-=Велла=- Свободна |
29-01-2009 - 00:30 вот логи AVZ.. что не так? |
Свободен |
29-01-2009 - 02:11 Симптомы в чём выражаются у больного?
Отключить восстановление системы! Аваст(можно навсегда). Интернет.
В АВЗ файл->выполнить скрипт->скопируй скрипт- выполнить
begin SetAVZGuardStatus(True); SearchRootkit(true, true); StopService('Winnu28'); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\logon.scr',''); QuarantineFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu28.sys',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnu28.sys'); DeleteFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('WinCtrl32.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Компьютер перезагрузится. Стандартный лог №3 сделать+ лог хайджека
Карантин(если размер отличен от 1Кб) из папки АВЗ пошли на [email protected] c указанием темы "virus" и кратким описанием. Ответ будет часа через два-три.
Это сообщение отредактировал Раненый - 29-01-2009 - 02:15 |
Vertigo Женат |
29-01-2009 - 03:29 Последствия неиспользования антивируса?) Сама тему не по правилам открыла, лог хайджека я тоже хотел бы посмотреть.)
Это сообщение отредактировал Vertigo - 29-01-2009 - 03:31 |
-=Велла=- Свободна |
29-01-2009 - 10:18 Vertigo это не мой комп )))) у меня нету ничего Лог Хайджека я сама смотрела, вроде ничо поозрительного не увидала... Но могу попросить, еще раз сделают...
Симптомы ни в чем у больного не выражаются, просто постоянно вирусы находят.. то аваст, то Drweb CureIt. И AVZ тоже находит, вроде говорит, что лечит (по-крайней мере мне так говорят, я комп не вижу)... Так как невижу комп, мне сложно судить
Да, и еще... Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ?
Это сообщение отредактировал -=Велла=- - 29-01-2009 - 10:19 |
Vertigo Женат |
29-01-2009 - 13:20
QUOTE (-=Велла=- @ 29.01.2009 - время: 08:18) | Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ? |
Удаление при загрузке ОС. |
-=Велла=- Свободна |
29-01-2009 - 13:49
QUOTE (Vertigo @ 29.01.2009 - время: 12:20) | QUOTE (-=Велла=- @ 29.01.2009 - время: 08:18) | Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ? |
Удаление при загрузке ОС.
|
и что из них что? |
Свободен |
29-01-2009 - 14:30
QUOTE (-=Велла=- @ 29.01.2009 - время: 12:49) | и что из них что? |
Оба трояны, но более опасен ntos.exe Сейчас более интересует файл C:\WINDOWS\system32\logon.scr, абсолютно православный в миру и не прошедший по базе безопасных в АВЗ. Его(если не попал в карантин) нужно отыскать вручную или средствами АВЗ(сервис\поиск файлов на диске\маска *.scr\ содержит текст- logon\поиск) потом запаковать и проверить на http://www.virustotal.com/ru/ и отправить же касперам на анализ. Что с логами и что с ответом ЛК? |
-=Велла=- Свободна |
29-01-2009 - 14:43 Про "что из них что" я спрашивала про команды - какая из при загрузке удалять, а какая нет.. меня вообще то насторожил 'C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r', а остальное я что-то пропустила ))) Ладно, я еще логи Хайджека не получила... |
Свободен |
29-01-2009 - 15:57
QUOTE (-=Велла=- @ 29.01.2009 - время: 13:43) | Про "что из них что" я спрашивала про команды - какая из при загрузке удалять, а какая нет.. |
ВС-boot clean -это очистка системы после удаления файлов при перезагрузке. После лечения нужно установить SP3 с последующими заплатками http://www.microsoft.com/downloads/details...08-1e1555d4f3d4и нормальный антивирус. На досуге не помешает почитать это http://security-advisory.ru/, если собираетесь продолжать использовать ОS windows. |
Свободен |
29-01-2009 - 16:28 Приятно видеть адекватных новичков. :) |
-=Велла=- Свободна |
29-01-2009 - 17:14 Раненый не... SP3 ставить не буду, бо не себе... И почему у меня нету ни вирусов, ни антивируса... и где их люди находят? |
-=Велла=- Свободна |
29-01-2009 - 17:15 QUOTE | Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:14:31, on 29.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\trafinspag.exe C:\WINDOWS\PixArt\PAC7311\Monitor.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Canon\MyPrinter\BJMyPrt.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Skype\Plugin Manager\SkypePM.exe C:\Program Files\QIP\qip.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\test\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QIP.Online] C:\Program Files\QIP.Online\qiponline.exe auto_start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282 O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283 O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC157CE-2B96-46F9-8C85-9A05241FA5F2}: NameServer = 192.168.128.1,172.21.17.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
-- End of file - 6160 bytes
|
ВОт это лишнее... O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r
Что еще?
Это сообщение отредактировал -=Велла=- - 29-01-2009 - 17:17
|
Свободен |
29-01-2009 - 18:29 Я ведь не зря написал выше "Сделать стандартный скрип АВЗ №3!" Отключив Аваст и сеть. При выполнении скрипта №2 лог которого был в первом сообщении, не активен драйвер расширенного мониторинга процессов AVZPM и многое просто не попадает в лог. Нужен лог virinfo_siscure.zip. После выполнения скрипта №3 пофиксить если не пользуетесь: [QUOTE] R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282 O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283[QUOTE/]
пофиксить, если отыщутся строчки: [QUOTE] R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r\ O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[QUOTE/] |
-=Велла=- Свободна |
29-01-2009 - 18:50 ага.. понятно... да фиг я знаю, пользуются там или нет.. говорит, что мэйл-агент юзает... virinfo_siscure.zip. - то-то я и смотрю, что этот файл всегда пустой |
Свободен |
30-01-2009 - 17:31 Вижу, что вы намерены прекратить лечение, тогда хочу предупредить: Если имеете веб-кошелки, ...card's, любимые аккаунты в он-лайн играх, советую поменять эти пароли в первую очередь и том числе и все админские пароли ситемы. Под маской *ntos зачастую скрывается трояны класса PSW- специализирущиеся на краже конф.инфы.( модификации Banker, Zbot ...). |
-=Велла=- Свободна |
30-01-2009 - 17:46 Раненый нет... я еще не закончила... я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают |
Свободен |
30-01-2009 - 17:57
QUOTE (-=Велла=- @ 30.01.2009 - время: 16:46) | я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают |
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений. С уважением. |
-=Велла=- Свободна |
30-01-2009 - 18:26
QUOTE (Раненый @ 30.01.2009 - время: 16:57) | QUOTE (-=Велла=- @ 30.01.2009 - время: 16:46) | я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают |
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений. С уважением.
|
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама |
Свободен |
30-01-2009 - 18:43
QUOTE (-=Велла=- @ 30.01.2009 - время: 17:26) | нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама |
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS |
-=Велла=- Свободна |
30-01-2009 - 19:17
QUOTE (Раненый @ 30.01.2009 - время: 17:43) | QUOTE (-=Велла=- @ 30.01.2009 - время: 17:26) | нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама |
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS
|
да вот еще вызывать... Сама съезжу, если надо... тут всего-то 50 км ехать... Вот еще деньги платить |
Свободен |
30-01-2009 - 21:32
QUOTE (-=Велла=- @ 30.01.2009 - время: 18:17) | Сама съезжу, если надо... тут всего-то 50 км ехать... |
Помни, у нас длинные руки. Писяткилометров,- это ж 0.0000001мл\с пинг! Лог на базу,- скрипт в паблик(а то ещё подумают, что пароли скриптами увожу)...
|
-=Велла=- Свободна |
30-01-2009 - 21:47
QUOTE (Раненый @ 30.01.2009 - время: 20:32) | QUOTE (-=Велла=- @ 30.01.2009 - время: 18:17) | Сама съезжу, если надо... тут всего-то 50 км ехать... |
Помни, у нас длинные руки. Писяткилометров,- это ж 0.0000001мл\с пинг! Лог на базу,- скрипт в паблик(а то ещё подумают, что пароли скриптами увожу)...
|
не... )))) Да я б себе уже винду переставила с формат С: даже не думала б |
Свободен |
30-01-2009 - 22:37
QUOTE (-=Велла=- @ 30.01.2009 - время: 20:47) | Да я б себе уже винду переставила с формат С: даже не думала б |
Уважаемые!, сделайте мне развидеть эти слова Веллы! |
-=Велла=- Свободна |
30-01-2009 - 23:03 Раненый, на компе выполнили тот скрипт, что ты писал первым.
Лог Хайджек
QUOTE | Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:57:29, on 30.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\trafinspag.exe C:\WINDOWS\PixArt\PAC7311\Monitor.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Canon\MyPrinter\BJMyPrt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\QIP\qip.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\test\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QIP.Online] C:\Program Files\QIP.Online\qiponline.exe auto_start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282 O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283 O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC157CE-2B96-46F9-8C85-9A05241FA5F2}: NameServer = 192.168.128.1,172.21.17.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe |
а еще беда такая - пропадает звук почему-то... а после перезагрузки появляется.. но вот после чего пропадает - не могу сказать Раненый, а что я непонятно сказала? Это сообщение отредактировал -=Велла=- - 30-01-2009 - 23:07 |
Свободен |
30-01-2009 - 23:27 QUOTE (-=Велла=- @ 30.01.2009 - время: 22:03) | Раненый, на компе выполнили тот скрипт, что ты писал первым.
Лог Хайджек
****
а еще беда такая - пропадает звук почему-то... а после перезагрузки появляется.. но вот после чего пропадает - не могу сказать
Раненый, а что я непонятно сказала? |
Велла, уважаемая, сделайте совместно с мамой, или как еще, стандартный скрипт АВЗ №3! Отключив при этом: "восстановление винды", антивирус, сеть, и все запущенные приложения. Неужели это так сложно? Даже моя мама может сделать это...(проверял)... Компьютер ваш заражён. Избавить его от напасти можно. Лог Хайджека не даёт необходимой информации! Ну Ё-маё! И, чтоб вы знали, пофиксить- не осначает удалить исполнение, и тем более, вредоносный файл.
Это сообщение отредактировал -=Велла=- - 30-01-2009 - 23:34
|
-=Велла=- Свободна |
30-01-2009 - 23:31 Раненый щас делаю... погодите )))
и эта.. не надо такие большие цитаты цитировать срезайте |
Свободен |
30-01-2009 - 23:40
QUOTE (-=Велла=- @ 30.01.2009 - время: 22:31) | е большие цитаты цитировать срезайте |
Да я чё, я не чё... Вспылил, был не прав, согласен на тюрьму. |
-=Велла=- Свободна |
30-01-2009 - 23:43
QUOTE (Раненый @ 30.01.2009 - время: 22:40) | QUOTE (-=Велла=- @ 30.01.2009 - время: 22:31) | е большие цитаты цитировать срезайте |
Да я чё, я не чё... Вспылил, был не прав, согласен на тюрьму.
|
ладно... на первый раз прощаю |
Свободен |
30-01-2009 - 23:52
QUOTE (-=Велла=- @ 30.01.2009 - время: 22:43) | ладно... на первый раз прощаю |
угу.. а как ты логи выложимши, мой акк -дель!!! Это мне заногУ регится и вам помогать.. Ты уж прикрой меня пожалуйста. |
-=Велла=- Свободна |
31-01-2009 - 00:03 логи |
-=Велла=- Свободна |
31-01-2009 - 00:03 +1 |
Свободен |
31-01-2009 - 00:27
QUOTE (-=Велла=- @ 30.01.2009 - время: 23:03) | +1 |
жди |
Свободен |
31-01-2009 - 00:43 Это C:\WINDOWS\system32\logon.scr найти и отправить на http://www.virustotal.com/ru/ Больше у мамы ни чего не видать. Советую кушать как следует, и принимать решения в соответствии... Целую!))) |
-=Велла=- Свободна |
31-01-2009 - 00:45 ок.. спасибо большое |
-=Велла=- Свободна |
01-02-2009 - 21:02 я не поняла... куда РАненого дели?
у меня еще не все... руткит одолел тут еще.. потом название напишу... |