Прошу помощи!

[4aster]

Просьба не совсем обычная! Моя теща (любимая причем!) живет далеко, общаемся с ней через аську. Неделю назад стала жаловаться, что вылетает окно с предостережением о вирусе на компьютере. Установленный антивирус никак не помогает (подозреваю, что старый и не обновленный, как и все др программы). Пользователь она начинающий (мягко говоря), хотя и шустрый. Однако 2 часа потратили с ней на получение лога от ХайДжека. Еще одна проблема-скорость ее интернет-соединения оч маленькая, не до скачивания метров информации (потому и начал с ней с ХайДжекВис).

Посмотрите лог, пожалуйста, может кто что посоветует!

Logfile of HijackThis v1.99.1

Scan saved at 23:33:17, on 29.05.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\spools.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Domino.EXE

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\VMSnap3.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MuxaSoft Dialer\mdialer32.exe

C:\Program Files\QIP\qip.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\winlogon.exe

C:\Documents and Settings\Администратор\Рабочий стол\Новая папка\HijackThis.exe

C:\Documents and Settings\Администратор\Рабочий стол\Новая папка\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yandex.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM\..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MuxaSoft Dialer 4] C:\Program Files\MuxaSoft Dialer\mdialer32.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe

O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://yandex.ru

O17 - HKLM\System\CCS\Services\Tcpip\..\{693DDEF9-165D-4370-B073-3C8C1B296813}: NameServer = 81.27.56.18 194.84.94.150

O17 - HKLM\System\CCS\Services\Tcpip\..\{CECFF919-E1DE-4B9C-82AB-236A87B65859}: NameServer = 81.27.56.22

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Да, и еще жалуется на увеличение трафика!

[akoK]

Даа еще тот наборчик, с помощью HijackThis удалить почти нереально(уже существует версия 2.0.2)

Необходимо готовить полный комплект логов

[4aster]

Необходимо готовить полный комплект логов

да, я в курсе! но это надо скачать около 7 Мб, да и теща запутается... Как объяснить весь порядок подготовки?... Попробую! К выходным справлюсь!

Вопрос: у нее постоянно викидывает окно предупреждения, что очень затрудняет работу, отвлекает и раздражает. Понимаю, что это и есть действие вируса, но нельзя ли отключить? (хотя по логу я не вижу явного зловредного процесса...)

[Pili]

(хотя по логу я не вижу явного зловредного процесса...)

По логам зловредов хватает, нужны логи AVZ, можете воспользоваться краткими правилами

Logfile of HijackThis v1.99.1 - скачайте эту версию HijackThis

[4aster]

наконец-то сработал тандем с тещей! выкладываю логи. Посмотрите, пожалста!!!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

[akoK]

linkdel.cmd - Это Вам знакомо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');BC_ImportQuarantineList;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Смотрю антивирус погонял зловредов.

[4aster]

linkdel.cmd - Это Вам знакомо?

нет, не знаю, что это...

Смотрю антивирус погонял зловредов.

да, было дело, на BitAccelerator c LetItBita сработал...

[akoK]

Карантина не вижу

[4aster]

Карантина не вижу

отправил. ну как?

[akoK]

Карантин безвреден.