проблемы с adware

[Den_EA]

Привет!

Суть моей проблемы такова:

При запуске Adware (у меня стоит Ad-Aware SE Professional) при подключению к интернету в adware появляется такое сообщение \??\c:\windows\system32\ и выбор действия блокировать или разрешить. При нажатии блокировать - сразу синий экран смерти.

Если компьютер не подключен к интернету или даже в безопасном режиме я запускаю проверку в adware то он сразу находит штук 5-6 опасных объектов и сразу выскакивает синий экран.

В своих логах я увидел, что среди запущенных процессов есть winlogon. Пару месяцев у меня были проблемы с этим приложением, но с помощью постов этого сайта у меня все вроде бы вылечилось. Возможно при лечении какой-то файл не был обезврежен.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true); SetServiceStart('Bio38', 4);QuarantineFile('C:\WINDOWS\System32\DRIVERS\cmdmon.sys','');QuarantineFile('C:\Program Files\XoftSpy\XoftSpy.exe','');QuarantineFile('C:\WINDOWS\system32\tw20xGu0.exe','');QuarantineFile('C:\DOCUME~1\Денис\LOCALS~1\Temp\IcqUpdater.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Bio38.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\GVTDrv.sys','');QuarantineFile('C:\WINDOWS\GPCIDrv.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Bio38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ebh62.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Fms17.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Iou38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ovc06.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tch74.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Uch74.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wingm74.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ygl06.sys');DeleteFile('C:\DOCUME~1\Денис\LOCALS~1\Temp\IcqUpdater.exe');DeleteFile('C:\WINDOWS\system32\tw20xGu0.exe');DeleteService('Bio38');DeleteService('Wingm74');DeleteService('Ygl06');DeleteService('Uch74');DeleteService('Tch74');DeleteService('Ovc06');DeleteService('Iou38');DeleteService('Fms17');DeleteService('Ebh62');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Включите AVZPM и повторите логи.

Ad-Aware SE Professional - рекомендую удалить....от серьезного заражения он спасает как носовой платок в буран.

[Den_EA]

Спасибо за решение этой проблемы. Adware запускается нормально.

А что посоветуете вместо Ad-Aware SE Professional?

Выкладываю отчётные файлы, которые получились после выполнения скриптов.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\tw20xGu0.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Очистите планировщик задач.

У Вас я вижу свзяку НОД и комодо....современный антивирус защищает от программ шпионов на довольно высоком уровне, и держать отдельно программу для их удаления теряет смысл.

[akoK]

В карантин ничего вредоносного не попало.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[Den_EA]

Выполнил!

Вот что в логах после проверки Marwarbytes Anti-Malware:

----начало лога-----

Malwarebytes' Anti-Malware 1.31

Версия базы данных: 1496

Windows 5.1.2600 Service Pack 2

13.12.2008 23:55:38

mbam-log-2008-12-13 (23-54-49).txt

Тип проверки: Полная (C:\|)

Проверено объектов: 96385

Прошло времени: 37 minute(s), 41 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 13

Заражено значений реестра: 3

Заражено параметров реестра: 0

Заражено папок: 1

Заражено файлов: 2

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Adware.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> No action taken.

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

C:\Program Files\ConnectionServices (Adware.BHO) -> No action taken.

Заражено файлов:

C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.

C:\Program Files\ConnectionServices\Uninstall.exe (Adware.BHO) -> No action taken.

----- конец лога -------

Также замечу, что в этом логе у меня полностью проверялся диск С. Кроме того, потом я запускал на проверку остальные диски, на которых ничего подозрительного было не найдено.

После как я удалил вредоносные элементы я пересканировал систему с помощью Marwarbytes Anti-Malware ничего подозрительного не было найдено.

[akoK]

Сейчас какие проблемы наблюдаются?

[Den_EA]

Большое спасибо! Все сейчас нормально.

Правда было пару раз за предыдущую неделю (последний раз вчера в воскресенье) что появлялся синий экран смерти с проблемой IRQL_NOT_LESS_OR_EQUAL, что раньше никогда не было, хотя операционки на компе уже 2 года. Но я читал, что эта проблема может быть от чего угодно, например из-за того, что диск давно не дефрагметировался. Диск с операционкой я переодически дефрагментирую, а есть пара локальных дисков нуждающихся в дефрагментации.

Так что ещё понаблюдаю за компом, и если ошибка будет повторятся то напишу.