Помощь в лечении систем от нечисти

[SERGSM]

Захожу в автозагрузку и к величайшему своему удивлению наблюдаю там нечто под названием "NWEReboot". Прогнал систему AVZ, потом NOD32. Не видят эти ребята ничего. За последнее время в систему были поставлены usb драйвер для ADSL модема и драйвер Ethernet от Marvell. Подсказал бы кто, что за радость меня посетила?

[Saule]

Захожу в автозагрузку и к величайшему своему удивлению наблюдаю там нечто под названием "NWEReboot". Прогнал систему AVZ, потом NOD32. Не видят эти ребята ничего. За последнее время в систему были поставлены usb драйвер для ADSL модема и драйвер Ethernet от Marvell. Подсказал бы кто, что за радость меня посетила?

Возможно, это dummy.exe, принадлежащий Ahead Nero (Ahead Nero Temporary File).

[SERGSM]

Спасибо, Saule. Вы как всегда на высоте. :-) Ссылку прочёл, рад новому интересному и нужному сайту.

Забавно, что пару дней назад я действительно запустил инсталяшку NERO, но тут же отменил. Просканировал реестр AVZ

( ключевые слова AHEAD, NERO), 4 ключа действительно присутствовали, удалил. ЕщЁ раз, спасибо.

[deniz]

SAULE, спасибо вам большое! какая же ВЫ отзывчивая и умная! я нашла 2 диска в комплекте с компом- реаниматор и обновления для тошиба. скачаю то что вы далиони не работают после вируса- я их список написала. спасибо за сайт - начну учиться , а то стыдно за каждой мелочью обращаться к вам. ;)

[Blackrabbit]

Процесс в памяти называется wuauclt.exe.

У меня жесткий диск разбит на 2 части C и D.

ОС стоит на диске C.

У меня стали пропадать папки и файлы на диске D.

При входе в систему как администратор система стала запрашивать пароль,который я не ставил.

Зашел под VC,удалил все с диска С.

сейчас после переустановки стал завершаться сам собой через некоторое время работы в интернете процесс svchost.exe и интернет соответсвенно вылетает

[Melamory]

Полскажите пожалуйста, что может означать вот такое сообщение?

Иногда выскакивает при попытке очистить что-либо. В данном случае ATF-Cleaner`ом

Не просто удалить, а именно очистить каку-ю либо папку!

Например из корзины можно удалить по одному файлу, а все сразу нельзя.

Выключаю компьютер - включаю заново - все нормально.

[ser208]

Полскажите пожалуйста, что может означать вот такое сообщение?

Иногда выскакивает при попытке очистить что-либо. В данном случае ATF-Cleaner`ом

Не просто удалить, а именно очистить каку-ю либо папку!

Например из корзины можно удалить по одному файлу, а все сразу нельзя.

Выключаю компьютер - включаю заново - все нормально.

А такое сообщение означает то, что там и написано -- файл используется в данный момент. Завершив это приложение или приложение, использующее этот файл, можно его удалить. Используется вредоносной программой или не вредоносной -- это уже другой вопрос.

З.Ы. Очистить и удалить -- одно и тоже.

сейчас после переустановки стал завершаться сам собой через некоторое время работы в интернете процесс svchost.exe и интернет соответсвенно вылетает

А SP2 хотя бы стоит? http://www.softboard.ru/index.php?showtopic=38879

Изменено 8 сентября, 2007 пользователем ser208

[Melamory]

Очистить и удалить -- одно и тоже.

Я имела ввиду "очистить корзину", "удалить все" и всё таком духе... Т.е. очистка папки.

А просто кликнуть правой кнопкой и удалить можно каждый файл по-отдельности можно.

ЗЫ: Df70 поиском не находился, так что я даже не представляю что это

[ser208]

Я имела ввиду "очистить корзину", "удалить все" и всё таком духе... Т.е. очистка папки.

А просто кликнуть правой кнопкой и удалить можно каждый файл по-отдельности можно.

ЗЫ: Df70 поиском не находился, так что я даже не представляю что это :)

По запросу в Google "Df70" -- двигатели Suzuki :) :) :)

[Blackrabbit]

SP2 стоит.

Отчет прилагается.

Подозрительны файлы axscsi.sys, sptd.sys, sptd1037.sys.

У меня adsl-подключение. После подключения к интернету через 1-2 он обрывается без предупреждения в свяди с завершением процесса svchost.exe. После этого подключение видит только система, даже в случае если я отключаю модем от компьютера. Иконка подключения внизу показывается, но зайти в свойства подключения не получается

avz_sysinfo.htm

avz_sysinfo.htm

Изменено 9 сентября, 2007 пользователем Saule

[ser208]

SP2 стоит.

Отчет прилагается.

Подозрительны файлы axscsi.sys, sptd.sys, sptd1037.sys.

Это драйвера твоих виртуальных устройств (Alcohol или Daemon не помню).

В логе я ничего не увидел, но подожди специалиста.

Вполне возможно, что атаки извне. Для этого обновись http://www.microsoft.com/downloads/details...1a-46b3eac7a305

Также просканируй ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe

Также желателен Firewall. Хотя бы Outpost Free http://www.agnitum.ru/products/outpostfree/index.php

Изменено 8 сентября, 2007 пользователем ser208

[699622]

Прошу помощи!

Недели две не могу избавиться от заразы. Повидимому - троян.

Что делает:

Качает исходящий трафик по максимуму. Иногда (раз в два-три дня) при работе в и-нете вылетает окошко "Ошибка авторизации" (по-английски)

и перегружает комп.

Выскакивает табличка, предлагающая подключиться к и-нету (штатная виндовская - "для просмотра файлов необходимо подключение..."

В и-эксплорере ставит конфиденциальность на "минимум"

В опере, где я обычно работаю - ничего особенного не заметил.

Антивирусы:

Аваст со свежайшими обновлениями - обнаруживает Win32..., рапортует об уничтожении. После перезагрузки все по-старому.

Avira монитор - обнаруживает что-то во время сеанса он-лайн, удалить и лечить не может, предлагает только дисконнектиться.

Avira сканер - нифига не видит.

Веб-кориент самый свежий - находит гадости, пишет, что удалил, но при следующей проверке - все на месте.

Nod - не видит ничего.

CDFix - не видит ничего.

Читал эту ветку несколько дней. Постарался выполнить рекомендации:

-почистил темп через ATF-Cleaner.exe

-отключил лишние службы согласно инструкциям

-закрыл через wwdc.exe все, что надо (теперь горят зеленые кружочки).

Кстати, при загрузке пишет, что есть запущенные вирусы (трояны).

-просканил он-лайн через ewido_micro.exe - ничего.

-отключил из автозагрузки ВСЕ, кроме ctfmon

-отключил "восстановление системы"

Ну и "тяжелая артиллерия" - AVZ4:

Первая проверка через safe mode (3 часа, высокий уровень эвристики, расширенный анализ, инфекции-удалять) - обнаружено 11 гадостей, все удалено.

Вторая проверка в обычном режиме (средний уровень сканирования, все по умолчанию) - все ЧИСТО. Перезагузка.

Третья проверка в обычном режиме (высокий уровень эвристики, расширенный анализ и тп) - слетает винда и перегружается, "система восстановлена".

Четвертый раз пытаюсь запустить так же, как третий - опять слетает винда,

Пятый раз запускаю с высоким уровнем эвристики, расширенным анализом но без блокировки рутиков - все чисто :-(

ХайДжек не скачал заранее, поэтому лога нет (сделаю после выхода в и-нет, но ведь это уже "не то").

Табличка, предлагающая подлкючение продолжает выскакивать.

Сделал исследование системы через AVZ4:

А вот и исследование ХайДжеком:

Уточню по поводу "качает исходящий трафик":

через некоторое время после выхода в и-нет (3-5 мин) начинает качать с моего компа что-то куда-то с максимальной возможной скоростью. Трафик у меня платный, скорость 115 кбс, так что навредила мне эта дрянь порядочно.

Система ХР с SP1 (уже понял, что это безобразие, надо обновлять)

Файерволла нет.

Кстати, в и-нете года полтора уже ничего плохого не подхватывал - на плохих сайтах ставлю настройки безопасности на максимум и не закачиваю чего-зря.

А подхватил заразу через флешку, когда в дружественный офис ходил - у них там вирусов - масса. Коллекционеры хреновы.

[TVS]

Saule, здравствуйте.

На флеш-плеере принесли вирус, его определил касперский как email - worm.win32.rays

Файл WINDOWS:\Mstray.exe

Я по-глупости его удалила в корзину - там его никто не находит и он не виден.

Подскажите пожалуйста, как его удалить теперь, какие еще могут быть последствия и как правильно очистить плеер от этой заразы.

На плеере каспер нашел еще вот это:

printer.exe Worm.Win32.VB.el

WINFILE.EXE Email-Worm.Win32.Rays

comment.htt Trojan.VBS.Starter.a

cftmon.exe Trojan.Win32.VB.agt

Изменено 9 сентября, 2007 пользователем TVS

[Saule]

ЗЫ: Df70 поиском не находился, так что я даже не представляю что это

Melamory

Возможно, речь идет о папках, которые Windows автоматически создаёт при удалении файлов в скрытых директориях :\RECYCLER. Выглядит это примерно следующим образом:

C:\RECYCLER\S-1-5-21-1547161642-412668190-839522115-1003\Dc70

Т.е. скрытая папка RECYCLER есть на каждом логическом диске компьютера. В ней находится еще одна папка (или несколько) с именем вашего идентификатора безопасности (SID) - напр. S-1-5-21-191058668-193157475-1542849698-1000 - и уже в ней при удалении каких-либо данных, создаются дополнительные файлы и папки в том числе и с названиями, похожими на то, которое вы привели в пример (они остаются там до тех пор, пока вы не очистите корзину или не восстановите удаленные файлы).

Но посмотреть в проводнике Windows этого не удасться, можно увидеть в FAR'е (или другом файловом менеджере):

Причин, почему возникает ситуация описанная вами, может быть несколько. Например, произошла ошибка операции сравнения прав доступа на логическом диске с файловой системой NTFS. Или удаляемые файлы имееют слишком большие размеры. Или файл используются каким-нибудь драйвером.

В любом случае, если после перезагрузки всё нормализуется - это не критично (у меня тоже иногда бывает , правда, при повторной попытке очистить корзину - всё удаляется без проблем).

У меня adsl-подключение. После подключения к интернету через 1-2 он обрывается без предупреждения в свяди с завершением процесса svchost.exe. После этого подключение видит только система, даже в случае если я отключаю модем от компьютера. Иконка подключения внизу показывается, но зайти в свойства подключения не получается

Blackrabbit

Нужно видеть, каким именно образом завершается процесс svchost.exe. Возникает ли при этом какая-либо ошибка (т.е. выдаёт ли система хоть какое-нибудь сообщение)? Что пишется в: Control Panel (Панель управления) > Administrative Tools (Администрирование) > Event Viewer (Просмотр событий) - интересуют события помеченные как Error на тот момент, когда svchost.exe завершается (там сохраняется время и дата).

wuauclt.exe (Automatic Updates) - файл Windows, проверяющий наличие последних обновлений для операционной системы.

vaxscsi.sys - драйвер, принадлежащий Alcohol 120%.

sptd.sys - драйвер защиты, разработанный Duplex Secure, также используемый Alcohol'ем (более подробно при желании о нем можно почитать тут: SPTD F.A.Q.).

sptd1037.sys - вероятно, также имеет отшение к sptd (хотя не уверенна).

Плюс такой момент. Вы в курсе, что у вас включена возможность использовать NetBIOS ("расшаренные ресурсы") в интернете? И либо вы ползаете по чужим ресурсам (но вы бы об этом знали), либо кто-то ползает по вашим дискам/каталогам. Если не в курсе, то зайдите в свойства своего интернет-подключения и отключите эту возможность:

Control Panel (Панель управления) > Network Connections (Сетевые подключения)

> кликаем правой кнопкой мыши по своему интернет-подключению и заходим в

Properties (Свойства)

. Находим либо закладку

General (Общие)

, либо

Networking

(зависит от вашего подключения) и убираем галочки напротив

'File and Printer Sharing for Microsoft Networks'

и

'Client for Microsoft Networks'

.

Приведу скриншоты обоих вариантов (и General, и Networking):

[Saule]

SAULE, спасибо вам большое! какая же ВЫ отзывчивая и умная! я нашла 2 диска в комплекте с компом- реаниматор и обновления для тошиба. скачаю то что вы далиони не работают после вируса- я их список написала. спасибо за сайт - начну учиться , а то стыдно за каждой мелочью обращаться к вам.

deniz

Удачи! Но в случае чего - обращайтесь смело

Прошу помощи!

699622

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\DOCUME~1\872B~1\LOCALS~1\Temp\ddccd.dll');DeleteFile('C:\DOCUME~1\872B~1\LOCALS~1\Temp\tmp2.tmp.dll');DeleteFile('C:\WINDOWS\System32\vturopq.dll');DeleteFile('c:\windows\system32\pmkjifd.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки ("Запустить").

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

2. После этого также желательно сделать сканирование с помощью VundoFix - скачиваем, закрываем все открытые окна (т.к. если что-то найдется, то после удаления вируса будет перезагрузка компьютера) и запускаем программу:

Нажимаем на кнопку "Scan for Vundo" - начнется сканирование.

Когда оно закончится, в том случае, если что-либо будет найдено, нажимаем на следующую кнопку - "Remove Vundo". Появится сообщение с вопросом: "Действительно ли вы хотите удалить эти файлы?" Нажимаем на 'Yes'.

После этого рабочий стол на какое-то время исчезнет - это нормально, поэтому не пугаемся. Затем последует вопрос о перезагрузке - нажимаем ОК (после чего компьютер соответственно перезагрузится).

3. Затем нужно повторить логи (и AVZ, и HijackThis).

Saule, здравствуйте.

На флеш-плеере принесли вирус, его определил касперский как email - worm.win32.rays

Здравствуйте, TVS.

Думаю, что смело можно довериться Касперскому - пусть удаляет всё то, что найдет.

[SergeCherry]

Saule, добрый вечер, получил троянов на комп, сделал всё как Вы рекомендовали в предыдущих постах.

Что получилось:

1.вирусов и троянов удалил несколько

2.не могу войти в WebMoney Keeper Classic , при вводе WM ID и пароль, пишет "WebMoney Keeper Classic не смог обнаружить служебные файлы, созданные после инициализации программы для WM ID..." И просит пройти инициализацию, я регистрировался в январе, файл ключей .kwm нашёл, а пароль к нему нет! А стандартная процедура восстановления - это что-то!...

3.в The Bat! остались только заголовки писем, самих писем нет, пишет - "Division by zero"

Вот такие пирошки.

Что делал:

1.Скачал триал-версию Ewido Security Suite с http://www.ewido.net/en/download/, только она почему-то инсталировалась как AVG Anti-Spyware

2.Скачал последнюю версию HijackThis.exe в 392кВ

Прошёлся HijackThis - лог:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:03:57, on 09.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\Install\последняя версия HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O1 - Hosts: 127.0.0.2 custom-host

O1 - Hosts: 127.0.0.2 www.custom

O1 - Hosts: 127.0.0.2 custom

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: StumbleUpon Launcher - {145B29F4-A56B-4b90-BBAC-45784EBEBBB7} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll

O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O2 - BHO: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [aol] "C:\Program Files\AOL\Active Virus Shield\avp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Enterprise\Add_AllO.htm

O8 - Extra context menu item: StumbleUpon: &Blog This - res://StumbleUponIEBar.dll/blogimage

O8 - Extra context menu item: Показать рекламодателей - http://pagead2.googlesyndication.com/pagea...en/preview.html

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.stumbleupon.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partn...can_unicode.cab

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{056B1C93-C657-4CB6-835B-5FB76D771420}: NameServer = 213.177.96.1,213.177.97.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{056B1C93-C657-4CB6-835B-5FB76D771420}: NameServer = 213.177.96.1,213.177.97.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{056B1C93-C657-4CB6-835B-5FB76D771420}: NameServer = 213.177.96.1,213.177.97.1

O23 - Service: Active Virus Shield (AVP) - AOL - C:\Program Files\AOL\Active Virus Shield\avp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 5959 bytes

ВСЁ ПОМЕТИЛ И УДАЛИЛ!!!!

Прошёлся AVG Anti-Spyware - лог:

---------------------------------------------------------

AVG Anti-Spyware - Scan Report

---------------------------------------------------------

+ Created at: 18:23:34 09.09.2007

+ Scan result:

C:\Documents and Settings\Владелец\Cookies\владелец@2o7[2].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@adbrite[1].txt -> TrackingCookie.Adbrite : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@advertising[1].txt -> TrackingCookie.Advertising : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@www.burstnet[1].txt -> TrackingCookie.Burstnet : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@com[1].txt -> TrackingCookie.Com : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@hotlog[1].txt -> TrackingCookie.Hotlog : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@ivwbox[2].txt -> TrackingCookie.Ivwbox : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@questionmarket[2].txt -> TrackingCookie.Questionmarket : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@specificclick[2].txt -> TrackingCookie.Specificclick : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@spylog[1].txt -> TrackingCookie.Spylog : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@spylog[2].txt -> TrackingCookie.Spylog : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@yadro[1].txt -> TrackingCookie.Yadro : Cleaned.

C:\Documents and Settings\Владелец\Cookies\владелец@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.

::Report end

ВСЁ ПОМЕТИЛ И УДАЛИЛ!!!!

Saule, можно восстановить инициализацию WebMoney Keeper Classic и письма Бада, я в компах полный чайтик - решил сам! бороться с вирусами, ну вот и получил...

Заранее благодарен, Сергей.

[Melamory]

Спасибо, Saule!

У меня есть еще один небольшой вопрос:

С некоторых пор при каждом вкючении, перед тем как появляется экран выбора пользователей, сразу после виндосовской эмблемы,

на голубом экране пишется вот это:

Checking file system on D:

The type of the file system is NTFS

Volume label is DATA

One for you disk need to be checked for consistency. You may cancel the disk check,

but it is strongly recommended that you continue...

...идет посекундный отщет......дальше цифры и тп...

Как назло, не помню после чего это началось :)

Как я понимаю, это проверка диска?

Но ведь так не должно быть? :) Что-то не правильно...

[ser208]

Как я понимаю, это проверка диска?

Но ведь так не должно быть? :) Что-то .

Зайди в Мой компьютер, щелкни правой кнопкой мыши по диску D:, выбери "Свойства" -- "Сервис" -- "Проверка тома на наличие ошибок".

Расставь галочки "Исправлять.. и т.д." и дождись окончания проверки. Больше при загрузке проверки не будет.

Если диск занят, то может появиться сообщение, что проверка будет выполнена после перезагрузки. Соглашайся.

Тоже самое можно сделать Пуск-- Выполнить -- chkdsk d: /f /r /x

Скопируй и нажми OK.

Изменено 9 сентября, 2007 пользователем ser208

[699622]

699622

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

2. После этого также желательно сделать сканирование с помощью VundoFix -

3. Затем нужно повторить логи (и AVZ, и HijackThis).

Спасибо за участие!

Выполняю все прилежно.

Два раза запускал скрипт в AZV - оба раза система "падала" (как-будто "резет" нажимаешь: запускается, полосочка

добегает до конца, начинает под окошком скрипта в основном окошке AZV-а что-то писать, причем красным шрифтом - и все, падает)

Два раза из-под SafeMode - система не падает, но красным АЗВ чего-то пишет и перегружается. Оба раза - одинаково.

После этого еще раз попробовал в нормальном режиме - тот же случай.

Кстати, точь в точь такое же было при запусках АЗВ со включенным параметром "Блокировать рутики..." - две галочки.

Успешные сканирования получались, когда я эти галочки снимал.

После очередной перезагрузки в окошке скрипта нажал "Проверить синтаксис" - АЗВ выдал ошибку "." в строке 14,1

Напоследок прогнал VundoFix.exe - первый раз нашла пару десятков библиотек - удалил.

Второй раз - чисто.

Сдалал новые логи.

Попутно вопросик: "А если все-таки получиться убить эту гадость, как мне быть с флешкой?"

"Чем ее проверять, и как обезопасить себя от того, что пока я включаю антивирь, флешка уже контактирует с системой?"

[ser208]

699622

От себя добавлю:

Может система не падает, а

RebootWindows(true);

Однако жив гад.

Выполни скрипт при выгруженных антивирусах (хотя Guard активирован, но все ж)

Два антивируса в системе могут вести себя непредсказуемо.

SP2 обязателен (но при установке будут проблемы с активацией).

Изменено 10 сентября, 2007 пользователем ser208

[699622]

To ser208

<От себя добавлю:

<Может система не падает, а

Именно - падает! В Safe-Mode - перегружается (на короткое время возникает экран "Завершение работы"), а в обычном режиме - щелчок и сразу видна заставка загрузки (точно так, как при нажатии "резет").

<Однако жив гад.

<Выполни скрипт при выгруженных антивирусах (хотя Guard активирован, но все ж)

<Два антивируса в системе могут вести себя непредсказуемо.

Я, кстати, этого не понимаю: службы AntiVir Scheduler и Guard есть в списе работающих служб, хотя эта прога (Avira) деинсталирована давно. GuardAVZ включается только вручную, когда заходишь в AVZ.

Как мне "выгрузить антивирусы"?

<SP2 обязателен (но при установке будут проблемы с активацией).

Да, ты прав.

Кстати, если включаю GuardAVZ, отрубается и-нет, а при попытке дозвона пишет "Ошибка протокола tcp/ip №5"

[ser208]

GuardAVZ включается только вручную, когда заходишь в AVZ.

Скрипт включает.

SetAVZGuardStatus(True);

Я, кстати, этого не понимаю: службы AntiVir Scheduler и Guard есть в списе работающих служб, хотя эта прога (Avira) деинсталирована давно.

Ну зайди в службы и поставь в "отключено" все службы AntiVir.

Изменено 10 сентября, 2007 пользователем ser208

[Saule]

Saule, можно восстановить инициализацию WebMoney Keeper Classic и письма Бада, я в компах полный чайтик - решил сам! бороться с вирусами, ну вот и получил...

SergeCherry

Поэтапно о каждой проблеме:

The Bat:

Попробуйте нажать в верхнем меню The Bat: Папка > Управление папками > отметить в открывшемся окошке пункт "Проверка целосности/ремонт" и нажать на "Начать".

Если это не решит вашу проблему, то попробуйте скачать более новую версию этой программы (с сайта http://nobat.ru/).

WebMoney Keeper Classic:

Запустите WebMoney Keeper, введите свой WMID и пароль. Когда программа сообщит вам, что не знает, где искать файл ключей - нажмите ОК и покажите ей путь к файлу .kwm (который соответствует введенному вами WMID). Дальше, если появится сообщение с просьбой показать, где лежит файл с кошельками (.pwm) - также укажите его. Когда WebMoney Keeper подключится к серверу, он попросит ввести код активации (этот код в тот момент должен прийти на ваш почтовый ящик в письме от WebMoney - просто скопируйте его). Заранее убедитесь, что у вас есть доступ к почтовому ящику, указанному в вашем аттестате (или в верхнем меню WebMoney Keeper: Меню > Настройки > О себе).

Более подробно о коде активации можно почитать тут.

По поводу восстановления удаленных пунктов:

Это восстанавливать точно не нужно:

O1 - Hosts: 127.0.0.2 custom-host

O1 - Hosts: 127.0.0.2 www.custom

O1 - Hosts: 127.0.0.2 custom

O2 - BHO: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Enterprise\Add_AllO.htm

O8 - Extra context menu item: Показать рекламодателей -

http://pagead2.googlesyndication.com/pagea...en/preview.html

O15 - Trusted Zone: *.stumbleupon.com

Остальное на ваше усмотрение (т.е. можно восстановить, если вам это необходимо):

Плагин Acrobat Reader к браузеру (нужен для того, чтобы браузер мог открывать файлы .pdf):

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Кнопочка "Ссылки" на панели вашего браузера (если она вам нужна, то можно восстановить):

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

Тулбар для браузера от

http://www.stumbleupon.com/

(по мне - так какая-то гадость, я бы не восстанавливала):

O2 - BHO: StumbleUpon Launcher - {145B29F4-A56B-4b90-BBAC-45784EBEBBB7} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll

O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll

O8 - Extra context menu item: StumbleUpon: &Blog This - res://StumbleUponIEBar.dll/blogimage

Тулбар для браузера от

http://del.icio.us/

(также как и предыдущее):

O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

Автозапуск 'System Tray Utility' от принтера Hewlett-Packard (даёт какие-то дополнительные возможности по настройке; но если не восстанавливать - принтер всё равно будет работать):

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

ICQ Lite (аська - вернее, её автоматический запуск при старте системы; сама программа осталась и может спокойно запускаться вручную):

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

Он-лайн сканирование Касперского

(можно восстановить, если собираетесь в ближайшем будущем снова его проходить):

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/russian/partn...can_unicode.cab

Это лучше восстановить (часть настроек вашего подключения):

O17 - HKLM\System\CS1\Services\Tcpip\..\{056B1C93-C657-4CB6-835B-5FB76D771420}: NameServer = 213.177.96.1,213.177.97.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{056B1C93-C657-4CB6-835B-5FB76D771420}: NameServer = 213.177.96.1,213.177.97.1

Не совсем понятно, что вы сделали со своим антивирусом (Active Virus Shield). Если решили его деинсталлировать, то восстанавливать его значения не нужно. Если же хотите с ним и дальше работать, то нужно восстановить:

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll

O4 - HKLM\..\Run: [aol] "C:\Program Files\AOL\Active Virus Shield\avp.exe"

O23 - Service: Active Virus Shield (AVP) - AOL - C:\Program Files\AOL\Active Virus Shield\avp.exe

Остальное, вроде как, восстановилось самостоятельно, либо совсем маловажно.

P.S. Для восстановления: при запуске HijackThis нажимаем на кнопку 'Open the Misc Tools section' и заходим в Backups.

P.P.S. И больше, пожалуйста, никогда не удаляйте всё, что находят программы подобные HijackThis, так как это на самом деле может повлечь за собой серьезные последствия для операционной системы (это ведь не антивирус, а всего лишь универсальный анализатор, который может показывать, как вредоносное ПО, так и совершенно нормальное и даже необходимое). Хотя самостоятельность - это очень похвально, но не стесняйтесь спрашивать, если в чем-либо сомневаетесь.

Плюс: HijackThis (краткое руководство) :D

[699622]

ser208

<Скрипт включает.

Не, скрипт валит систему. Я ручками включаю.

<Ну зайди в службы и поставь в "отключено" все службы AntiVir.

Спасибо, так и сделал.

Всем.

Продолжаю ловить кайф со своим трояном :-)

1. Разобрался в "синтаксической ошибке" - это я в скрипте после слова end точку убирал. Умничал.

Сейчас нормально запускается, в safe mode нормально чего-то пишет в главном окошке красными чернилами и перегружается.

При повторном запуске все повторяется точно также.

В обычном режиме продолжает вылетать (хотя я в службах AntiVir повыключал).

2. Правильно (в safe mode) запустил SDFix (прошлый раз не читал пояснений, запускал в обычном режиме).

лог прилагаю (нашел!!!)

При повторном запуске все чисто.

Однако после этого скрипт в AVZ продолжает вылетать.

3. И-нет работает очень медленно, хотя посторонних загрузок не видать.

На закачку этой страницы (без рисунков, без авторизации) тратит 190кб, мне кажется - это многовато.

Хотя (еще до проверки SDFix-ом) перестал произвольно качать исходящий трафик и выставлять в и-эксплорере "конфиценциальность"

на минимум.

В общем, результаты есть, но уверенности нет.

И повторю предыдущий вопрос: как поступить с флэшкой?

[699622]

Добавлю свежий лог ХайДжека.