valet2valet Posted November 18, 2007 Report Share Posted November 18, 2007 На компе стоит 2 системы:XP и Vista. Из под Висты сканирую Авастом раздел с ХР.В pagefile.sys находит пару троянов , которые успешно удаляються вместе с файлом подкачки. Затем сканирую новый pagefile.sys и обнаруживает уже это: Civil Defense-6672. При создании нового pagefile.sys вирус сразу же появляеться снова. Помогите избавиться! И подскажите откуда эта гадость взялась! Плиз! На Windows XP стоит антивирус NOD32. Пожалуй сменю :) Прилагаю скрин Link to comment Share on other sites More sharing options...
456 Posted November 18, 2007 Report Share Posted November 18, 2007 valet2valet Логи согласно правилам . http://www.softboard.ru/index.php?showtopic=47174 И Cureit http://www.freedrweb.com/cureit/?lng=ru Link to comment Share on other sites More sharing options...
valet2valet Posted November 18, 2007 Author Report Share Posted November 18, 2007 Logfile of HijackThis v1.99.1 Scan saved at 19:57:08, on 18.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32krn.exe C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\VisualTaskTips\VisualTaskTips.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Opera 9\Opera.exe D:\СОФТ\Антивирусы\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: IEPlusBHO Class - {045E075D-9C55-42F5-81C2-67D4A26F39AC} - C:\Program Files\shendoo\IEPlus\IEPlus.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\ O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: VisualTaskTips.lnk = C:\Program Files\VisualTaskTips\VisualTaskTips.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: IEPlus - {5DCA74AE-D95E-425E-8F00-269575536490} - C:\Program Files\shendoo\IEPlus\IEPlus.dll O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partn...can_unicode.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - O17 - HKLM\System\CCS\Services\Tcpip\..\{6FF93DAA-AD79-4E9B-A1D7-19BDD1DD8155}: NameServer = 62.33.85.1 10.10.1.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe Лог AVZ прилагаю Link to comment Share on other sites More sharing options...
valet2valet Posted November 19, 2007 Author Report Share Posted November 19, 2007 Cureit и Касперский Он-лайн ничего не находят.Незнаю что и делать :blushing: Link to comment Share on other sites More sharing options...
rubin-VInfo Posted November 19, 2007 Report Share Posted November 19, 2007 1. Выполните скрипт в AVZ: beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');QuarantineFile('c:\windows\system32\winlogon.exe','');BC_ImportQuarantineList;BC_QrFile('C:\WINDOWS\system32\ntkrnlpa.exe');BC_QrFile('c:\windows\system32\winlogon.exe');BC_Activate;RebootWindows(true);end. 2. Затем выполните скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В папке AVZ появится архив quarantine.zip - залейте его на slil.ru, а ссылку киньте... похоже файлы патченные Link to comment Share on other sites More sharing options...
456 Posted November 19, 2007 Report Share Posted November 19, 2007 valet2valet 1.4 Поиск маскировки процессов и драйверовПроверка не производится, так как не установлен драйвер мониторинга AVZPM Установите . Link to comment Share on other sites More sharing options...
valet2valet Posted November 19, 2007 Author Report Share Posted November 19, 2007 rubin-VInfo Всё сделал. Вот ссылка на архив: Link to comment Share on other sites More sharing options...
valet2valet Posted November 19, 2007 Author Report Share Posted November 19, 2007 456: Не могу добавить файл с новым логом потому что вот:Прикрепление файлов Максимально допустимый объем всех файлов: 206,22 килобайт 456: Не могу добавить файл с новым логом потому что вот:Прикрепление файлов Максимально допустимый объем всех файлов: 206,22 килобайт 456: Не могу добавить файл с новым логом потому что вот: Прикрепление файловМаксимально допустимый объем всех файлов: 206,22 килобайт А размер файла больше. Link to comment Share on other sites More sharing options...
valet2valet Posted November 20, 2007 Author Report Share Posted November 20, 2007 Так что же мне делать с этим Civil Defense-6672? Пусть живёт что ли? Жду совета и помощи. Link to comment Share on other sites More sharing options...
456 Posted November 20, 2007 Report Share Posted November 20, 2007 Максимально допустимый объем всех файлов: 206,22 килобайт У вас кончается квота . Удалите какое нибудь вложение (см. в профиле). Либо попросите администатора увеличить квоту . :greedy: Можно попробовать отключить файл подкачки . Просканировать . Удалить Система - Быстродействие - Дополнительно -Виртуальная память - Задать " Без файла подкачки ".Перезагрузиться . Включить файл подкачки . Но лог нужен . . Link to comment Share on other sites More sharing options...
valet2valet Posted November 20, 2007 Author Report Share Posted November 20, 2007 Но лог нужен Прилагаю новый лог AVZ: Link to comment Share on other sites More sharing options...
valet2valet Posted November 20, 2007 Author Report Share Posted November 20, 2007 Вот новый лог AVZ: Link to comment Share on other sites More sharing options...
456 Posted November 21, 2007 Report Share Posted November 21, 2007 Autorun .inf - в карантин . Скрипт . begin ExecuteRepair(1); ExecuteRepair(6); QuarantineFile('C:\autorun.inf',''); end. И скиньнте на slil.ru Link to comment Share on other sites More sharing options...
valet2valet Posted November 22, 2007 Author Report Share Posted November 22, 2007 456: Сделал. Вот ссылка на архив: http://slil.ru/25133256 Link to comment Share on other sites More sharing options...
456 Posted November 22, 2007 Report Share Posted November 22, 2007 Чистый . :bye1: "[autorun] icon=vista.ico" Link to comment Share on other sites More sharing options...
valet2valet Posted November 23, 2007 Author Report Share Posted November 23, 2007 Всем спасибо! Вируса больше нет. Link to comment Share on other sites More sharing options...
Recommended Posts