Kuzyma Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Dr.Web CureIt Project Ad-Aware NortonInternetSecurity Никто не может справиться с моим спам роботом, в который недавно превратился мой компьютер. Отсылает преимущественно .de .com и т. д. Что делать? Если тема не нова дайте ссылку, пожалуйста, хотя давно рою инет и никакое предложенное снадобье не решило проблему. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Satellite Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Kaspersky Internet Security + Ad-Aware. скачиваешь пробную версию каспера вот тут вот, обновляешь базы, перезагружаешься и потом ставишь комп на полное сканирование. или еще более хороший вариант - после того как поставишь-обновишь- делай аварийный загрузочный диск(там есть такой пункт), грузись с него и сканруй - в этом случае будет вылечено больше, потому что win не будет загружена и соответственно не будет блокировать доступ к ряду файлов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Kuzyma Маловато информации. 1) Этот бот сам рассылку ведет или использует твою почтовую программу? 2) В качестве файрволла у тебя используется вышеуказанный Norton Internet Security? 1) Ну если он все-таки идентифицируется в процессах, то можно (если в файрволе есть такие функции) просто запереть его на компе, запретив ему доступ вообще куда-либо. 2) Если использует почтовую программу, то можно просто запретить исходящий SMTP трафик на .de .com, если сам на такие домены ничего не отправляешь. 3) Я бы все-таки просканил компьютер антивирусными сканерами других производителей. 4) Если его удастся идентифицировать, даже если нельзя пока убить автоматически, найти его описалово и попытаться убить "ручками". Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kuzyma Опубликовано 2 сентября, 2007 Автор Жалоба Поделиться Опубликовано 2 сентября, 2007 Kuzyma Маловато информации. 1) Этот бот сам рассылку ведет или использует твою почтовую программу? Почтовую программу не трогает 2) В качестве файрволла у тебя используется вышеуказанный Norton Internet Security? И он, как прокси и пробовал встроенный – опять прокси – результат один 1) Ну если он все-таки идентифицируется в процессах, то можно (если в файрволе есть такие функции) просто запереть его на компе, запретив ему доступ вообще куда-либо. В процессах я не знаю кто-это 2) Если использует почтовую программу, то можно просто запретить исходящий SMTP трафик на .de .com, если сам на такие домены ничего не отправляешь. Это в автоматике NIS и делает, но это же не выход. Яичко колотится, забирая ресурсы, просто выхода не находит! 3) Я бы все-таки просканил компьютер антивирусными сканерами других производителей. Просканил NIS2006 с обновлёнными базами, DrWEb – сканер свежий сегодняшний…, каспером 4) Если его удастся идентифицировать, даже если нельзя пока убить автоматически, найти его описалово и попытаться убить "ручками". Вот если быыыы А то он гад всякий раз и всё по буржуйским сайтам Спасибо Пока по нулям Стоит остановить NIS… и непрерывный спамотРест, будь он трижды упадёт с эйфелевой башни…. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wlad Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Kuzyma: Хм... Неужели ни AdAware ни HijackThis никак не помогли? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Никто не может справиться с моим спам роботом, в который недавно превратился мой компьютер. Есть специальная тема для таких случаев: Помощь в лечении систем от нечисти. Сделайте, пожалуйста, хоть какие-нибудь логи (желательно и с помощью HijackThis, и с помощью AVZ), как это описано в её первом посте. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kuzyma Опубликовано 2 сентября, 2007 Автор Жалоба Поделиться Опубликовано 2 сентября, 2007 (изменено) Дорогое Солнце, есл Вы ещё тут, то высылаю по вашему совету логи, сам я в них ничерта не смыслю...(_ О, небо, как сложно, попробуем укорить! Logfile of HijackThis v1.99.1 Scan saved at 21:13:30, on 02.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccProxy.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Norton Internet Security\ISSVC.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\HHVcdV5Sys\VC5SecS.exe D:\WINDOWS\SOUNDMAN.EXE D:\Program Files\HHVcdV5Sys\VC5Play.exe D:\Program Files\Panasonic\USB GEAR\DECTWinApp.exe D:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\BeholdTV\Agent\BhAgent.exe D:\Program Files\Virtual CD v5\System\VC5Tray.exe D:\WINDOWS\explorer.exe c:\xtom.exe D:\Program Files\BeholdTV\BeholdTV.exe D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe c:\krla.exe D:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\Nick\LOCALS~1\Temp\Rar$EX00.250\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Program Files\DAP\DAPBHO.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Program Files\DAP\DAPIEBar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VC5Player] D:\Program Files\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [DECTWinApp] "D:\Program Files\Panasonic\USB GEAR\DECTWinApp.exe" /S O4 - HKLM\..\Run: [OrderReminder] D:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] D:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [DownloadAccelerator] D:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Advanced Tools Check] c:\instal\___program\norton antivirus 2003\nav2003\advtools\advchk.exe O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - Startup: BhAgent.lnk = D:\Program Files\BeholdTV\Agent\BhAgent.exe O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Append to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Координатор распределенных транзакций (MSDTC) - Unknown owner - D:\WINDOWS\system32\msdtc.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - D:\Program Files\HHVcdV5Sys\VC5SecS.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe hijackthis.log hijackthis.log Изменено 2 сентября, 2007 пользователем Kuzyma Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 (изменено) Дорогое Солнце, есл Вы ещё тут, то высылаю по вашему совету логи, сам я в них ничерта не смыслю...(_О, небо, как сложно, попробуем укорить! HijackThis ничего не видит, поэтому по-быстрому не получится =( Нужен лог AVZ. Распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы: Файл > Исследование системы И присоединяем (только не копируем, а именно присоединяем) полученный html-файл к своему сообщению. Плюс эти двое - ваши файлы (т.е. вам они знакомы или нет? :)) : c:\ krla.exe c:\ xtom.exe Изменено 2 сентября, 2007 пользователем Saule Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kuzyma Опубликовано 2 сентября, 2007 Автор Жалоба Поделиться Опубликовано 2 сентября, 2007 (изменено) НЕЕТ!!! славненько на "с" их непонятных во скокко!!! krla i ixtom в активных процессах! Чтож антивири молчат! Если бы не солнышко, то так и прозябал бы.... растудыть... Изменено 2 сентября, 2007 пользователем Kuzyma Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kuzyma Опубликовано 2 сентября, 2007 Автор Жалоба Поделиться Опубликовано 2 сентября, 2007 Протокол антивирусной утилиты AVZ версии 4.27 Сканирование запущено в 02.09.2007 22:02:02 Загружена база: 125002 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 30.08.2007 14:15 Загружены микропрограммы эвристики: 371 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 62028 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08C500) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80563500 KiST = 804E4F40 (284) Функция NtConnectPort (1F) перехвачена (805951B9->819F5810), перехватчик не определен Функция NtCreateKey (29) перехвачена (80579528->EF97EF51), перехватчик D:\WINDOWS\system32:lzx32.sys Функция NtEnumerateKey (47) перехвачена (8057A69E->F8432E2C), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (80590C93->F84331BA), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80573F1D->EF97F005), перехватчик D:\WINDOWS\system32:lzx32.sys Функция NtOpenProcess (7A) перехвачена (80581C68->81AE3970), перехватчик не определен Функция NtOpenThread (80) перехвачена (80598726->81A51BA0), перехватчик не определен Функция NtQueryKey (A0) перехвачена (8057A29E->F8433292), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (80574361->F8433112), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80584921->F8433324), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys Функция NtTerminateProcess (101) перехвачена (8058CE75->EF980CCB), перехватчик D:\WINDOWS\system32:lzx32.sys Проверено функций: 284, перехвачено: 11, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 42 Количество загруженных модулей: 435 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> D:\Program Files\DAP\DAPBHO.dll ЭПС: подозрение на Adware.SpeedBit >>> D:\Program Files\DAP\DAPIEBar.dll ЭПС: подозрение на Adware.SpeedBit >>> D:\Program Files\DAP\DAPBHO.dll ЭПС: подозрение на Adware.SpeedBit >>> D:\Program Files\DAP\DAPIEBar.dll ЭПС: подозрение на Adware.SpeedBit >>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности) >>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности) Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена Просканировано файлов: 477, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 02.09.2007 22:02:54 Сканирование длилось 00:00:53 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 НЕЕТ!!!славненько на "с" их непонятных во скокко!!! Если всё это не ваше, то убивайте. Но есть важный момент - HijackThis не показал каким именно образом они запускаются при загрузке системы (а два из них явно находились в активных процессах), поэтому их удаление может ни к чему не привести, так как тот, кто отвечал за их запуск, может легко создать новые. Нужно найти и обезвредить "главного".Протокол антивирусной утилиты AVZ версии 4.27Замечательно. Уже видно, что у вас руткит - lzx32.sys. Но на диске вы так легко, к сожалению, его не найдете, так как он благополучно скрывает себя (почему: кратко о руткитах).И(!) после сканирования нужно было сделать еще и "Исследование системы" (в верхнем меню AVZ: Файл > Исследование системы и присоединяем полученный html-файл к своему сообщению). Так как таким образом будет видно чуть больше (вполне возможно, что есть еще что-то) - тогда уже можно будет объяснить, каким именно образом от всего этого можно избавиться. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
woldemar Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Убивайте всех! это одно и тоже Г размером 58кб и это явно не системные файлы Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Satellite Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Чтож антивири молчат! от руткитов сложнее всего избавиться. самая, пожалуй, вредная и трудно удаляемая зараза. прочитал, что сделали сканирование касперским - сделайте из windows загрузочный диск(откройте касперского, вкладка сервис, аварийный диск) и попробуйте с него загрузиться и просканировать(как я писал выше - система не стартует, соответственно ограничений на доступ нет. а в случае с руткитами - порой заражается резервное хранилище, из которого он не удаляется,если проходить антивирусом загруженным с ОС) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 13 сентября, 2007 Жалоба Поделиться Опубликовано 13 сентября, 2007 В верхнем меню AVZ нажимаем: Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');DeleteFile('C:\WINDOWS\system32:lzx32.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('PE386');BC_Activate;RebootWindows(true);end. Запускаем с помощью соответствующей кнопки ("Запустить"). Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить. После перезагрузки всё в системе должно наладиться. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.