Wu-Tang Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 А собственно меня настараживает: HKEY_LOCAL_MACHINE\SOFTWARE\WinSock2\Drwhook Provider\ffffffff-ffff-ffff-ffff-ffffffffffff Что за ключ не пойму. Тему, конечно, не хотелось лепить из-за этого, но раз в правилах это есть, пришлось. Логи в аттаче: Reports.rar Reports.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 (изменено) С Winsock у тебя все в порядке. Контролирует Dr.Web. Есть ли у тебя похожие программы? Adware Hitman, Consumer Identity, Protect Your Identity, SpyBan, SpywareAssassin, Spyware C.O.P., SpywareKilla, The Adware Hunter, TheSpywareKiller, а теперь еще и TrojanHunter В Hijack пофикси эту строку O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Изменено 23 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 24 октября, 2007 Автор Жалоба Поделиться Опубликовано 24 октября, 2007 (изменено) ser208: Есть только Доктор. И все что фиксить? Изменено 24 октября, 2007 пользователем Wu-Tang Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 24 октября, 2007 Жалоба Поделиться Опубликовано 24 октября, 2007 И все что фиксить? А ты не рад? \??\C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp У тебя в логе есть такой файл. Помыкавшись в поиске, нашел инфу, что он принадлежит этим программам, что я тебе написал. Это по сути одна псевдоантивирусная утилита под разными названиями и написанная одним человеком. Этот процесс скрыт и возникает ненадолго, и что он делает, чем занимается -- неясно. Поэтому я спрашиваю про эти программы. Неясно, откуда он запускается. Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 24 октября, 2007 Автор Жалоба Поделиться Опубликовано 24 октября, 2007 ser208: Да я просто смотрю у людей всегда это, это, это, а тут только один баг, вот и удивился. Кроме Доктора и Outpost-a ничего нет! hijackthis.rar hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 15 января, 2008 Автор Жалоба Поделиться Опубликовано 15 января, 2008 (изменено) Привет. Схватил какую-то бяку, даже Outpost не запускается, так что по-быстрому... Знаю, что это amvo.exe Сейчас сканю Доктором. Вот лог: hijackthis.zip Поудалял кое-что, теперь при клике по локальному диску, выскакивает окно выбора программы для открытия, чушь какая-то, что делать? hijackthis.zip Изменено 15 января, 2008 пользователем Wu-Tang Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 15 января, 2008 Жалоба Поделиться Опубликовано 15 января, 2008 Wu-Tang: - Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. - Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки. - Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 15 января, 2008 Автор Жалоба Поделиться Опубликовано 15 января, 2008 Pili: Вот: LOG.zip LOG.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 15 января, 2008 Жалоба Поделиться Опубликовано 15 января, 2008 (изменено) В меню АVZ - файл - выполнить скрипт - скопировать скрипт ниже и запустить его beginSetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('c:\program files\supercopier2\supercopier2.exe',''); QuarantineFile('C:\Program Files\SuperCopier2\SC2Hook.dll',''); QuarantineFile('D:\Soft\PrintScreenChecker\PrintScreenChecker.exe',''); QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll',''); QuarantineFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp',''); QuarantineFile('c:\program files\atomic alarm clock\atomicalarmclock.exe',''); DeleteFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp'); BC_DeleteFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp'); BC_QrSvc('ASWFilt'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на негочерез ПМ Spyware Doctor не был установлен? Возможно у вас конфликт оутпоста с какими то установленными программами (напр. др. вебом, PrintScreenChecker, SuperCopier2). MegaUpload Toolbar рекомендуется деинсталлировать Изменено 15 января, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 15 января, 2008 Автор Жалоба Поделиться Опубликовано 15 января, 2008 (изменено) Pili: Я что-то не пойму, причем здесь конфликт, у меня после удаления Доктором троя, локальные диски не открываются! А конфликтов никаких нет! Spyware Doctor установлен не был. quarantine.zip quarantine.zip Изменено 15 января, 2008 пользователем Wu-Tang Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 января, 2008 Жалоба Поделиться Опубликовано 16 января, 2008 После удаления вируса не открываются диски в "Моем компьютере" 9. Мастер поиска и устранения проблем >> Таймаут завершения служб находится за пределами допустимых значений Выполните скрипт varX : integer; begin X := ExecuteWizard('TSW', 1, 1, true); AddToLog('Количество найденных проблем = '+inttostr(X)); end. Или, вместо выполнения этого скрипта, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы. Файлы пока анализируются. Сделайте новые логи virusinfo_syscheck.zip, hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 16 января, 2008 Автор Жалоба Поделиться Опубликовано 16 января, 2008 Pili: Все вылечил сам-вирь создал на каждом диске файл autorun.inf, удалил их и все встало на свои места! Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 января, 2008 Жалоба Поделиться Опубликовано 16 января, 2008 Wu-Tang: удаление autorun.inf это не способ лечения, вы удаляете файл, но то, прописано в autorun.inf скорее всего уже успело запустится пришел ответ из ЛК Здравствуйте.В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь. правда не написано каких файлов в карантине было C:\Program Files\SuperCopier2\SC2Hook.dll D:\Soft\PrintScreenChecker\PrintScreenChecker.exe C:\WINDOWS\system32\Filt\ASWFilt.dll c:\program files\atomic alarm clock\atomicalarmclock.exe поэтому или деинсталлируете из этого, что деинсталлируется и повторяете логи, я напишу скрипт удаления того, что осталсоь, или ставите касперского, обновляете базы и лечитесь можете воспользоваться утилитой AVPTool рекомендую повторить логи Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 18 января, 2008 Автор Жалоба Поделиться Опубликовано 18 января, 2008 Pili: Я касперскому не доверяю. Проверил эти файлы Доктором-он ничего не сказал! Или вот: C:\Program Files\SuperCopier2\SC2Hook. D:\Soft\PrintScreenChecker\PrintScreenChecker.exe C:\WINDOWS\system32\Filt\ASWFilt.dll c:\program files\atomic alarm clock\atomicalarmclock.exe Я думаю убедительно! Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 18 января, 2008 Жалоба Поделиться Опубликовано 18 января, 2008 (изменено) Wu-Tang: да, я дополнительно послал запрос в ЛК об уточнении. вот только что пришел ответ Предыдущее письмо предназначалось другому адресату.Приносим извинения за доставленные неудобства. avz00002.dta, avz00003.dta, avz00004.dta, avz00005.dta Вредоносный код в файлах не обнаружен. Изменено 18 января, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 18 января, 2008 Автор Жалоба Поделиться Опубликовано 18 января, 2008 Pili: Спасибо. Вот только что решил проверить-открыл скрытые системные файлы и в system32 нашел и снес, конечно, к чертовой матери, опять эти файлы: amvo0.dll0 и amvo1.dll! Компьютер работал нормально, откуда они могли взяться, не пойму! Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 18 января, 2008 Жалоба Поделиться Опубликовано 18 января, 2008 Wu-Tang: cureit уже должен знать об этом вирусе, выполните пожалуйста пункты из поста 7 заново Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 18 января, 2008 Автор Жалоба Поделиться Опубликовано 18 января, 2008 Pili: А именно в save mode? Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 18 января, 2008 Автор Жалоба Поделиться Опубликовано 18 января, 2008 Pili: log.zip log.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 19 января, 2008 Жалоба Поделиться Опубликовано 19 января, 2008 (изменено) Logfile of HijackThis v1.99.1 - скачайте новую версию! Выполните скрипт в AVZ beginSetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\Program Files\WWW File Share Pro\wfsp.chm',''); QuarantineFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp',''); QuarantineFile('c:\program files\cdslow\cdslow.exe',''); BC_QrFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp'); DeleteFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp'); BC_DeleteFile('C:\DOCUME~1\2PAC~1\LOCALS~1\Temp\mc21.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ и ещё скрипт varX : integer; begin X := ExecuteWizard('TSW', 1, 1, true); AddToLog('Количество найденных проблем = '+inttostr(X)); end. Или, вместо выполнения этого скрипта, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы. повторите логи virusinfo_syscheck.zip, hijackthis.zip Изменено 19 января, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти