Vitas_bel Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 Logfile of HijackThis v1.99.1 Scan saved at 23:05:41, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Creative\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\TaskSwitch.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\Program Files\Punto Switcher\ps.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Maxthon\Maxthon.exe C:\DOCUME~1\VitaS\LOCALS~1\Temp\Rar$EX00.516\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://top.wcad.cn). и начинает что-то усиленно качать, при этом играет какая-то мелодия(из инета), нашел 2 файла с именем iexplore.exe, AVp 6.0. ни один за вирус не принемает, поэтому тот что был в system32 я удалил(он лежит в карзине, могу востановить). После этого проверился ewido online - все подозрительные объекты были удалены. Проблема осталась!!! 2) Странная работа принтера: - в разделе принтеры и факсы принтеров нет - нажимаю установка принтера ошибка "невозможно завершить операцию подсистема печати недоступна" - перезагружаю комп, все работает, но через некоторое время все повторяется. можно это исправить без переустановки Windows? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 (изменено) Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Для работы принтера тебе нужна служба "Диспетчер очереди печати". Судя по логам она у тебя не запущена. Запусти в "Службах" и выставь в Авто. Изменено 23 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 23 октября, 2007 Автор Жалоба Поделиться Опубликовано 23 октября, 2007 Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Для работы принтера тебе нужна служба "Диспетчер очереди печати". Судя по логам она у тебя не запущена. Запусти в "Службах" и выставь в Авто. вот мой лог: avz_sysinfo.rar avz_sysinfo.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 Вынужден попросить другой лог с расширением *.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 23 октября, 2007 Автор Жалоба Поделиться Опубликовано 23 октября, 2007 Вынужден попросить другой лог с расширением *.htm 1) Вот другой: avz_sysinfo.rar 2) Диспечер очереди печати стоит в авто, но не запущен, если его запустить вручную все нормально, на через некоторое время он сам отключается, почему? avz_sysinfo.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 (изменено) Зайди в AVZ, меню Файл -- Выполнить скрипт. Скопируй код и нажми "запустить". Компьютер перезагрузится. beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Sys'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Dat'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.win');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Посмотри свойства этого файла C:\Windows\system32\klogon.dll Он должен от Касперского быть Изменено 23 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 24 октября, 2007 Автор Жалоба Поделиться Опубликовано 24 октября, 2007 Вот вчера просканировал весь комп AVZ. выдал вот такой лог: avz_log.rar Как все это грамотно пролечить или удалить?(и нужно ли...) И еще вопросик. На всех дисках(включая флэшки, в корневых каталогах), были различные троянские программы(tel.xls.exe 48 КБ; jqjdsat.exe 120.1 КБ; E:\cyvvfew.exe 120.1 КБ...) - все они были удалены, но не сразу, могли(могут) они нанести вред сотовому телефону, фотоаппарату..., можно их как-нибудь проверить? C:\Windows\system32\klogon.dll - да он от касперского. Зайди в AVZ, меню Файл -- Выполнить скрипт. Скопируй код и нажми "запустить". Компьютер перезагрузится. все проделал, вот новый лог: avz_sysinfo2.rar avz_log.rar avz_sysinfo2.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 24 октября, 2007 Жалоба Поделиться Опубликовано 24 октября, 2007 (изменено) Логи AVZ присылай с расширением *.htm тоже. Или только *.htm С флешки желательно перенести всю нужную информацию, отформатировать и перенести обратно. Проверить флешку и систему в целом Cureit Лучше в безопасном режиме. Для удаления вирусов из папки восстановления системы можно, отключил восстановление системы на всех дисках, перегрузившись и включив, если нужно на системном диске. Но только после полного лечения системы. Сотовому и фотику врядли вред будет, но зараза из этих девайсов может опять перекочевать в систему. Изменено 24 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 25 октября, 2007 Автор Жалоба Поделиться Опубликовано 25 октября, 2007 Винда в безопасном режиме не грузится, нажимаю F8 --> безопасный режим --> начинает грузиться --> потом предлогает нажать esc(если нихочу чтобы что-то загружалось) --> внезависимости от выбора комп. перезагружается и предлогает опять выбратьспособ загрузки. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 25 октября, 2007 Жалоба Поделиться Опубликовано 25 октября, 2007 В AVZ меню Файл- Восстановление системы Пункты 6, 8, 10. Пробуй. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 В AVZ меню Файл- Восстановление системы Пункты 6, 8, 10. Пробуй. Все сделал, в безопасном режиме проверился всю нечесть удалил вот новый лог avz_sysinfo3.rar Вот недавно втавил флешку, на ней куча "autorun"-как вирус определяются с расширением .reg и .~xe, (есть еще .bin .ini .wsh .srm .fcb .exe...) как определить что этот авторан пытался запустить, просто когда вставил флешку с нее как будто что-то распаковалось, avp никак не среагировал. avz_sysinfo3.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('c:\windows\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Dat'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Sys'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.win'); BC_DeleteFile('C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Выполни новый скрипт. К сожалению лечение не помогло до конца, а может с флешки заражение произошло повторно. Для авторана попробуй это http://www.bombina.com/load/anti_autorun.exe и проверь флешку CureIt тоже. Присылай логи, только флешку пока не подсоединяй. Изменено 27 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 вот лог: avz_sysinfo4.rar В папке C:\Program Files\Internet Explorer Остался еще iexplore32.new(скрытый), HMMAPI.DLL, IEXPLORE.EXE, iedw.exe avz_sysinfo4.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\iexplore32.new'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Запускай. После этого пришли лог AVZ, HijackThis и OSAM Для этого после запуска нажми кнопку Export. Если опять что-нибудь, попросим помощи Saule. Ей эти логи все равно будут нужны. Присылай. Изменено 27 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\iexplore32.new'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Запускай. После этого пришли лог AVZ, HijackThis и OSAM Для этого после запуска нажми кнопку Export. Если опять что-нибудь, попросим помощи Saule. Ей эти логи все равно будут нужны. Присылай. C:\WINDOWS\system32\umonit.exe - а я думал это полезная программа, странно что ее ни один антивирь не видит? сейчас все сделаю Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 C:\WINDOWS\system32\umonit.exe - а я думал это полезная программа, странно что ее ни один антивирь не видит? сейчас все сделаю Вот все логи: info.rar iexplore32.new - удалился C:\WINDOWS\system32\umonit.exe - остался, висит в процессах info.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) Пофикси в Hijack O4 - HKLM\..\Run: [uMonit] C:\WINDOWS\system32\umonit.exeF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [spoolsv.exe] C:\WINDOWS\system32\spoolsv.exe Откуда они берутся у тебя? Изменено 27 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 28 октября, 2007 Автор Жалоба Поделиться Опубликовано 28 октября, 2007 Пофикси в Hijack O4 - HKLM\..\Run: [uMonit] C:\WINDOWS\system32\umonit.exeF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [spoolsv.exe] C:\WINDOWS\system32\spoolsv.exe Откуда они берутся у тебя? Пофиксил, вот логи. Я сам не знаю откуда вся эта .... берется, уже в инет страшно выходить, прямо как медом помазано. info.rar info.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 28 октября, 2007 Жалоба Поделиться Опубликовано 28 октября, 2007 Вроде почище стало Антивирус пусть работает и обновляется регулярно. Что у тебя сейчас с Касперским? Зайди в AVZ меню Файл-Восстановление системы. Выполни пункты 2, 3, 4 и 6. Перегружайся. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 28 октября, 2007 Автор Жалоба Поделиться Опубликовано 28 октября, 2007 Вроде почище стало :( Антивирус пусть работает и обновляется регулярно. Что у тебя сейчас с Касперским? Зайди в AVZ меню Файл-Восстановление системы. Выполни пункты 2, 3, 4 и 6. Перегружайся. C Касперским все нормально, работает, обновляю регулярно. Спасибо за помощь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.