Помогите убрать это,по моему это вирус
fiofin
Любитель
8/20/2008, 12:43:30 AM
Всем привет!
Вчера тихо-мирно сидел в нете и ВДРУГ... комп сам стал перезагружаться.Такое иногда бывало,я привык,но в этот раз после перезагрузки,вместо привычного мне экрана появилась предупреждающая надпись(на английском),но без перевода можно было понять что что то ко мне в комп попало ПАКОСТНОЕ и НЕХОРОШЕЕ. Антивируса у меня в компе нет,я не ставил,есть правда фаервол(посоветовали). В дисках из журнала был антивирус Касперского,я его поставил(демку на 1 месяц),он нашёл какие то проги трояна с пометкой win32,но сильно ситуацию это неизменило.После выключения и перезагрузки компа опять вместо обоев на рабочем столе появляеться этот предупреждающий знак.
Я сделал скрин (через World),приложу.
Помогите мне удалить эту пакость с компа,если можно это сделать без переустановки Винды.Скажу сразу я любитель,а непрофессионал-просьба объясните ПОДРОБНЕЕ как и что сделать,что бы удалить вирус.
Вчера тихо-мирно сидел в нете и ВДРУГ... комп сам стал перезагружаться.Такое иногда бывало,я привык,но в этот раз после перезагрузки,вместо привычного мне экрана появилась предупреждающая надпись(на английском),но без перевода можно было понять что что то ко мне в комп попало ПАКОСТНОЕ и НЕХОРОШЕЕ. Антивируса у меня в компе нет,я не ставил,есть правда фаервол(посоветовали). В дисках из журнала был антивирус Касперского,я его поставил(демку на 1 месяц),он нашёл какие то проги трояна с пометкой win32,но сильно ситуацию это неизменило.После выключения и перезагрузки компа опять вместо обоев на рабочем столе появляеться этот предупреждающий знак.
Я сделал скрин (через World),приложу.
Помогите мне удалить эту пакость с компа,если можно это сделать без переустановки Винды.Скажу сразу я любитель,а непрофессионал-просьба объясните ПОДРОБНЕЕ как и что сделать,что бы удалить вирус.
DELETED
Акула пера
8/20/2008, 1:06:24 AM
1. Скачайте AVZ.
2. Распакуйте из архива.
3. Запустите AVZ и обновите базы (Файл -> "Обновление баз").
4. Файл -> Стандартные скрипты -> Cкрипт №3 -> Поставить галочку -> Выполнить отмеченнные.
5. Потом обязательно перезагрузите системму и выполните тем же способом стандартный скрипт №2 (после можно не перегружать).
Нужные логи будут в папке AVZ4\LOG avz_syscheck.zip и avz_syscure.zip
Прикрепите к своим ответам. (thnx for desc to ENT
)
6. Скачайте HiJackThis
7. Распакуйте из архива.
8. Выполните Do a system scan and save a log file.
9. Поместите лог сюда.
2. Распакуйте из архива.
3. Запустите AVZ и обновите базы (Файл -> "Обновление баз").
4. Файл -> Стандартные скрипты -> Cкрипт №3 -> Поставить галочку -> Выполнить отмеченнные.
5. Потом обязательно перезагрузите системму и выполните тем же способом стандартный скрипт №2 (после можно не перегружать).
Нужные логи будут в папке AVZ4\LOG avz_syscheck.zip и avz_syscure.zip
Прикрепите к своим ответам. (thnx for desc to ENT
)6. Скачайте HiJackThis
7. Распакуйте из архива.
8. Выполните Do a system scan and save a log file.
9. Поместите лог сюда.
fiofin
Любитель
8/20/2008, 2:43:16 AM
JeyLo, первые 5 рекомендованных вами пунктов я выполнил.Но вот дальше что делать? я просто не очень понимаю,что это за логи и как и куда я их должен прикрепить?HiJackThis я скачал,но я не понимаю как ей пользоваться,я её разархивировал,открылся файл текстовый документ с какими то записями. И что делать дальше? Я так понимаю что надо эти логи вставить в этот файл??? Но как? Подскажите плиз.
fiofin
Любитель
8/20/2008, 3:05:00 AM
Logfile of HijackThis v1.99.1
Scan saved at 22:44:29, on 19.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Вот этот Log появился в виде текстового файла при распаковке проги HiJackThis
но есть ещё одна папка Log которая получилась в проге AVZ. Что мне деать дальше?
Scan saved at 22:44:29, on 19.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Вот этот Log появился в виде текстового файла при распаковке проги HiJackThis
но есть ещё одна папка Log которая получилась в проге AVZ. Что мне деать дальше?
DELETED
Акула пера
8/20/2008, 3:13:00 AM
(fiofin @ 19.08.2008 - время: 22:43) JeyLo, первые 5 рекомендованных вами пунктов я выполнил.Но вот дальше что делать? я просто не очень понимаю,что это за логи и как и куда я их должен прикрепить?HiJackThis я скачал,но я не понимаю как ей пользоваться,я её разархивировал,открылся файл текстовый документ с какими то записями. И что делать дальше? Я так понимаю что надо эти логи вставить в этот файл??? Но как? Подскажите плиз.
Логи, которые запросил JeyLo, находятся в папке AVZ4->папка LOG(syscheck.zip и syscure.zip). Лог HiJackThis -это тот самый текстовый файл, который получился. Эти 3 лога положите в новую папку запакуйте одним архивом и прикрепите к сообщению.
Ещё пару вопросов, если можно:
вы написали, что Каспер ловил кого-то... Он теперь установлен у вас? Если да, загляните в карантин, и сообщите названия зверьков и главное путь к ним: например C:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\.. или C:\\\\\\\\WINDOWS\\\\\\\\System32\\\\\\\\Drivers\\\\\\\\...
На протяжении всего лечения нужно отключить обязательно \\\\\\\"восстановление системы\\\\\\\"! Папка отката системы,- надёжное прибежище партизанов.=)
edit: пока писал, вы лог HiJackThis выложили. Вопрос о версии каспера снят. Его, кстати лучше отключать во время скана АВЗ, как и другие приложения и интернет. Всё, кроме браузера.
Удалите(через установку\\удаление) BitAccelerator, это Adware, как и Bonjour
Логи, которые запросил JeyLo, находятся в папке AVZ4->папка LOG(syscheck.zip и syscure.zip). Лог HiJackThis -это тот самый текстовый файл, который получился. Эти 3 лога положите в новую папку запакуйте одним архивом и прикрепите к сообщению.
Ещё пару вопросов, если можно:
вы написали, что Каспер ловил кого-то... Он теперь установлен у вас? Если да, загляните в карантин, и сообщите названия зверьков и главное путь к ним: например C:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\.. или C:\\\\\\\\WINDOWS\\\\\\\\System32\\\\\\\\Drivers\\\\\\\\...
На протяжении всего лечения нужно отключить обязательно \\\\\\\"восстановление системы\\\\\\\"! Папка отката системы,- надёжное прибежище партизанов.=)
edit: пока писал, вы лог HiJackThis выложили. Вопрос о версии каспера снят. Его, кстати лучше отключать во время скана АВЗ, как и другие приложения и интернет. Всё, кроме браузера.
Удалите(через установку\\удаление) BitAccelerator, это Adware, как и Bonjour
fiofin
Любитель
8/20/2008, 3:44:42 AM
Версия Каспера(7.0.1.325),он установлен и работает,всё кого то ловит и отправляет в карантин,а я после удаляю кнопкой УДАЛИТЬ.
Зверьки везде,эти были не в карантине а в резервном хранилище:
C/windows/sistem32/lphcetpj076c/exe
C/program files/connection servise/jhh;k'k
и ещё есть с тем же путём но не такие.
К стати я не знаю как отключить восстановление системы,подскажите.
И архив с тремя ЛОГами выложить сюда? на форум???
Зверьки везде,эти были не в карантине а в резервном хранилище:
C/windows/sistem32/lphcetpj076c/exe
C/program files/connection servise/jhh;k'k
и ещё есть с тем же путём но не такие.
К стати я не знаю как отключить восстановление системы,подскажите.
И архив с тремя ЛОГами выложить сюда? на форум???
fiofin
Любитель
8/20/2008, 3:51:03 AM
У меня есть три фала ЛОГов в архиве,а как из них сделать один файл?
DELETED
Акула пера
8/20/2008, 3:52:51 AM
(fiofin @ 19.08.2008 - время: 23:44) Версия Каспера(7.0.1.325),он установлен и работает,всё кого то ловит и отправляет в карантин,а я после удаляю кнопкой УДАЛИТЬ.
Зверьки везде,эти были не в карантине а в резервном хранилище:
C/windows/sistem32/lphcetpj076c/exe
C/program files/connection servise/jhh;k'k
и ещё есть с тем же путём но не такие.
К стати я не знаю как отключить восстановление системы,подскажите.
И архив с тремя ЛОГами выложить сюда? на форум???
Восстановление отключите так: пр. кнопкой мыши на "мой комп"\свойства\вкладка восстановление системмы\поставить галку "отключить.."\применить\ок
"Warning!Spyware detected on your computer!"- сейчас разгар эпидемии этой дряни.
Если не трудно обновив базы АВЗ, повторите логи уже при отключённом восстановлении системы, а те что уже есть, прикрепите к сообщению. К сожалению времени мало... Но первый шаг это уже хорошо.
Удалите(через установку\\удаление) BitAccelerator, connection servise, Bonjour -это Adware
Зверьки везде,эти были не в карантине а в резервном хранилище:
C/windows/sistem32/lphcetpj076c/exe
C/program files/connection servise/jhh;k'k
и ещё есть с тем же путём но не такие.
К стати я не знаю как отключить восстановление системы,подскажите.
И архив с тремя ЛОГами выложить сюда? на форум???
Восстановление отключите так: пр. кнопкой мыши на "мой комп"\свойства\вкладка восстановление системмы\поставить галку "отключить.."\применить\ок
"Warning!Spyware detected on your computer!"- сейчас разгар эпидемии этой дряни.
Если не трудно обновив базы АВЗ, повторите логи уже при отключённом восстановлении системы, а те что уже есть, прикрепите к сообщению. К сожалению времени мало... Но первый шаг это уже хорошо.
Удалите(через установку\\удаление) BitAccelerator, connection servise, Bonjour -это Adware
fiofin
Любитель
8/20/2008, 4:25:49 AM
При отключённом восстановлении он не может создать логи,так как вылезает ошибка где то на обработке 50% и процесс останавливаеться.Ошибка выскакивает с интервалом в 1 секунду и заполняет весь экран.Я её даже прочитать не могу,что бы показать вам. Что делать?
DELETED
Акула пера
8/20/2008, 4:30:04 AM
(fiofin @ 20.08.2008 - время: 00:25) При отключённом восстановлении он не может создать логи,так как вылезает ошибка где то на обработке 50% и процесс останавливаеться.Ошибка выскакивает с интервалом в 1 секунду и заполняет весь экран.Я её даже прочитать не могу,что бы показать вам. Что делать?
Давайте те логи которые получились раньше. Восстановление не включайте. Зверь вышел на тропу войны.=))) И прочетайте мое предыдущее сообщение, я добавил кое что. Еще.. попробуйте сделать логи в безопасном режиме. И есть ли увас установочный диск WINDOWS SP2.
Давайте те логи которые получились раньше. Восстановление не включайте. Зверь вышел на тропу войны.=))) И прочетайте мое предыдущее сообщение, я добавил кое что. Еще.. попробуйте сделать логи в безопасном режиме. И есть ли увас установочный диск WINDOWS SP2.
fiofin
Любитель
8/20/2008, 4:31:31 AM
BitAccelerator, connection servise, Bonjour удалил! Может ещё что то можно сделать и нужно?
DELETED
Акула пера
8/20/2008, 4:37:05 AM
(fiofin @ 20.08.2008 - время: 00:31) BitAccelerator, connection servise, Bonjour удалил! Может ещё что то можно сделать и нужно?
Логи на бочку(первые самые). Не от чего пока оттолкнуться и что-то посоветовать.
Логи на бочку(первые самые). Не от чего пока оттолкнуться и что-то посоветовать.
fiofin
Любитель
8/20/2008, 4:38:25 AM
Это второй
fiofin
Любитель
8/20/2008, 4:40:12 AM
Это третий
Последний,больше нет.Может с этими получиться?
Последний,больше нет.Может с этими получиться?
DELETED
Акула пера
8/20/2008, 4:46:11 AM
(fiofin @ 20.08.2008 - время: 00:34) Это первый
Это уберите из сообщения! Это вирусня. Его я не просил. Нас накажут по правилам форума. Пока буду смотреть, обновите каспера и просканируйте папку WINDOWS с максимальными настройками скана.
Это уберите из сообщения! Это вирусня. Его я не просил. Нас накажут по правилам форума. Пока буду смотреть, обновите каспера и просканируйте папку WINDOWS с максимальными настройками скана.
fiofin
Любитель
8/20/2008, 4:57:25 AM
Просканировал. Каспер нашёл один файл,но написал что лечение невозможно.
DELETED
Акула пера
8/20/2008, 5:01:09 AM
(fiofin @ 20.08.2008 - время: 00:57) Просканировал. Каспер нашёл один файл,но написал что лечение невозможно.
Имя его, и где лежал? Давайте будем иформативнее немного, а то зафлудим тут всё=))
Имя его, и где лежал? Давайте будем иформативнее немного, а то зафлудим тут всё=))
fiofin
Любитель
8/20/2008, 5:06:14 AM
Backdoor.Win32.IRCBot.epu модуль svchost.exe/svchost.exe Вот это каспер обнаружил и обозначил как троян.
DELETED
Акула пера
8/20/2008, 5:22:12 AM
Теперь попробуй сделать логи при отключённом восстановлении системы, каспере и интернете!!! И закрой при этом все остальные приложения, кроме браузера.
fiofin
Любитель
8/20/2008, 5:53:28 AM
Logfile of HijackThis v1.99.1
Scan saved at 1:49:05, on 20.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Вот это получилось после отключения нета,каспера,и восстан.системы.
Scan saved at 1:49:05, on 20.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Вот это получилось после отключения нета,каспера,и восстан.системы.