Vitas_bel Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 Logfile of HijackThis v1.99.1 Scan saved at 23:05:41, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Creative\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\TaskSwitch.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\Program Files\Punto Switcher\ps.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Maxthon\Maxthon.exe C:\DOCUME~1\VitaS\LOCALS~1\Temp\Rar$EX00.516\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://top.wcad.cn). и начинает что-то усиленно качать, при этом играет какая-то мелодия(из инета), нашел 2 файла с именем iexplore.exe, AVp 6.0. ни один за вирус не принемает, поэтому тот что был в system32 я удалил(он лежит в карзине, могу востановить). После этого проверился ewido online - все подозрительные объекты были удалены. Проблема осталась!!! 2) Странная работа принтера: - в разделе принтеры и факсы принтеров нет - нажимаю установка принтера ошибка "невозможно завершить операцию подсистема печати недоступна" - перезагружаю комп, все работает, но через некоторое время все повторяется. можно это исправить без переустановки Windows? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 (изменено) Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Для работы принтера тебе нужна служба "Диспетчер очереди печати". Судя по логам она у тебя не запущена. Запусти в "Службах" и выставь в Авто. Изменено 23 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 23 октября, 2007 Автор Жалоба Поделиться Опубликовано 23 октября, 2007 ser208 сказал: Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Для работы принтера тебе нужна служба "Диспетчер очереди печати". Судя по логам она у тебя не запущена. Запусти в "Службах" и выставь в Авто. вот мой лог: avz_sysinfo.rarПолучение информации... avz_sysinfo.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 Вынужден попросить другой лог с расширением *.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 23 октября, 2007 Автор Жалоба Поделиться Опубликовано 23 октября, 2007 ser208 сказал: Вынужден попросить другой лог с расширением *.htm 1) Вот другой: avz_sysinfo.rarПолучение информации... 2) Диспечер очереди печати стоит в авто, но не запущен, если его запустить вручную все нормально, на через некоторое время он сам отключается, почему? avz_sysinfo.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 23 октября, 2007 Жалоба Поделиться Опубликовано 23 октября, 2007 (изменено) Зайди в AVZ, меню Файл -- Выполнить скрипт. Скопируй код и нажми "запустить". Компьютер перезагрузится. beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Sys'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Dat'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.win');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Посмотри свойства этого файла C:\Windows\system32\klogon.dll Он должен от Касперского быть Изменено 23 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 24 октября, 2007 Автор Жалоба Поделиться Опубликовано 24 октября, 2007 Вот вчера просканировал весь комп AVZ. выдал вот такой лог: avz_log.rarПолучение информации... Как все это грамотно пролечить или удалить?(и нужно ли...) И еще вопросик. На всех дисках(включая флэшки, в корневых каталогах), были различные троянские программы(tel.xls.exe 48 КБ; jqjdsat.exe 120.1 КБ; E:\cyvvfew.exe 120.1 КБ...) - все они были удалены, но не сразу, могли(могут) они нанести вред сотовому телефону, фотоаппарату..., можно их как-нибудь проверить? C:\Windows\system32\klogon.dll - да он от касперского. ser208 сказал: Зайди в AVZ, меню Файл -- Выполнить скрипт. Скопируй код и нажми "запустить". Компьютер перезагрузится. все проделал, вот новый лог: avz_sysinfo2.rarПолучение информации... avz_log.rarПолучение информации... avz_sysinfo2.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 24 октября, 2007 Жалоба Поделиться Опубликовано 24 октября, 2007 (изменено) Логи AVZ присылай с расширением *.htm тоже. Или только *.htm С флешки желательно перенести всю нужную информацию, отформатировать и перенести обратно. Проверить флешку и систему в целом Cureit Лучше в безопасном режиме. Для удаления вирусов из папки восстановления системы можно, отключил восстановление системы на всех дисках, перегрузившись и включив, если нужно на системном диске. Но только после полного лечения системы. Сотовому и фотику врядли вред будет, но зараза из этих девайсов может опять перекочевать в систему. Изменено 24 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 25 октября, 2007 Автор Жалоба Поделиться Опубликовано 25 октября, 2007 Винда в безопасном режиме не грузится, нажимаю F8 --> безопасный режим --> начинает грузиться --> потом предлогает нажать esc(если нихочу чтобы что-то загружалось) --> внезависимости от выбора комп. перезагружается и предлогает опять выбратьспособ загрузки. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 25 октября, 2007 Жалоба Поделиться Опубликовано 25 октября, 2007 В AVZ меню Файл- Восстановление системы Пункты 6, 8, 10. Пробуй. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 ser208 сказал: В AVZ меню Файл- Восстановление системы Пункты 6, 8, 10. Пробуй. Все сделал, в безопасном режиме проверился всю нечесть удалил вот новый лог avz_sysinfo3.rarПолучение информации... Вот недавно втавил флешку, на ней куча "autorun"-как вирус определяются с расширением .reg и .~xe, (есть еще .bin .ini .wsh .srm .fcb .exe...) как определить что этот авторан пытался запустить, просто когда вставил флешку с нее как будто что-то распаковалось, avp никак не среагировал. avz_sysinfo3.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('c:\windows\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Dat'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.Sys'); BC_DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE32.win'); BC_DeleteFile('C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Выполни новый скрипт. К сожалению лечение не помогло до конца, а может с флешки заражение произошло повторно. Для авторана попробуй это http://www.bombina.com/load/anti_autorun.exe и проверь флешку CureIt тоже. Присылай логи, только флешку пока не подсоединяй. Изменено 27 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 вот лог: avz_sysinfo4.rarПолучение информации... В папке C:\Program Files\Internet Explorer Остался еще iexplore32.new(скрытый), HMMAPI.DLL, IEXPLORE.EXE, iedw.exe avz_sysinfo4.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\iexplore32.new'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Запускай. После этого пришли лог AVZ, HijackThis и OSAM Для этого после запуска нажми кнопку Export. Если опять что-нибудь, попросим помощи Saule. Ей эти логи все равно будут нужны. Присылай. Изменено 27 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 ser208 сказал: begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\umonit.exe'); BC_DeleteFile('C:\Program Files\Internet Explorer\iexplore32.new'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Запускай. После этого пришли лог AVZ, HijackThis и OSAM Для этого после запуска нажми кнопку Export. Если опять что-нибудь, попросим помощи Saule. Ей эти логи все равно будут нужны. Присылай. C:\WINDOWS\system32\umonit.exe - а я думал это полезная программа, странно что ее ни один антивирь не видит? сейчас все сделаю Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 Vitas_bel сказал: C:\WINDOWS\system32\umonit.exe - а я думал это полезная программа, странно что ее ни один антивирь не видит? сейчас все сделаю Вот все логи: info.rarПолучение информации... iexplore32.new - удалился C:\WINDOWS\system32\umonit.exe - остался, висит в процессах info.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 (изменено) Пофикси в Hijack O4 - HKLM\..\Run: [uMonit] C:\WINDOWS\system32\umonit.exeF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [spoolsv.exe] C:\WINDOWS\system32\spoolsv.exe Откуда они берутся у тебя? Изменено 27 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 28 октября, 2007 Автор Жалоба Поделиться Опубликовано 28 октября, 2007 ser208 сказал: Пофикси в Hijack O4 - HKLM\..\Run: [uMonit] C:\WINDOWS\system32\umonit.exeF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [spoolsv.exe] C:\WINDOWS\system32\spoolsv.exe Откуда они берутся у тебя? Пофиксил, вот логи. Я сам не знаю откуда вся эта .... берется, уже в инет страшно выходить, прямо как медом помазано. info.rarПолучение информации... info.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 28 октября, 2007 Жалоба Поделиться Опубликовано 28 октября, 2007 Вроде почище стало Антивирус пусть работает и обновляется регулярно. Что у тебя сейчас с Касперским? Зайди в AVZ меню Файл-Восстановление системы. Выполни пункты 2, 3, 4 и 6. Перегружайся. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vitas_bel Опубликовано 28 октября, 2007 Автор Жалоба Поделиться Опубликовано 28 октября, 2007 ser208 сказал: Вроде почище стало :( Антивирус пусть работает и обновляется регулярно. Что у тебя сейчас с Касперским? Зайди в AVZ меню Файл-Восстановление системы. Выполни пункты 2, 3, 4 и 6. Перегружайся. C Касперским все нормально, работает, обновляю регулярно. Спасибо за помощь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти