Нужна помощь, В прочтении логов.

[6acta]

Доброго времени суток! :doh:

Помогите пожалуйста, прочтите логи и посоветуйте, что делать.

Иногда выскакивают сами окошки интернет эксплорера, так же притормаживает система.

Так же помогите уменьшить количество автозаргужаемых программ, 37 процессов при включение для ноута много(А что можно удалить из автозаргузки, дабы не повредить функциональность системы не знаю.

Зарание благодарен.

Извините за оффтоп.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Темы зачем дублировать?

[6acta]

я же извинился за оффтоп.случайно получилось.

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Windows\RUNXMLPL.exe','');QuarantineFile('C:\WINDOWS\system32\prun.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\Wbutton.sys','');QuarantineFile('C:\Program Files\wincmd500\cglptnt.sys','');QuarantineFile('C:\Program Files\Webtools\webtools.dll','');QuarantineFile('C:\Documents and Settings\1\Application Data\Google\mupd1_2_12916358.exe','');QuarantineFile('C:\Documents and Settings\1\Application Data\Google\updupd.dll','');QuarantineFile('C:\WINDOWS\system32\khfDtQHa.dll','');QuarantineFile('c:\documents and settings\1\application data\google\mupd1_2_12916358.exe','');QuarantineFile('c:\documents and settings\1\application data\microsoft\windows\lsass.exe','');DeleteFile('c:\documents and settings\1\application data\microsoft\windows\lsass.exe');DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Windows\lsass.exe');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('C:\WINDOWS\system32\khfDtQHa.dll');DeleteFile('C:\Program Files\Webtools\webtools.dll');DeleteFile('C:\WINDOWS\system32\prun.exe');DeleteFile('khfDtQHa.dll');DeleteFile('C:\Documents and Settings\1\Application Data\Google\updupd.dll');DeleteFile('C:\Documents and Settings\1\Application Data\Google\mupd1_2_12916358.exe');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');DelBHO('{9E91EF7B-6846-45C3-A8AB-67CF7C900783}');DelBHO('{15421B84-3488-49A7-AD18-CBF84A3EFAF6}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: khfDtQHa - C:\WINDOWS\SYSTEM32\khfDtQHa.dll

Какая изысканная подборка.

Повторите логи.

P>S> Электронным кошельком от вебмани пользуетесь?

Изменено 1 ноября, 2008 пользователем akoK

[6acta]

Логи вечером выложу.

Спасибо за помощь. ;)

[6acta]

Вот, выкладываю логи. Посмотри пожалуйста, всё-ли исправилось.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Windows\RUNXMLPL.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\Wbutton.sys','');QuarantineFile('C:\WINDOWS\system32\semajosu.dll','');QuarantineFile('C:\WINDOWS\system32\kevusowe.dll','');QuarantineFile('C:\WINDOWS\system32\pozayeda.dll','');DeleteFile('C:\WINDOWS\system32\pozayeda.dll');DeleteFile('C:\WINDOWS\system32\kevusowe.dll');DeleteFile('C:\WINDOWS\system32\semajosu.dll');DeleteFile('C:\WINDOWS\system32\khfDtQHa.dll');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');DelBHO('{9E91EF7B-6846-45C3-A8AB-67CF7C900783}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Вашего прошлого карантина я так и не получил

[6acta]

Всё отправил.

[akoK]

Нужен еще один комплект логов.

[akoK]

kevusowe.dll и к- Trojan-GameThief.Win32.OnLineGames.trev

Если играете в он-лайн игры смените пароли.

[6acta]

Выполнил скрипты 3 и 2, просканил хайджеком.

Выкладываю логи.

P.S. Сразу после заргузки вылетает окно с ошибкой

"Ошибка при загрузке

kevusowe.dll

Не найдекн указанныймодуль."

Перед эти использовал утилиту CCleaner,посик и исправление ошибок.

и если смысл в AVZguard?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

Пофиксить в HijackThis следующие строчки

 	O2 - BHO: (no name) - {f2a1beba-8d5c-48f5-9afb-dcb869b9553b} - C:\WINDOWS\system32\semajosu.dll (file missing)O4 - HKLM\..\Run: [hufodiyili] Rundll32.exe "C:\WINDOWS\system32\kevusowe.dll",sO4 - HKUS\S-1-5-19\..\Run: [hufodiyili] Rundll32.exe "C:\WINDOWS\system32\kevusowe.dll",s (User 'LOCAL SERVICE')O20 - AppInit_DLLs: C:\WINDOWS\system32\raferafo.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('SYMIDSCO', 4);QuarantineFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys','');DeleteFile('C:\WINDOWS\system32\raferafo.dll');DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys');DeleteFile('C:\WINDOWS\system32\kevusowe.dll');DeleteFile('C:\WINDOWS\system32\semajosu.dll');DelBHO('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');DeleteService('SYMIDSCO');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Логи повторите.

Изменено 4 ноября, 2008 пользователем akoK

[6acta]

Выкладываю логи,

После выполнения 3 скрипта,после перезагрузки вновь ошибка, в ненайденом модуле,(см пост выше)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[6acta]

Почему-то перестал загружаться сканер "cureit.exe"Нажимаю проверка, а он выдаёт ошибку, "setup.exe обнаружена ошибка.приложение будет закрыто" Что делать?Без антивирусника плохо,подскажите что вместодр.вебы поставить.

[ТроПа]

1.Пофиксить в HijackThis следующие строчки )

O2 - BHO: (no name) - {f2a1beba-8d5c-48f5-9afb-dcb869b9553b} - C:\WINDOWS\system32\semajosu.dll (file missing)O4 - HKLM\..\Run: [hufodiyili] Rundll32.exe "C:\WINDOWS\system32\kevusowe.dll",sO4 - HKUS\S-1-5-19\..\Run: [hufodiyili] Rundll32.exe "C:\WINDOWS\system32\kevusowe.dll",s (User 'LOCAL SERVICE')O20 - AppInit_DLLs: C:\WINDOWS\system32\woruwiva.dll,C:\WINDOWS\system32\fajekego.dll

Без перезагрузки

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelWinlogonNotifyByFileName('fajekego.dll ');DelWinlogonNotifyByFileName('kevusowe.dll');DelWinlogonNotifyByFileName('woruwiva.dll');QuarantineFile('C:\WINDOWS\system32\woruwiva.dll','');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');QuarantineFile('C:\WINDOWS\system32\fajekego.dll','');DeleteFile('C:\WINDOWS\system32\kevusowe.dll');DeleteFile('C:\WINDOWS\system32\fajekego.dll');DeleteFile('C:\WINDOWS\system32\semajosu.dll');DeleteFile('C:\WINDOWS\system32\woruwiva.dll');DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelCLSID('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему.

Повторите логи.

i

Уведомление:

Усилил немного скриптик :)

Изменено 5 ноября, 2008 пользователем akoK

[akoK]

Включите AVZPM, посмотрим, что скрывается по ту сторону барикад

Проверьте систему перед следующим рывком AVPTool

Изменено 5 ноября, 2008 пользователем akoK

[6acta]

Перед выполнение скрыптов проверил тоолом. Нашлось 18 троянов, всех удалил. выкладываю скан системы тоолом.

avptool_syscheck.zip

avptool_syscheck.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('c:\windows\system32\fajekego.dll');DeleteFile('C:\WINDOWS\system32\kevusowe.dll');DeleteFile('C:\WINDOWS\system32\semajosu.dll');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelCLSID('{f2a1beba-8d5c-48f5-9afb-dcb869b9553b}');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

[6acta]

Выполнил скрипт, поомвыполнилскрип 3 и2,выкладываю логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[6acta]

Подскажите что делать.

[akoK]

Давненько не заходил :bye1:

Пофиксить в HijackThis следующие строчки

 O4 - HKUS\S-1-5-19\..\Run: [hufodiyili] Rundll32.exe "C:\WINDOWS\system32\kevusowe.dll",s (User 'LOCAL SERVICE')

Какие проблемы еще наблюдаются.