Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Троян испортил систему. как исправить?


Рекомендуемые сообщения

Вчера словила троян. семантек ругался на trojan.peacomm. сам удалить его немог. по инструкции самого же семантека пыталась удалить. глюки остались: а именно - отвалился диспетчер задач, при переходе между папками постоянно вылезает сообщение о трояне и о том, что рекоментовано скачать вот это вто защитное приложение (естессно с отсылкой на файл экзешный), семантек находит трояны пачками, не может удалить, требует перезагрузки. Файлы на которые он указывает (темпы и тмпы инет) вообще не отображаются. В реестре в run никаких подозрительных файлов не нашла, хотя в описании вируса говорится, что он шифруется или что- то вроде того.

путем многих включений/выключений, блокирований, безопасных режимов и еще не знаю чего. вроде удалила. диспетчер запустила принудительно через реджедит. семантек больше ничего не находит. однако при запуске системы очень очень быстро запускаются 2 досовских окна и так же быстро исчезают, в этот момент мигает подключение к сети.... думаю идет какая-то подкачка что ли...

и все время во время переходов по папкам или не дай бог в иэксплорере вылезает это дурацкое окно. Чем я только его не искала. не знаю что это и как убрать.

пишет: your system was infected by dangerous trojan. Note: your critical files can be lost. Click OK to download the antimalware application to clean your system (recommended). при открытие инет файлов - выпрыгивает по неск. раз. и еще. иэксплорер открывается не с первого раза

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\system32\drivers\spools.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

D:\Program Files\Winamp\winampa.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\rundll32.exe

D:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [spybotDeletingA5444] command /c del "C:\WINDOWS\system32\hgGyawuv.dll_old"

O4 - HKLM\..\RunOnce: [spybotDeletingC8061] cmd /c del "C:\WINDOWS\system32\hgGyawuv.dll_old"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [spybotDeletingB7302] command /c del "C:\WINDOWS\system32\hgGyawuv.dll_old"

O4 - HKCU\..\RunOnce: [spybotDeletingD7617] cmd /c del "C:\WINDOWS\system32\hgGyawuv.dll_old"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM

O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O21 - SSODL: qdnkewfa - {A9690AFC-C1B3-4CF2-B6E2-87CEF1D55A85} - C:\WINDOWS\qdnkewfa.dll

O21 - SSODL: mgsvflkw - {2F80B8E6-545C-4306-ADF8-70A431AC5B1D} - C:\WINDOWS\mgsvflkw.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Монитор описаний Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: SavRoam SavRoam AntiVirus (SavRoam AntiVirus) - symantec - (no file)

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

чтож мне делать? неужели придется винду сносить?

Ссылка на комментарий
Поделиться на другие сайты

ptirex: Выполните пожалуйста рекомендации из этого поста, так будет понятнее и легче помочь Вам избавиться от заразы.

Ссылка на комментарий
Поделиться на другие сайты

вроде выполнила. есть пару "но". AVZ не смог обновит базы. я не смогла вырубить пару процессов

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\mgsvflkw.dll','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');QuarantineFile('D:\ie_updates3r.exe','');QuarantineFile('C:\WINDOWS\system32\pmnoPfCv.dll','');QuarantineFile('C:\WINDOWS\system32\opnkICvu.dll','');QuarantineFile('C:\WINDOWS\sofos32x.dll','');QuarantineFile('C:\WINDOWS\qdnkewfa.dll','');DeleteFile('C:\WINDOWS\qdnkewfa.dll');DeleteFile('D:\ie_updates3r.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Gko50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jnr15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Otx04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Vae50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wbf48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Xcg26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Xcg72.sys');DeleteFile('C:\WINDOWS\mgsvflkw.dll');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('WLCtrl32.dll');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');BC_ImportAll;BC_DeleteSvc('Xcg72');BC_DeleteSvc('Xcg26');BC_DeleteSvc('WDICA');BC_DeleteSvc('Wbf48');BC_DeleteSvc('ViaIde');BC_DeleteSvc('Otx04');BC_DeleteSvc('Jnr15');BC_DeleteSvc('Gko50');BC_DeleteSvc('Google Online Services');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantineSFptirex.zip');end.

Пришлите файл quarantineSFptirex.zip из папки с AVZ на адрес 54712@rambler.ru

Сделайте все логи заново и выложите.

Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\mgsvflkw.dll','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');QuarantineFile('D:\ie_updates3r.exe','');QuarantineFile('C:\WINDOWS\system32\pmnoPfCv.dll','');QuarantineFile('C:\WINDOWS\system32\opnkICvu.dll','');QuarantineFile('C:\WINDOWS\sofos32x.dll','');QuarantineFile('C:\WINDOWS\qdnkewfa.dll','');DeleteFile('C:\WINDOWS\qdnkewfa.dll');DeleteFile('D:\ie_updates3r.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Gko50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jnr15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Otx04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Vae50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wbf48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Xcg26.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Xcg72.sys');DeleteFile('C:\WINDOWS\mgsvflkw.dll');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('WLCtrl32.dll');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');BC_ImportAll;BC_DeleteSvc('Xcg72');BC_DeleteSvc('Xcg26');BC_DeleteSvc('WDICA');BC_DeleteSvc('Wbf48');BC_DeleteSvc('ViaIde');BC_DeleteSvc('Otx04');BC_DeleteSvc('Jnr15');BC_DeleteSvc('Gko50');BC_DeleteSvc('Google Online Services');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantineSFptirex.zip');end.

Пришлите файл quarantineSFptirex.zip из папки с AVZ на адрес 54712@rambler.ru

Сделайте все логи заново и выложите.

вроде все сделала

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Есть подозрительные. Выполните в АВЗ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\system32\cbXPfEUn.dll','');QuarantineFile('C:\WINDOWS\system32\pmnoPfCv.dll','');QuarantineFile('C:\WINDOWS\sofos32x.dll','');QuarantineFile('C:\WINDOWS\system32\opnkICvu.dll','');QuarantineFile('C:\WINDOWS\system32\iifdbXpP.dll','');QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');BC_ImportAll;BC_Activate;RebootWindows(true);end.

Затем

beginCreateQurantineArchive(GetAVZDirectory+'quarantineSFptirex.zip');end.

Пришлите файл quarantineSFptirex.zip из папки с AVZ на адрес 54712@rambler.ru

Как система поживает?

Ссылка на комментарий
Поделиться на другие сайты

ptirex, простите не сразу проанализировал присланный крантин. Вместо первого скрипта выполните этот

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{A43E962A-0E03-4D05-AE27-3F3C2A614D89}');DelBHO('{02715E47-5A8E-495B-8F63-0D30470B8E72}');DelBHO('{73776361-F206-4A50-9687-801C6FE9BA31}');QuarantineFile('C:\WINDOWS\system32\cbXPfEUn.dll','');QuarantineFile('C:\WINDOWS\system32\iifdbXpP.dll','');QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');DeleteFile('C:\WINDOWS\sofos32x.dll');DeleteFile('C:\WINDOWS\system32\pmnoPfCv.dll');DeleteFile('C:\WINDOWS\system32\opnkICvu.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Дальше действуйте как написал ранее.

Спасибо за понимание

Ссылка на комментарий
Поделиться на другие сайты

Спасибо большое. после последнего скрипта вроде все нормально пошло. Это дурацкое сообщение больше не выскакиевает. Я уже было отчаялась. Еще раз огромное спасибо.

А что ж такое это было? как мне поступать если повторится? как предотвратить?

Ссылка на комментарий
Поделиться на другие сайты

как предотвратить?

Дополнительная (вроде) защита, и на форуме это кажется говорилось-не входить в систему с правами администратора, а сделать для себя отдельную учетную запись(без прав администратора). Думаю ничего не напутал. Правда сказать, сам так до сих пор себе не сделал.

Ссылка на комментарий
Поделиться на другие сайты

А что ж такое это было? как мне поступать если повторится? как предотвратить?

Желательно сменить браузер на Файрфокс или Оперу, а также поставить файрвол (например, Аутпост), если не установлен.

Ссылка на комментарий
Поделиться на другие сайты

sofos32x.dll,pmnoPfCv.dll, opnkICvu.dll и WLCtrl32.dll - это загрузчики, которые приводили нехороших к Вам нехороших.

Gko50.sys, Jnr15.sys, Otx04.sys, Vae50.sys, Wbf48.sys, Xcg26.sys, Xcg72.sys - руткиты. В общем всяко разно.

Выполните в АВЗ такой скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{A43E962A-0E03-4D05-AE27-3F3C2A614D89}');DelBHO('{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}');QuarantineFile('C:\WINDOWS\system32\opnkICvu.dll','');QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');DelBHO('{E0A042B6-288D-4F4C-852B-56FEC348BB11}');DeleteFile('C:\WINDOWS\system32\iifdbXpP.dll');DeleteFile('C:\WINDOWS\system32\luapvs.dll');DeleteFile('C:\WINDOWS\system32\opnkICvu.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Сделайте все логи (АВЗ и HJT) заново и выложите. Посмотрим, что там.

Как диспетчер задач, редактор реестра - открываются без проблем?

Что бы немного обезапосатися, будет полезно почитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Ссылка на комментарий
Поделиться на другие сайты

Извиняюсь, что пропала. Понедельник - бурный рабочий день.

С реестром и диспетчером вроде все нормально. Есть пару "но": при подвисании IE отваливается эксплорер, чего раньше не было. приходится запускать его принудительно через диспетчера. Семантек упорно находит по вирусу... например недавно нашел какой-то троян. киллав или нечто вроде. хотя говорит, что успешно с ними справляется. вот выкладываю файлы.

Спасибо за совет. кингу почитаю, но слегка попозже. совсем сейчас нет ни минутки свободной. может мне какой другой антивир щаз поставить? семантек откровенно разочаровал.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Ссылка на комментарий
Поделиться на другие сайты

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

O2 - BHO: (no name) - {01C13C8B-D1BC-472A-8D0F-E5EFE8D12E5B} - C:\WINDOWS\system32\cbXPfEUn.dll (file missing)O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\pmnoPfCv.dll (file missing)O2 - BHO: (no name) - {23BFE488-93DD-4542-975B-C41208B1BAAA} - C:\WINDOWS\system32\iifdbXpP.dll (file missing)O2 - BHO: (no name) - {CADB5E0F-0223-A58F-D6EF-326223BC90CA} - (no file)O20 - Winlogon Notify: pmnoPfCv - pmnoPfCv.dll (file missing)O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\ 

Выполнените не перезагружая компьютер

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{5FE0F28D-9B29-44E5-BF03-EDD6CD550615}');QuarantineFile('C:\WINDOWS\system32\hgGyawuv.dll','');DelBHO('{01C13C8B-D1BC-472A-8D0F-E5EFE8D12E5B}');QuarantineFile('C:\WINDOWS\system32\cbXPfEUn.dll','');QuarantineFile('C:\WINDOWS\system32\pmnoPfCv.dll','');DelBHO('{02715E47-5A8E-495B-8F63-0D30470B8E72}');QuarantineFile('C:\WINDOWS\system32\iifdbXpP.dll','');DelBHO('{23BFE488-93DD-4542-975B-C41208B1BAAA}');QuarantineFile('C:\WINDOWS\system32\amlmemut.dll','');DeleteFile('C:\WINDOWS\system32\iifdbXpP.dll');DeleteFile('C:\WINDOWS\system32\pmnoPfCv.dll');DelWinlogonNotifyByFileName('pmnoPfCv.dll');DeleteFile('C:\WINDOWS\system32\cbXPfEUn.dll');DeleteFile('C:\WINDOWS\system32\hgGyawuv.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Затем выполните

beginCreateQurantineArchive(GetAVZDirectory+'quarantineSFptirex.zip');end.

Пришлите файл quarantineSFptirex.zip из папки с AVZ на адрес 54712@rambler.ru

Сделайте новый комплект логов.

Ссылка на комментарий
Поделиться на другие сайты

какой другой антивир щаз поставить?

Касперский или Нод. В этом разделе есть темы, посвященные этим антивирусам.

Изменено пользователем Matias
Ссылка на комментарий
Поделиться на другие сайты

Меня несколько смущают каспер и нод. Каспер,я слышала, до конца довзломали и теперь в него лезут все, кому не лень. т.е. пишут вирусы специально для него и т.п. Нод сильно (да в общем и каспер) подгружает систему, а когда работаешь с графикой - это очень существенно.

выкладываю новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Ссылка на комментарий
Поделиться на другие сайты

Похоже последнего выловили. Выполните в АВЗ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\amlmemut.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Сделайте новый комплект логов. Надеюсь в последний раз.

Не люблю советовать что-то по поводу антивирусов. Скажу просто, у меня стоит Касперский пол-года всё нормально. Кого надо ловит и т.д. Да вначале пока настстроил под себя были неудобства, но за всё нужно платить. Кстати, я когда работаю с чем-то, что грузит систему и не подключен к сети, то приостанавливаю Каспера. То что вирусов нет знаю, так зачем же перенапрягать. Но в общем-то выбор антивируса - это сугубо личное дело и советовать тут дело неблагадарное.

Ссылка на комментарий
Поделиться на другие сайты

Меня несколько смущают каспер и нод. Каспер,я слышала, до конца довзломали и теперь в него лезут все, кому не лень. т.е. пишут вирусы специально для него и т.п. Нод сильно (да в общем и каспер) подгружает систему, а когда работаешь с графикой - это очень существенно.

выкладываю новые логи

1) Каспера тяжело взломать...НОД легче уничтожить (нет никакой самозащиты) ситуация из практики НОД пропатченный вирусом.

2) НОД не сильно подгружает систему.

Выбор только за вами.

Ссылка на комментарий
Поделиться на другие сайты

Сделайте новый комплект логов. Надеюсь в последний раз.

Не люблю советовать что-то по поводу антивирусов. Скажу просто, у меня стоит Касперский пол-года всё нормально. Кого надо ловит и т.д. Да вначале пока настстроил под себя были неудобства, но за всё нужно платить. Кстати, я когда работаю с чем-то, что грузит систему и не подключен к сети, то приостанавливаю Каспера. То что вирусов нет знаю, так зачем же перенапрягать. Но в общем-то выбор антивируса - это сугубо личное дело и советовать тут дело неблагадарное.

В любом случае спасибо вам огроменное за помощь. Постараюсь найти оптимальную комбинацию защиты. честно говоря со мной такое впервые за много лет. Я даже вообще не поняла, как этот вирус смог просочиться. Явно не из-за скачивания чего-либо. Появился он во время посещения совершенно неподозрительных сайтов, вернее конкретного сайта. как такое вообще происходит? через какой канал он проходит в систему? я действительно раньше не сталкивалась с таким. до сих пор все мои методы предосторожности былиейственными.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Больше ничего подозрительного в логах не вижу.

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...