Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Просьба не совсем обычная! Моя теща (любимая причем!) живет далеко, общаемся с ней через аську. Неделю назад стала жаловаться, что вылетает окно с предостережением о вирусе на компьютере. Установленный антивирус никак не помогает (подозреваю, что старый и не обновленный, как и все др программы). Пользователь она начинающий (мягко говоря), хотя и шустрый. Однако 2 часа потратили с ней на получение лога от ХайДжека. Еще одна проблема-скорость ее интернет-соединения оч маленькая, не до скачивания метров информации (потому и начал с ней с ХайДжекВис).

Посмотрите лог, пожалуйста, может кто что посоветует!

Logfile of HijackThis v1.99.1

Scan saved at 23:33:17, on 29.05.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\spools.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Domino.EXE

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\VMSnap3.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MuxaSoft Dialer\mdialer32.exe

C:\Program Files\QIP\qip.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\winlogon.exe

C:\Documents and Settings\Администратор\Рабочий стол\Новая папка\HijackThis.exe

C:\Documents and Settings\Администратор\Рабочий стол\Новая папка\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yandex.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM\..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MuxaSoft Dialer 4] C:\Program Files\MuxaSoft Dialer\mdialer32.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe

O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://yandex.ru

O17 - HKLM\System\CCS\Services\Tcpip\..\{693DDEF9-165D-4370-B073-3C8C1B296813}: NameServer = 81.27.56.18 194.84.94.150

O17 - HKLM\System\CCS\Services\Tcpip\..\{CECFF919-E1DE-4B9C-82AB-236A87B65859}: NameServer = 81.27.56.22

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Да, и еще жалуется на увеличение трафика!

Link to comment
Share on other sites

Даа еще тот наборчик, с помощью HijackThis удалить почти нереально(уже существует версия 2.0.2)

Необходимо готовить полный комплект логов

Link to comment
Share on other sites

Необходимо готовить полный комплект логов

да, я в курсе! но это надо скачать около 7 Мб, да и теща запутается... Как объяснить весь порядок подготовки?... Попробую! К выходным справлюсь!

Вопрос: у нее постоянно викидывает окно предупреждения, что очень затрудняет работу, отвлекает и раздражает. Понимаю, что это и есть действие вируса, но нельзя ли отключить? (хотя по логу я не вижу явного зловредного процесса...)

Link to comment
Share on other sites

(хотя по логу я не вижу явного зловредного процесса...)

По логам зловредов хватает, нужны логи AVZ, можете воспользоваться краткими правилами

Logfile of HijackThis v1.99.1 - скачайте эту версию HijackThis

Link to comment
Share on other sites

  • 2 weeks later...

linkdel.cmd - Это Вам знакомо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');BC_ImportQuarantineList;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Смотрю антивирус погонял зловредов.

Link to comment
Share on other sites

linkdel.cmd - Это Вам знакомо?

нет, не знаю, что это...

Смотрю антивирус погонял зловредов.

да, было дело, на BitAccelerator c LetItBita сработал...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...