Допоможить, любы друзи
-=Велла=-
Акула пера
1/29/2009, 2:30:02 AM
вот логи AVZ..
что не так?
что не так?
DELETED
Акула пера
1/29/2009, 4:11:16 AM
Симптомы в чём выражаются у больного?
Отключить восстановление системы!
Аваст(можно навсегда).
Интернет.
В АВЗ файл->выполнить скрипт->скопируй скрипт- выполнить
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('Winnu28');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\logon.scr','');
QuarantineFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu28.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu28.sys');
DeleteFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('WinCtrl32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Стандартный лог №3 сделать+ лог хайджека
Карантин(если размер отличен от 1Кб) из папки АВЗ пошли на [email protected] c указанием темы "virus" и кратким описанием.
Ответ будет часа через два-три.
Отключить восстановление системы!
Аваст(можно навсегда).
Интернет.
В АВЗ файл->выполнить скрипт->скопируй скрипт- выполнить
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('Winnu28');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\logon.scr','');
QuarantineFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu28.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu28.sys');
DeleteFile('C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('WinCtrl32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Стандартный лог №3 сделать+ лог хайджека
Карантин(если размер отличен от 1Кб) из папки АВЗ пошли на [email protected] c указанием темы "virus" и кратким описанием.
Ответ будет часа через два-три.
Vertigo
Мастер
1/29/2009, 5:29:53 AM
Последствия неиспользования антивируса?)
Сама тему не по правилам открыла, лог хайджека я тоже хотел бы посмотреть.)
Сама тему не по правилам открыла, лог хайджека я тоже хотел бы посмотреть.)
-=Велла=-
Акула пера
1/29/2009, 12:18:43 PM
Vertigo
это не мой комп )))) у меня нету ничего
Лог Хайджека я сама смотрела, вроде ничо поозрительного не увидала... Но могу попросить, еще раз сделают...
Симптомы ни в чем у больного не выражаются, просто постоянно вирусы находят.. то аваст, то Drweb CureIt. И AVZ тоже находит, вроде говорит, что лечит (по-крайней мере мне так говорят, я комп не вижу)... Так как невижу комп, мне сложно судить
Да, и еще...
Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ?
это не мой комп )))) у меня нету ничего
Лог Хайджека я сама смотрела, вроде ничо поозрительного не увидала... Но могу попросить, еще раз сделают...
Симптомы ни в чем у больного не выражаются, просто постоянно вирусы находят.. то аваст, то Drweb CureIt. И AVZ тоже находит, вроде говорит, что лечит (по-крайней мере мне так говорят, я комп не вижу)... Так как невижу комп, мне сложно судить
Да, и еще...
Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ?
Vertigo
Мастер
1/29/2009, 3:20:09 PM
(-=Велла=- @ 29.01.2009 - время: 08:18) Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ?
Удаление при загрузке ОС.
Удаление при загрузке ОС.
-=Велла=-
Акула пера
1/29/2009, 3:49:28 PM
(Vertigo @ 29.01.2009 - время: 12:20) (-=Велла=- @ 29.01.2009 - время: 08:18) Чем в AVZ отличаются команды в скриптах DeleteFile и BC_DeleteFile ?
Удаление при загрузке ОС.
и что из них что?
Удаление при загрузке ОС.
и что из них что?
DELETED
Акула пера
1/29/2009, 4:30:50 PM
(-=Велла=- @ 29.01.2009 - время: 12:49) и что из них что?
Оба трояны, но более опасен ntos.exe
Сейчас более интересует файл C:\WINDOWS\system32\logon.scr, абсолютно православный в миру и не прошедший по базе безопасных в АВЗ. Его(если не попал в карантин) нужно отыскать вручную или средствами АВЗ(сервис\поиск файлов на диске\маска *.scr\ содержит текст- logon\поиск) потом запаковать и проверить на https://www.virustotal.com/ru/ и отправить же касперам на анализ.
Что с логами и что с ответом ЛК?
Оба трояны, но более опасен ntos.exe
Сейчас более интересует файл C:\WINDOWS\system32\logon.scr, абсолютно православный в миру и не прошедший по базе безопасных в АВЗ. Его(если не попал в карантин) нужно отыскать вручную или средствами АВЗ(сервис\поиск файлов на диске\маска *.scr\ содержит текст- logon\поиск) потом запаковать и проверить на https://www.virustotal.com/ru/ и отправить же касперам на анализ.
Что с логами и что с ответом ЛК?
-=Велла=-
Акула пера
1/29/2009, 4:43:07 PM
Про "что из них что" я спрашивала про команды - какая из при загрузке удалять, а какая нет.. 
меня вообще то насторожил 'C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r', а остальное я что-то пропустила )))
Ладно, я еще логи Хайджека не получила...
меня вообще то насторожил 'C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe/r', а остальное я что-то пропустила )))
Ладно, я еще логи Хайджека не получила...
DELETED
Акула пера
1/29/2009, 5:57:56 PM
(-=Велла=- @ 29.01.2009 - время: 13:43) Про "что из них что" я спрашивала про команды - какая из при загрузке удалять, а какая нет..
ВС-boot clean -это очистка системы после удаления файлов при перезагрузке.
После лечения нужно установить SP3 с последующими заплатками
https://www.microsoft.com/downloads/details...08-1e1555d4f3d4
и нормальный антивирус.
На досуге не помешает почитать это https://security-advisory.ru/, если собираетесь продолжать использовать ОS windows.
ВС-boot clean -это очистка системы после удаления файлов при перезагрузке.
После лечения нужно установить SP3 с последующими заплатками
https://www.microsoft.com/downloads/details...08-1e1555d4f3d4
и нормальный антивирус.
На досуге не помешает почитать это https://security-advisory.ru/, если собираетесь продолжать использовать ОS windows.
DELETED
Акула пера
1/29/2009, 6:28:43 PM
Приятно видеть адекватных новичков. :)
-=Велла=-
Акула пера
1/29/2009, 7:14:29 PM
Раненый
не... SP3 ставить не буду, бо не себе...
И почему у меня нету ни вирусов, ни антивируса... и где их люди находят?
не... SP3 ставить не буду, бо не себе...
И почему у меня нету ни вирусов, ни антивируса... и где их люди находят?
-=Велла=-
Акула пера
1/29/2009, 7:15:59 PM
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14:31, on 29.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\trafinspag.exe
C:\WINDOWS\PixArt\PAC7311\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\test\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O4 - HKLM\..\Run: C:\WINDOWS\system32\trafinspag.exe
O4 - HKLM\..\Run: C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r
O4 - HKLM\..\Run: C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: C:\Program Files\QIP.Online\qiponline.exe auto_start
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282
O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC157CE-2B96-46F9-8C85-9A05241FA5F2}: NameServer = 192.168.128.1,172.21.17.6
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 6160 bytes
ВОт это лишнее...
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r
Что еще?
Scan saved at 16:14:31, on 29.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\trafinspag.exe
C:\WINDOWS\PixArt\PAC7311\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\test\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O4 - HKLM\..\Run: C:\WINDOWS\system32\trafinspag.exe
O4 - HKLM\..\Run: C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r
O4 - HKLM\..\Run: C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: C:\Program Files\QIP.Online\qiponline.exe auto_start
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282
O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC157CE-2B96-46F9-8C85-9A05241FA5F2}: NameServer = 192.168.128.1,172.21.17.6
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 6160 bytes
ВОт это лишнее...
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r
Что еще?
DELETED
Акула пера
1/29/2009, 8:29:35 PM
Я ведь не зря написал выше "Сделать стандартный скрип АВЗ №3!" Отключив Аваст и сеть.
При выполнении скрипта №2 лог которого был в первом сообщении, не активен драйвер расширенного мониторинга процессов AVZPM и многое просто не попадает в лог. Нужен лог virinfo_siscure.zip.
После выполнения скрипта №3
пофиксить если не пользуетесь:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282
O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283
пофиксить, если отыщутся строчки:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
При выполнении скрипта №2 лог которого был в первом сообщении, не активен драйвер расширенного мониторинга процессов AVZPM и многое просто не попадает в лог. Нужен лог virinfo_siscure.zip.
После выполнения скрипта №3
пофиксить если не пользуетесь:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll
O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/282
O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MRSptnk2_0_1_31.dll/283
пофиксить, если отыщутся строчки:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: "C:\DOCUME~1\test\LOCALS~1\Temp\\2\svchost.exe"/r\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
-=Велла=-
Акула пера
1/29/2009, 8:50:44 PM
ага.. понятно...
да фиг я знаю, пользуются там или нет.. говорит, что мэйл-агент юзает...
virinfo_siscure.zip. - то-то я и смотрю, что этот файл всегда пустой
да фиг я знаю, пользуются там или нет.. говорит, что мэйл-агент юзает...
virinfo_siscure.zip. - то-то я и смотрю, что этот файл всегда пустой
DELETED
Акула пера
1/30/2009, 7:31:04 PM
Вижу, что вы намерены прекратить лечение, тогда хочу предупредить:
Если имеете веб-кошелки, ...card's, любимые аккаунты в он-лайн играх, советую поменять эти пароли в первую очередь и том числе и все админские пароли ситемы.
Под маской *ntos зачастую скрывается трояны класса PSW- специализирущиеся на краже конф.инфы.( модификации Banker, Zbot ...).
Если имеете веб-кошелки, ...card's, любимые аккаунты в он-лайн играх, советую поменять эти пароли в первую очередь и том числе и все админские пароли ситемы.
Под маской *ntos зачастую скрывается трояны класса PSW- специализирущиеся на краже конф.инфы.( модификации Banker, Zbot ...).
-=Велла=-
Акула пера
1/30/2009, 7:46:43 PM
Раненый
нет... я еще не закончила...
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
нет... я еще не закончила...
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
DELETED
Акула пера
1/30/2009, 7:57:30 PM
(-=Велла=- @ 30.01.2009 - время: 16:46)
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений.
С уважением.
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений.
С уважением.
-=Велла=-
Акула пера
1/30/2009, 8:26:01 PM
(Раненый @ 30.01.2009 - время: 16:57) (-=Велла=- @ 30.01.2009 - время: 16:46)
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений.
С уважением.
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
я ж говою, я не имею доступа в компу, с которого эти логи.... я по аське все делаю ))) я говорю - а там делают
А у ифицированного нет доступа на SN? Непосредственная помощь значительно эффективней. Там, где "делают", очевидно не понимают степени риска. Или его(риска) нет вовсе-(нет кошелей, карт, и вообще пофиг). Тогда переустановка системы может всё решить всё без лишних телодвижений.
С уважением.
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
DELETED
Акула пера
1/30/2009, 8:43:59 PM
(-=Велла=- @ 30.01.2009 - время: 17:26)
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS
-=Велла=-
Акула пера
1/30/2009, 9:17:45 PM
(Раненый @ 30.01.2009 - время: 17:43) (-=Велла=- @ 30.01.2009 - время: 17:26)
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS
да вот еще вызывать... Сама съезжу, если надо... тут всего-то 50 км ехать... Вот еще деньги платить
нет... ДОступ на СН этому человеку лучше не надо.. Это моя мама
Мама-человеко-anticri-tyюзер(кст. здоровьичка ей доброго на векивечные). В этом случае проще переустановить OS. Вызвать из сервиса и с гарантией(на время), поставить в соответствии с правилами безопасности,- OS
да вот еще вызывать... Сама съезжу, если надо... тут всего-то 50 км ехать... Вот еще деньги платить