Архипов Никита Опубликовано 26 октября, 2007 Жалоба Поделиться Опубликовано 26 октября, 2007 Вот, попросили ноут покрутить.. началось, естественно, все с проверки обычным антивирусом... кагда в IE, никакими уговорами не менялась стартовая страничка, я задумался, потом полез в реестр, решениие проблемы нашлось в автозагрузке.... Помимо этого, там же нашлось еще много "зверей"... стал разбираться, наткнулся на этот, замечательный сайт... узнал много нового)) посканил VundoFix -сом, FxMail -ом и FxAbwiz -ом, зачем, не знаю, но они ничего не нашли))).. А теперь отправляю вам лог о том, что я натворил, и чего не доделал... Logfile of HijackThis v1.99.1 Scan saved at 22:17:45, on 23.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\DrWeb for Windows\spidernt.exe C:\WINDOWS\System32\CNAB4RPK.EXE C:\PROGRA~1\DRWEBF~1\spiderml.exe C:\windows\system32\ctfmon.exe C:\Program Files\WinRAR\WinRAR.exe C:\WINDOWS\TEMP\Rar$EX00.647\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&...1.8〈=en R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [spIDerMail] "C:\PROGRA~1\DRWEBF~1\spiderml.exe" O4 - HKLM\..\Run: [ctfmon.exe] c:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe O16 - DPF: {33331111-1111-1111-1111-611111193457} - O16 - DPF: {33331111-1111-1111-1111-611111193458} - O16 - DPF: {33331111-1111-1111-1111-622221193458} - O16 - DPF: {64311111-1111-1121-1111-111191113457} - O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\guard.tmp O23 - Service: SpIDer Guard for Windows NT (spidernt) - Daniloff's Labs - C:\Program Files\DrWeb for Windows\spidernt.exe помогите, пожалуйста.... машинка работает шустренько... но процессы типа LOGON.EXE, keyhook.exe у пользователя(не SYSTEM) меня напрягают... Ну и пользуясь случаем, было бы неплохо, если посмотрите лог моего домашнего компа... прикрепляю... hijackthis.log hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 помогите, пожалуйста.... машинка работает шустренько... но процессы типа LOGON.EXE, keyhook.exe у пользователя(не SYSTEM) меня напрягают...Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&...1.8〈=en R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe O16 - DPF: {33331111-1111-1111-1111-611111193457} - O16 - DPF: {33331111-1111-1111-1111-611111193458} - O16 - DPF: {33331111-1111-1111-1111-622221193458} - O16 - DPF: {64311111-1111-1121-1111-111191113457} - O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\guard.tmp Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Перезагружаем компьютер. 3. Удаляем файл, если такой еще будет присутствовать в вашей системе: C:\WINDOWS\system32\ guard.tmp После этого очень желательно скачать AVZ и сделать в его помощью "Исследование системы" (в верхнем меню: Файл > Исследование системы), как описано в первом посте этого топика. Так как, подозреваю, что там будет найдено еще много всего. Ну и пользуясь случаем, было бы неплохо, если посмотрите лог моего домашнего компа... прикрепляю...Тут выглядит, что всё нормально. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Архипов Никита Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 guard пофиксить не удалось, и естественно винда не дает его удалить из system32..(ни проводником, ни фаром, ни через командную строку, фиксил и пытался удалить в безопасном режиме, толку тоже не дало..) прикрепляю отчет AVZ... avz_sysinfo.htm avz_sysinfo.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Архипов Никита Опубликовано 27 октября, 2007 Автор Жалоба Поделиться Опубликовано 27 октября, 2007 Ой, ой, ой.... не совсем в тему.... но появилась большая проблема... почему-то заблокировались оч важные ф-лы... точнее не пускает в папки где эти ф-лы лежат... заблокировалось не сегодня, довольно давно, по крайней мере несколько месяцев назад... запаниковал, потому что сейчас обнаружил блокированной оч важную папку... при попытке открыть которую появляется (в проводнике) диалоговое окно с текстом "Нет доступа к E:\папка1\папка2. Отказано в доступе." Всеми доступными файловыми менеджерами и с помощью командной строки ломился туда, все едино: "Отказано в доступе"... В свойствах говорит, что папка пуста, я сначало так и подумал, но когда сканил программой AVZ винты, программа в протоколе выдала "Прямое чтение E:\папка1\папка2\*.doc"... значит файлы там все-таки лежат... Чем поковырять папку даж и не знаю... подскажите, пожалуйста... или посоветуйте куда обратиться с вопросом... буду очень признателен...))) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 октября, 2007 Жалоба Поделиться Опубликовано 27 октября, 2007 guard пофиксить не удалось, и естественно винда не дает его удалить из system32..(ни проводником, ни фаром, ни через командную строку, фиксил и пытался удалить в безопасном режиме, толку тоже не дало..)прикрепляю отчет AVZ... В верхнем меню AVZ нажимаем:Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: beginSetAVZGuardStatus(True);SearchRootkit(true, true);DeleteFile('C:\WINDOWS\system32\sparddlg.dll');DeleteFile('C:\WINDOWS\system32\guard.tmp');DeleteFile('C:\WINDOWS\system32\kvduzb.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Запускаем с помощью соответствующей кнопки (Запустить). Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить. После этого скачиваем на рабочий стол Look2Me-Destroyer.exe и запускаем. Ставим галочку рядом с надписью 'Run this program as a task'. Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute...". Нажимаем OK (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно. При повторном включении программы нажимаем на кнопку 'Scan for L2M' (рабочий стол и иконки на время исчезнут. Это нормально). Когда сканирование закончится, если что-либо будет найдено, нажимаем вторую кнопку - 'Remove L2M'. Затем ОК. И когда появится сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК. После этого компьютер выключится. Включаем его обратно и в случае, если что-либо еще будет беспокоить, делаем новый лог HijackThis и исследование системы с помощью AVZ. ___________________________________ По поводу папки, к которой заблокирован доступ - может помочь функция 'take ownership' или просто добавление себе соответствующих прав. Например, заходите в 'Properties' нужной вам папки (Свойства) > вкладка 'Security' (Безопасность) > 'Advanced' > 'Owner' > 'Replace owner on subcontainers and objects': P.S. Если у вас нет вкладки 'Security' (Безопасность), то нужно зайти в 'Folder Options' (например, через 'Control Panel': Панель управления > Свойства папки) > View (Вид) > и убрать галочку рядом с 'Use simple file sharing' (Использовать простой общий доступ к папкам). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Архипов Никита Опубликовано 28 октября, 2007 Автор Жалоба Поделиться Опубликовано 28 октября, 2007 Большое спасибо.... практически все удалось... Вы очень помогли)))... Единственное, так и не удалось посканить этой програмкой: "Look2Me-Destroyer" Т.к. планировщик задач просто не работает.... и его невозможно запустить... но это уже другая история... про кривую винду, которая установлена очень давно и английская версия, русифицированная в дальнейшем, которую я теперь не могу даже догнать до второго сервис пака... из-за разных языков... Удачи :( Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.