к инету) стоит стандартный медиаплеер. При запуске, например, файла mp3 все работает, но если во время воспроизведения кликнуть на какой-либо другой mp3-файл, медиаплеер летит. Как заставить его работать?

Пардон за ламерские вопросы.

**Saule** · 30 августа, 2007

U.exe пока сидит в карантине, если интересно, могу выслать.

TVS

Если не сложно, то вышлите (расскажу, что именно он делает/сделал/собирался сделать в системе). Но смотрите сами.

Почта:

Запустить SDFix не получается, по причине невозможности перезагрузиться в безопасном режиме: нажатие F8 приводит к открытию меню, предлогающего перезагрузить систему используя разные источники (флоппи-дисковод, CD-ROM, третий - даже не заню, что это).

planet_222

Нужно просто выбрать загрузку с винчестера (видимо, это и есть третий вариант из тех, о которых вы говорили - пишется примерно так: WDB-146AE8572 (это серийный номер винчестера), либо в некоторых бут-меню: Harddisk), и после снова нажимаем F8 (всё должно получится; по сути вы просто слишком рано жмете на эту клавишу).

Только вот в логах ничего подозрительно не видно.

С помощью HijackThis можно пофиксить следующий мусор (ненужные системе записи):

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Помимо этого, использовал HijackThis. Прикладывают его отчет. Все ли чисто в моих закромах? ;) Подскажите, пожалуйста.

Tima777

В логе HijackThis ничего подозрительного нет. Единственная незнакомая служба (но если она вам знакома, то всё в порядке):

O23 - Service: Nousyetpp - Quanta Corp - C:\WINDOWS\system32\drivers\nb4int15.sys

Плюс можно пофиксить следующие строки:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

кстати, что это за звери, размер которых оказалось 0 bytes?

Зависит от того, где именно был размер в 0 байт. Если в backup'е, то, возможно, по каким-то причинам не удалось сделать их копию.

Если на диске, то эти файлы могли быть созданы и, допустим, открыты на запись, но данные туда еще записаны не были.

**Tima777** · 30 августа, 2007

Saule:

В логе HijackThis ничего подозрительного нет. Единственная незнакомая служба (но если она вам знакома, то всё в порядке):
O23 - Service: Nousyetpp - Quanta Corp - C:\WINDOWS\system32\drivers\nb4int15.sys

Да, я сам не знаю, что это за служба. Я работаю на тошибовском ноуте. С другой стороны, в Интернете я не нашел никакой информации относительно этого файла и службы. Но это что-то в основом для ноутов, поскольку Quanta Corp. выпускает ноуты. В сводке по файлу написано, что он создан WinDDK Y.H. Chen 2004-2007

Saule, спасибо большое за помощь. Кстати, до того, как прошелся SDFix, я в системе не обнаружил свой DR.Web, который у меня всегда стоял. Запускаю компьютер и вдруг вижу, что веба нет. Остались только файлы с антивирусными базами. Сейчас пока полет нормальный, но неприятный осадок остался. Заразу подцепил в ночь с 23 на 24 августа, просматривая сайты, которые специализируются на продаже обуви. Когда нажал на ссылку "контакты", тогда и активизировался вредоносный скрипт.

**Jastine** · 31 августа, 2007

ПОЖАЛУЙСТА! помогите! какая-то *** прицепилась- errorsafe. в одной из тем я прочитала, что нужно запустить прогу и скопировать свой лог. Помогите! я уж не знаю, что делать !! могу выбросить лог. Скажите, что надо удалить, чтоб дрянь errorsafe исчезла!!! очень прошу

Logfile of HijackThis v1.99.1

Scan saved at 16:42:19, on 31.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

D:\bin\btwdins.exe

C:\Program Files\Winamp\winampa.exe

D:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Save\Save.exe

D:\BTTray.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\Rar$EX00.031\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&...1.8〈=en

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINDOWS\blank.mht

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ami.ua

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

F2 - REG:system.ini: Shell=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll

O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - (no file)

O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\system32\ztoolb011.dll

O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\system32\ztoolb011.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

O4 - HKLM\..\Run: [QuickRADIO] C:\Program Files\USB Radio\\QuickRadio.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Translate - http://lingvo.yandex.ru/ie5trans.htm

O8 - Extra context menu item: &Ubersetzen - http://lingvo.yandex.ru/ie5trans1.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: T&raduire - http://lingvo.yandex.ru/ie5trans2.htm

O8 - Extra context menu item: Traduc&ir - http://lingvo.yandex.ru/ie5trans4.htm

O8 - Extra context menu item: Tradurr&e - http://lingvo.yandex.ru/ie5trans3.htm

O8 - Extra context menu item: Yandex &Search - http://lingvo.yandex.ru/ie5search.htm

O8 - Extra context menu item: Отправить через &Bluetooth - D:\btsendto_ie_ctx.htm

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://ami.ua

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{17671AA9-539C-40AB-958A-BE846B63BE8C}: NameServer = 213.130.21.11,213.130.10.10

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E5339BB-1F4B-4402-A9D1-A2F164B436D3}: NameServer = 213.130.21.11,213.130.10.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{1E486AC6-2A71-4E8F-B31F-41C45B20AE8E}: NameServer = 213.130.21.11,213.130.10.10

O21 - SSODL: D0CJBBDD - {511617D0-5EBE-0153-1962-5FFD754779C5} - (no file)

O21 - SSODL: mtklefa - {1E3C22AD-F8DA-46F6-3996-712CB81A8323} - (no file)

O21 - SSODL: mtklef - {2845DA82-C571-4C02-B59B-171C452BE8E0} - (no file)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\bin\btwdins.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv)

**Saule** · 31 августа, 2007

Проблема в том, что под учётной записью администратор всё в порядке данный эффект появляется тока под записью SYSTEM а где это прописано я не знаю :(

LexUmka

Переменные SYSTEM находятся там же, только ниже. Как я понимаю, их вы тоже проверили?

Еще вопросы:

1. Если открыть cmd и ввести туда: set windir - какой путь выводится?

2. Если открыть cmd и ввести туда: set systemroot - какой путь выводится?

3. На всякий случай: любой пример ключа (так, как он есть в реестре), который выводится в логах с неправильным путем.

К примеру, экпортируйте ветку:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Также ключи, на которые вы можете обратить своё внимание:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

HKCU\Environment

HKCU\Volatile Environment

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion - смотрите его 'Value'

И еще, может вы помните какой именно вирус у вас был? (таким образом было бы легче помочь).

Доброго дня обитателям этого форума! Помогите, пжалста! В Windows 2000 слетают настройки папок. То есть все папки у меня обычно отображаются как веб-страницы, но при переходе вверх, или назад, настройки периодически слетают и папка отображается в виде крупных значков. при повторном открытии все опять в норме (т.е. веб). Я предполагаю, что это какая-то дрянь из инета портит мне всю малину, т.к. на компе 2 системы (обе 2000), и во второй, не подключенной к инету, такого косяка нет и никогда не наблюдалось.
Да, и еще. В той же винде (подключенной к инету) стоит стандартный медиаплеер. При запуске, например, файла mp3 все работает, но если во время воспроизведения кликнуть на какой-либо другой mp3-файл, медиаплеер летит. Как заставить его работать?

Колючий

Приложите хоть какие-нибудь логи, пожалуйста (первый пост этого топика). Хотя навряд ли это связано с вирусами, но всё может быть.

Либо, что касается папок, можно попробовать сделать следующее:

Откройте любую папку и настройте её так, как вам нужно (в верхнем меню нажимаем, допустим: View (Вид) > Details (Детали)). Затем снова в верхнем меню этой папки:

Tools (Сервис)

>

Folder Options (Свойства папки)

> вторая закладка:

View (Вид)

> и нажимаем на кнопку

Apply to All Folders (Применить ко всем папкам)

; в Windows 2000, возможно, эта кнопка называлась:

Like Current Folder

.

По поводу MediaPlayer - ничего сказать не могу. Он падает с какой-то конкретной ошибкой? Падает всегда или лишь периодически при вышеописанных действиях; не зависимо от того, какие именно файлы проигрываются (т.е. при попытке проиграть любой mp3-файл?)? Какая именно версия Media Player'а у вас установлена?

**Saule** · 31 августа, 2007

ПОЖАЛУЙСТА! помогите! какая-то *** прицепилась- errorsafe. в одной из тем я прочитала, что нужно запустить прогу и скопировать свой лог. Помогите! я уж не знаю, что делать !! могу выбросить лог. Скажите, что надо удалить, чтоб дрянь errorsafe исчезла!!! очень прошу

Jastine

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

F2 - REG:system.ini: Shell=

O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - (no file)

O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - (no file)

O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\system32\ztoolb011.dll

O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\system32\ztoolb011.dll

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab' rel="external nofollow">

O21 - SSODL: D0CJBBDD - {511617D0-5EBE-0153-1962-5FFD754779C5} - (no file)

O21 - SSODL: mtklefa - {1E3C22AD-F8DA-46F6-3996-712CB81A8323} - (no file)

O21 - SSODL: mtklef - {2845DA82-C571-4C02-B59B-171C452BE8E0} - (no file)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. После перезагрузки удаляем папки:

C:\Program Files\

Error Safe Free

C:\Program Files\

Save

Плюс: Multi_Media toolbar - ставили сами? Если нет, то точно таким же образом, как было описано выше, удалите с помощью HijackThis следующее:

R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll

В случае, если что-то будет еще беспокоить, нужно повторить лог.

**Jastine** · 31 августа, 2007

спасибо. Сначала (сразу же после повторного входа в сеть) всё работало идеально, ничего не появлялось. Только папку C:\Program Files\Error Safe Free

я у себя не нашла. и через поиск не нашла. Прошло несколько часов, запускаю комп,и-нет....и снова появляется одно из окон gomyron.com , только он уже числится, как ненайденная страница, но всё равно не даёт возможности закрыть это окно - глюк. !!! Всё то же проделала - не нашла ничего из тех пунктов. Что с этим делать? и нужно ли ? спасибо заранее

**Jastine** · 31 августа, 2007

О! СНОВА ЭРРОР Сэйф появился!!(((((((((((((

**deniz** · 1 сентября, 2007

уважаемые и дорогие ассы! помогите чайнику! - прочла посты SAULE о помощи в борьбе с вирусами. прочла очень добросовестно. потом перешла на эту тему с 91 страницами. но поняла что не осилю такою информацию только прошу не кидаться тухлыми помидорами ;) я по профессии очень далека от инф.технологий. я лишь паразитирую как пользователь. посему выложу вам свою проблему- помогите :) я занесла вирус W 32/ PARITE. после этого и меня офис отказался работать. при попытке анинстал- опять же вирус HEUR/EXPOIR/HTML не давал его убирать. отключила антивирус( у меня авира), успешно стерла. антивирус предлагал отправить файлы на карантин- я- ок, так как предельно доверяю ему :D но некоторые файлы я кажется удалила- так как антивирус так истошно бибикал что я в панике нажимала что угодно. так вот у меня появились иконки например на адобе- окно, белое, сверху синяя полоска. что это значит? при попытке открыть адобе, или камеру или оксфорд словарь- окно - для открытия файла требуется этот файл, найдите его. при попытке стереть программы( на uninstall тоже стоит такое же пустое бело-синее окно) - не получается :) что делать?

и еще , пожалуйста, простите за занудство и назойливость- отправленные на карантин файлы, что с ними делать? это файлы из PROGRAME FILES, TEMPORARY FILES и еще мн др.

спасибо вам всем за внимание к моей проблеме! восхищаюсь вашими познаниями! я сейчас вдали от родины, мне не у кого просить о помощи очно. на турецком я не смогу понять такие сложные вещи, да не у кого

**deniz** · 1 сентября, 2007

поступила как советовала SAULE-остканировав весь комп- в итоге антивирус послал на карантин 1800 файлов :) с расширением htm - из 1386/COMPDATA, PROGRAMM FILES/ ADOBE ACROBAT -( был вирус HEUR/Exploit.HTML )и из кое-чего еще :) пожалуйста, очень жду ваших советов!

**Saule** · 1 сентября, 2007

спасибо. Сначала (сразу же после повторного входа в сеть) всё работало идеально, ничего не появлялось. Только папку C:\Program Files\Error Safe Free
я у себя не нашла. и через поиск не нашла. Прошло несколько часов, запускаю комп,и-нет....и снова появляется одно из окон gomyron.com , только он уже числится, как ненайденная страница...

Jastine

В конце поста, оставленного для вас была пометка: "В случае, если что-то будет еще беспокоить, нужно повторить лог".

Также было бы неплохо сделать "Исследование системы" с помощью AVZ:

Скачиваем, распаковываем и запускаем программу, после чего нажимаем в её верхнем меню:

Файл > Исследование системы

И затем присоединяем полученный html-файл к своему сообщению (

Как присоединить к сообщению изображение, или файл

).

я занесла вирус W 32/ PARITE. после этого и меня офис отказался работать...

deniz

Первым делом нужно точно избавиться от всех вирусов. Еще раз просканируйте весь компьютер и убедитесь, что вредоносных файлов антивирус уже не находит. Причем, когда выдается окошко, предупреждающее о том, что найден вирус, по возможности в первую очередь всегда выбирайте вариант 'Лечить', если такой будет активен. В Avira - это будет вариант 'Repair':

Если лечение невозможно, то антивирус сам предложит выбрать другой вариант - перемещаем в карантин или же удаляем.

В качестве альтернативного сканера я бы посоветовала вам также воспользоваться бесплатным CureIt! от Dr.WEB (лучше даже использовать бету более новой версии: cureit-beta). Конфликтов с Avir'ой не будет, зато, возможно, найдете то, что не находит Avira + Dr.WEB лечит более качественно, а вирус 'Parite' - нужно именно пытаться лечить, а не удалять (так как он заражает программные файлы, и если удалить всё зараженное - многие программы больше не будут работать, что вы и наблюдаете в данный момент у себя):

Сканируем до тех пор, пока все диски точно не будут чистыми.

Что делать с тем, что уже в карантине:

Всё, что было перенесено сюда из 'TEMPORARY FILES' - можно удалять смело.

Всё остальное - возможно, есть смысл восстановить и пролечить с помощью Dr.WEB (или хотябы с помощью той же Avir'ы и её варианта 'Repair', если вы его тогда не пробовали выбирать). Но делать это нужно предельно аккуратно, чтобы снова не активировать заражение (т.е. ни в коем случае не запускать восстановленные файлы, пока они не будут пролечены сканером!).

На всякий случай, восстанавливаются файлы следующим образом:

И это касается только программных .exe-файлов, .htm - думаю, можно все удалять, если там не было важных для вас лично файлов.

Единственное, всё-равно нет гарантии, что все программы после этого заработают, так как вы всё-таки что-то уже совсем удалили + возможно, антивирусу какие-то файлы вылечить не удасться. Поэтому можно сейчас уже ничего не восстанавливать, а просто, после того, как компьютер будет чистым от заражения - заново установите нужные вам программы поверх старых, и они заработают (или по крайней мере дадут себя удалить для последующей переустановки). Надеюсь, что с этим проблем не возникнет, но если что-то будет не получаться - то спрашивайте.

**ushka** · 1 сентября, 2007

Помогите, пожалуйста, определить, осталось ли что-нибудь после удаленных вирусов. После посещения через http своего сайта на narod.ru (не первый раз уже) нортон антивирус опознал downloader. (31 авг)

NAV удалил файл C:\Documents and Settings\Olka\Local Settings\Temporary Internet Files\Content.IE5\G5Q3GD67\index[1].htm.

Avz в процессах определил подозрительные два процесса IEXPLORE.EXE и svchost.exe, а также маскирующийся драйвер , я зашла в сист.папку драйверов и нортон опознал и удалил файл:

C:\WINDOWS\system32\drivers\asc3550u.sys (Backdoor.Trojan)

позже нортон заругался и удалил (при проверке сканером dr web):

C:\WINDOWS\smsys.dat (Backdoor.Rustock.B)

Во временных файлах интернет были tmp-файлы, пара exe. , которые были созданы после посещения сайта (потом исчезли..наверное после лечения? и хистори тоже потерлась за этот день )

в логах файервола посещение след.сайтов (кому надо сообщить об этих сайтах, с которых что-то грузится?): (кодом сделала для того, чтобы случайно на эти сайты не полезли)

http://traffloads.in/in.cgi? http://ht.gettraff.com/out.php? http://eliteproject.cn/ts/in.cgi? http://superengine.cn/0410/index.php http://superengine.cn/0410/file.php http://opotray.cn/d1.exe http://opotray.cn/d2.exe http://opotray.cn/d3.exe http://opotray.cn/d4.exe

далее проверяла cureit-ом , выдержки из логов:

c:\windows\system32\drivers\secdrv.sys инфицирован Trojan.NtRootKit.319 – удален

C:\19.tmp инфицирован Trojan.MulDrop.6360 – удален

C:\RECYCLER\NPROTECT\00056352.sys инфицирован Trojan.NtRootKit.319 - удален

C:\hiberfil.sys - ошибка чтения

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat - ошибка чтения (странная папочка с двумя файлами - дата создания 31 авг)

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat - ошибка чтения

C:\Documents and Settings\LocalService\NTUSER.DAT - ошибка чтения

C:\Documents and Settings\LocalService\NTUSER~1.LOG - ошибка чтения

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - ошибка чтения

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\USRCLA~1.LOG - ошибка чтения

C:\Documents and Settings\NetworkService\NTUSER.DAT - ошибка чтения

C:\Documents and Settings\NetworkService\NTUSER~1.LOG - ошибка чтения

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - ошибка чтения

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\USRCLA~1.LOG - ошибка чтения

C:\Documents and Settings\Olka\NTUSER.DAT - ошибка чтения

C:\Documents and Settings\Olka\NTUSER~1.LOG - ошибка чтения

C:\Documents and Settings\Olka\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - ошибка чтения

C:\Documents and Settings\Olka\Local Settings\Application Data\Microsoft\Windows\USRCLA~1.LOG - ошибка чтения

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsys.dll - ошибка чтения

C:\RECYCLER\NPROTECT\NPROTECT.LOG - ошибка чтения

C:\WINDOWS\smsys.dat - ошибка чтения

C:\WINDOWS\system32\config\default - ошибка чтения

C:\WINDOWS\system32\config\default.LOG - ошибка чтения

C:\WINDOWS\system32\config\SAM - ошибка чтения

C:\WINDOWS\system32\config\SAM.LOG - ошибка чтения

C:\WINDOWS\system32\config\SECURITY - ошибка чтения

C:\WINDOWS\system32\config\SECURITY.LOG - ошибка чтения

C:\WINDOWS\system32\config\software - ошибка чтения

C:\WINDOWS\system32\config\software.LOG - ошибка чтения

C:\WINDOWS\system32\config\system - ошибка чтения

C:\WINDOWS\system32\config\system.LOG - ошибка чтения

логи после лечения avz-исследование системы avz_sysinfo.zip и hj hijackthis.logприлагаю..

и еще картинку из префеча в то время, когда появился вирус..

avz_sysinfo.zip

hijackthis.log

**Jastine** · 1 сентября, 2007

Добрый день. Через програму avz сделала, в итоге она выдаёт протокол.(Протокол исследования системы) Он огромный!!!

вставила название страницы по рекомендациям ссылки, но обнаруживаются ошибки "Динамические страницы в тэгах img запрещены. ё-моё, не знаю, может, вам всё это скопировать и прислыать? хм???....

и вот он лог после удаления вчерашнего :

Logfile of HijackThis v1.99.1

Scan saved at 1:20:43, on 02.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

D:\bin\btwdins.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

D:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\BTTray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\dwwin.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exe