dytyna Опубликовано 18 марта, 2009 Жалоба Поделиться Опубликовано 18 марта, 2009 Мои тысяча извинений - вроде как недавно лечила этот комп... Но опять что-то неладное. Интернет уже не работает. Логи в прицепе. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 21 марта, 2009 Автор Жалоба Поделиться Опубликовано 21 марта, 2009 И что, есть что в логах? Видимо, сбой какой-то на форуме, в столбце "просмотров" выше моего уведомления стоят нули. Как может быть: логи 8 раз загружены, а просмотров 0? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 марта, 2009 Жалоба Поделиться Опубликовано 21 марта, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\drivers\dwshd.sys','');QuarantineFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\browselc.dll','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\shdoclc.dll','');DeleteFile('E:\WINDOWS\system32\h99rcdaf.exe');DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');DeleteFile('E:\WINDOWS\System32\drivers\dwshd.sys');DeleteService('dwshd');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Проверьте на http://www.virustotal.com (результаты сообщите) F:\INS\antyvirusy\Olia.exe Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Включите AVZPM и повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 21 марта, 2009 Автор Жалоба Поделиться Опубликовано 21 марта, 2009 Карантин отправила. Malwarebytes' Anti-Malware обновить на нужном компьютере не удалось, т.к. нет интернета, тестирую старыми базами. Откуда взялся файл Olia.exe. В результате выполнения сбора информации с помощью RSIT должно было быть создано 2 текстовых лога. Как видите, в первом сообщении у меня только один, так как вместо другого лога в папке появилась точная копия HijackThis, только под названием Olia.exe (юзер, насколько я понимаю). Меня это удивило; удалила файл и проделала операцию повторно; еффект повторился. Сканирование с помощью http://www.virustotal.com подтвердило, что это файл HijackThis: File HiJackThis.exe received on 03.21.2009 21:04:40 (CET) Current status: finished Такая вот история. Логи готовлю. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 марта, 2009 Жалоба Поделиться Опубликовано 21 марта, 2009 Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;) В карантин ничего вредоносного не попало. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 22 марта, 2009 Автор Жалоба Поделиться Опубликовано 22 марта, 2009 Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;) Да, но он же его нашел! Вот новые логи. Malwarebytes' Anti-Malware ничего не нашел. Ужас, аж дважды прицепились. Извините! Потом уберу :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 марта, 2009 Жалоба Поделиться Опубликовано 22 марта, 2009 Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:Files:Reg[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\h99rcdaf][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows DLL Loader]""[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 23 марта, 2009 Автор Жалоба Поделиться Опубликовано 23 марта, 2009 Результат таков. OTMoveit выполняет задание молниеносно и зависает. В зеленой панеле написано, что Process explorer.exe killed successfully, а что написано про регистрационный код, не видно в окне. После зависания программы возможна лишь механическая перезагрузка с помощью кнопки. Папка в каталоге программы с отчетом создается, но она пуста. Проделала эту процедуру трижды, результат одинаковый. Такие вот пироги. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 23 марта, 2009 Автор Жалоба Поделиться Опубликовано 23 марта, 2009 Вот этот процесс нужно убить: E:\WINDOWS\Explorer.EXE? Если да, то он еще есть. Интересно: почитала соседнюю тему, где говорится про отсутствие звука и принтера. На этом компе звука нет уже с полгода, после какого-то лечения исчез; я здесь об этом писала, но безрезультатно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 23 марта, 2009 Жалоба Поделиться Опубликовано 23 марта, 2009 (изменено) E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время. P>S> Включите, то что отключили через msconfig и повторите логи. Изменено 23 марта, 2009 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 23 марта, 2009 Автор Жалоба Поделиться Опубликовано 23 марта, 2009 E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время. P>S> Включите, то что отключили через msconfig и повторите логи. Ясно. Но я вот даже не припомню, как давно что-то отключала. Буду искать сейчас. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 23 марта, 2009 Автор Жалоба Поделиться Опубликовано 23 марта, 2009 Была когда-то здесь такая штука - AnVir Task Manager. С ее помощью что-то отключалось. Вот ее лог в приецпе. В msconfig вижу процесс svchost і темпах юзера, Он тут уже преследовался. Включать? Или включить там все, что отключено? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 23 марта, 2009 Жалоба Поделиться Опубликовано 23 марта, 2009 Включать...это позволит почистить следы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 23 марта, 2009 Автор Жалоба Поделиться Опубликовано 23 марта, 2009 Включила все в msconfig. Логи прилагаю. Может, еще что-то включить? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 24 марта, 2009 Жалоба Поделиться Опубликовано 24 марта, 2009 Пофиксить в HijackThis следующие строчки O4 - HKLM\..\Run: [Microsoft Windows DLL Loader] E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');SysCleanAddFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Вот так лучше Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 24 марта, 2009 Автор Жалоба Поделиться Опубликовано 24 марта, 2009 Проделала. Если это все, напомните, как возобновить интернет. Программа вроде как у меня есть, но после инсталяции не нашла ничего, что можно было бы запустить. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 24 марта, 2009 Жалоба Поделиться Опубликовано 24 марта, 2009 Можно так Если не помогает, то так: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(14);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Если и это не помогло, то так: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(15);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 24 марта, 2009 Автор Жалоба Поделиться Опубликовано 24 марта, 2009 Прекрасно! Второй сработал. Премного благодарна! Наверное, завтра нужно будет проверить другую машину, с которой все это время заходили в интернет. Чтоб там чего не завелось. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.