Как победить их?

[fufgjd]

Зашел на один сайт про авто и антивирус сразу же стал о чём то меня информировать, я сразу не понял и не придал этому значение .потом после разъединения я проскандировал комп и он мне выдал что в компе находятся вирусы, и я их как бы удалил т.е то что предложил антивирус то я и удалил . вроде успокоился и продолжил работать дальше но вот при перегрузки стали появляться окна. вот первое

я нажал "ОК" т.к предлагается удалить , и появилось второе окно ,вот оно

нажимаю на закрывание оно пропадает и они больше не появляются пока не перезагружу или снова не включу комп .

сильных глюков компа не заметил пока ,но всё-таки хочется знать что это и как его совсем удалить ,пробовал найти этот файл в поисковике не получилось .

подскажите что это и вредно ли ОНО для компа .

[fufgjd]

ДОБРЫЙ ВЕЧЕР!вот скопировал как велели;

и вот

avz_sysinfo.xml

если можно то объясните как вылечить это то что у меня в компе . :)

avz_sysinfo.xml

[ser208]

Лог HijackThis в виде картинки вообще не читаем. Надо было прикрепить текстовый файл, который создается при сканировании.

Отчет AVZ аналогично :(

Изменено 26 сентября, 2007 пользователем ser208

[fufgjd]

хорошо а вот так

-------------------------------------------------------------

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 26.09.2007 21:24:24

Загружена база: 125002 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 30.08.2007 14:15

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 62028

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [EDBA416D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [EDBA3FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 29

c:\docume~1\МТС\locals~1\temp\winlogon.exe >>> подозрение на Trojan.Win32.Agent.ayf ( 12C5A4A3 0C2AE03F 000A1365 0026D3A5 33280)

Количество загруженных модулей: 315

Проверка памяти завершена

3. Сканирование дисков

C:\WINDOWS\system32\DefLib.sys >>>>> Trojan.Win32.Agent.asu

C:\Documents and Settings\мтс\Local Settings\Temp\winlogon.exe >>> подозрение на Trojan.Win32.Agent.ayf ( 12C5A4A3 0C2AE03F 000A1365 0026D3A5 33280)

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0000010.sys >>>>> Trojan.Win32.Agent.asu

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0000031.sys >>>>> Trojan.Win32.Agent.asu

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0000042.sys >>>>> Trojan.Win32.Agent.asu

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0000053.sys >>>>> Trojan.Win32.Agent.asu

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0001053.sys >>>>> Trojan.Win32.Agent.asu

C:\System Volume Information\_restore{BE5781E6-D079-43D4-BC28-46D5A0C23725}\RP1\A0001064.sys >>>>> Trojan.Win32.Agent.asu

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> разрешена потенциально опасная служба TermService (Службы терминалов)

>> разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

Просканировано файлов: 75409, извлечено из архивов: 60888, найдено вредоносных программ 7, подозрений - 2

Сканирование завершено в 26.09.2007 21:31:53

Сканирование длилось 00:07:29

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

---------------------------------------------------------------------------------------------------------------

и вот ещё

--------------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 22:43:44, on 26.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe

C:\Program Files\Lock-For-File\Lock-For-File.exe

C:\WINDOWS\system32\atwtusb.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\DOCUME~1\МТС\LOCALS~1\Temp\winlogon.exe

c:\program files\panda software\panda antivirus 2007\WebProxy.exe

C:\Documents and Settings\мтс\Мои документы\АНТИ\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LFF] C:\Program Files\Lock-For-File\Lock-For-File.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\МТС\LOCALS~1\Temp\winlogon.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

[ser208]

Так лучше, но нужно вот так:

(скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis).

[Saule]

и вот ещё

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и ставим галочки напртив следующих строк:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\МТС\LOCALS~1\Temp\winlogon.exe

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

Затем нажимаем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Теперь открываем AVZ и нажимаем в его верхнем меню:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\Documents and Settings\мтс\Local Settings\Temp\winlogon.exe

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое сразу же делаем со следующей строкой:

C:\WINDOWS\system32\DefLib.sys

3. И затем перезагружаем компьютер.

Если после этого что-то вдруг будет еще беспокоить, то необходимо сделать "Исследование системы" с помощью AVZ (так, как это было описано в первом посте этого топика и как уже написал ser208: т.е. в верхнем меню программы: Файл > Исследование системы).

[fufgjd]

спасибо попробую.

[fufgjd]

теперь вроде бы не беспокоит.спасибо всем .

[sollar_valley]

здравствуйте, вот я уже три дня подрят проверяю комп на вирусы..и каждый день он находит новый=(((((

можете посмотреть(напишите мне как для тупой блондинки) плиzzzz....

avz_log.txt

avz_log.txt

[Pili]

sollar_valley: не надо дублировать темы. лог не тот

1. Cкачайте утилиту CureIT и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.

2. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

3 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Если выложить здесь не получится, выложите логи на файлообменник (напр ifolder.ru), ссылку скиньте сюда или в ПМ