Alex1983 Posted January 9, 2010 Report Share Posted January 9, 2010 Что касается файлов - это все ложные срабатывания. Записи реестра - это отключенный ЦОБ. Если вы сами отключили его, причин для беспокойства нет. Почему вы не сделали логи по правилам? Всё сделал. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 9, 2010 Author Report Share Posted January 9, 2010 Результаты автоматического анализа настроек SPI Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\xxx\mdnsNSP.dll Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1 Возможны проблемы при работе с сетью и Интернет ЧТО ЭТО ЩЗНАЧАЕТ? Link to comment Share on other sites More sharing options...
akoK Posted January 9, 2010 Report Share Posted January 9, 2010 (edited) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(14);RebootWindows(false);end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Можно подробнее о проблеме? Edited January 9, 2010 by akoK Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Антиврирус нашел 2 вируса (Win32 HLLW.Shadow и еще какойто). При удаление их, второй не удалился. При проверке его больше не находил. Комп стал не много глючить( в моем компьют все диски и сменные носители какбы слились т. е. идут все подрят без разделительной линии а еменно -------------. P.S. Антивирус DrWeb. Лицензированный. P.S.2 Скрипты сделал. P.S.3 ЦОБ я не отключал. И что это такое. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Мой слайд. Link to comment Share on other sites More sharing options...
akoK Posted January 10, 2010 Report Share Posted January 10, 2010 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Повторная проверка. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 После проверки ComboFix ом компьютер глюканул. Не мок зайти в оперу, мозиллу, IE. DrWeb тоже не запускался. Что это могло быть? P.S. DrWeb определил ComboFix как на подозрение на вирус(BATCH.VIRUS). По чему? Link to comment Share on other sites More sharing options...
Matias Posted January 10, 2010 Report Share Posted January 10, 2010 Это ложное срабатывание. Перед запуском Combofix необходимо отключать антивирус, о чем написано в инструкции, ссылку на которую вам дали. Почему у вас стоят два антивируса (Нод и Веб)? Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Ставил только Web. NOD удалял. Откуда берется не знаю?. В установке и удаление его нет. Как найти и удалить? А по чему все диски и сменные носители слились. Та кого не было. Link to comment Share on other sites More sharing options...
Matias Posted January 10, 2010 Report Share Posted January 10, 2010 Для удаления хвостов от Нода скачайте и запустите в безопасном режиме ESETUninstaller. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Скачал. Запустил. Пришло сообщение. Link to comment Share on other sites More sharing options...
Matias Posted January 10, 2010 Report Share Posted January 10, 2010 (edited) Вы запустили утилиту в нормальном режиме. Ее надо запускать только в безопасном режиме. Edited January 10, 2010 by Matias Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Спасибо Matias. Но я уже винду переустановил. P.S. Всем спасибо кто помогал. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Все сто ло как и было. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 10, 2010 Author Report Share Posted January 10, 2010 Всем спасибо. P.S. Что это означает. Link to comment Share on other sites More sharing options...
Aleksa106 Posted January 11, 2010 Report Share Posted January 11, 2010 Всем спасибо. P.S. Что это означает. Если драйвера на звуковую карту поставлены, то скорее всего встроенный модем... посмотрите в Диспетчер устройств - ВАШЕ УСТР-ВО - ПКМ (правый клик мыши) - Св-ва - Сведения - Коды ID оборудования переписываем то что находится в первой (или второй) строчке. Ищем в Google по переписанным параметрам. Link to comment Share on other sites More sharing options...
akoK Posted January 11, 2010 Report Share Posted January 11, 2010 Откройте "Мой компьтер" - вкладка "Вид" - Упорядочить значки Проверьте, стоит ли галка напротив надписи "По группам" Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Link to comment Share on other sites More sharing options...
Alex1983 Posted January 11, 2010 Author Report Share Posted January 11, 2010 Если драйвера на звуковую карту поставлены, то скорее всего встроенный модем... посмотрите в Диспетчер устройств - ВАШЕ УСТР-ВО - ПКМ (правый клик мыши) - Св-ва - Сведения - Коды ID оборудования переписываем то что находится в первой (или второй) строчке. Ищем в Google по переписанным параметрам. [/quotеу] Посмотрел. ни чего что то толком не нашел. Может поможеш ссылкой. Плиз. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 11, 2010 Author Report Share Posted January 11, 2010 AKOK Посмоотри мо скрипы AVZ Они сделаны после удаления порно баннера. Еле удалился Утилита DrWeb его в безопасном режиме не нашел. В обычном случайно как то определил. При этом ни один браузер и диспетчер не открывался. Сейчас нормально но может следы остались? Вирус (Plugin.exe Trojan/Winlock658) Link to comment Share on other sites More sharing options...
akoK Posted January 11, 2010 Report Share Posted January 11, 2010 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\netprotocol.dll','');QuarantineFile('c:\windows\system32\netprotdrvss','');DeleteFile('c:\windows\system32\netprotocol.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Лог syscheck повторите и лог RSIT тоже. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 13, 2010 Author Report Share Posted January 13, 2010 Я не понял куда отправить. Логи здесь. Скрипы не отправляются (мало обьема всего 106,93 килобайт) Что делать если можно по подробнее. Link to comment Share on other sites More sharing options...
Alex1983 Posted January 13, 2010 Author Report Share Posted January 13, 2010 (edited) ! Предупреждение:Логи сюда. Карантин нельзя. Edited January 13, 2010 by akoK Link to comment Share on other sites More sharing options...
akoK Posted January 13, 2010 Report Share Posted January 13, 2010 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('c:\windows\system32\netprotdrvss');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Link to comment Share on other sites More sharing options...
Recommended Posts