Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Svetik
21 июня 2007, 17:54

ilya_ya написал: Что за программа мигает сообщением о вирусе?

Какойто Walware Alert.
Slonjra
21 июня 2007, 19:35

Svetik: Какойто Walware Alert.

Что-то сильно подозрительное , надо бы уточнить что это за зверь, и скорее всего именно его и придется пристрелить
Alex E Leonov
21 июня 2007, 19:38

Slonjra написал: Что-то сильно подозрительное

Яндекс ничего вразумительного не выдает не по "Walware", не по "Wallware".
Slonjra
21 июня 2007, 19:42

Alex E Leonov: Яндекс ничего вразумительного не выдает не по "Walware", не по "Wallware".

Гугля подходящего выдал только вот это

http://www.computing.net/security/wwwboard/forum/20155.html

в последнем посте описан обычный способ как чистить в safe mode.

Но для начала лучше бы увидеть hijack лог.

Кстати описание как делать этот лог не мешало бы как-то прибить к этой теме.
ilya_ya
21 июня 2007, 20:44

Svetik написала:
Какойто Walware Alert.

Malware Alert, а не Walware...
Этот alert - сам по себе гадость, садящаяся в систему, как правило, через дыры в Internet Explorer.

Сходи ка на http://freedrweb.com, скачай оттуда бесплатную лечилку Dr.Web CureIt (ссылка прямо на головной странице) и проверь ею все диски - может, найдёт что-нибудь, что NOD пропустил. NOD хоть лицензионный или не очень? Если антивирус ворованный, то его эффективность под большим вопросом, т.к. разработчики антивирусов то и дело строят козни таким копиям - то обновление заблокируют, то с очередным обновлением стоп-лист приедет, после которого пиратская копия работать перестаёт.

Если повторная проверка NODом и CureIt'ом ничего не находит, а проблема осталась, то скачай с http://www.tomcoyote.org/hjt/ утилиту hijackthis, установи её и запусти. В окне утилитки сделай "Do a system scan and save a logfile", сохрани лог и покажи его здесь.

А чтобы в будущем таких проблем было меньше, прочитай вот этот мой пост на первой странице темы.
Svetik
21 июня 2007, 21:57

ilya_ya написал: В окне утилитки сделай "Do a system scan and save a logfile", сохрани лог и покажи его здесь.

Оно?confused.gif
Logfile of HijackThis v1.99.1
Scan saved at 20:55:06, on 21.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winhosts32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINDOWS\vpsnetwork.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Invisible - {7FB39839-665D-4D47-873C-D3FC9889FC3E} - C:\WINDOWS\system32\specdata32.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Program Files\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Java Virtual Machine] wingfct.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Red Swoosh] C:\Program Files\RSSoft\RedSwoosh.exe /S
O4 - HKCU\..\Run: [System Driver] C:\WINDOWS\system32\scdata.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service : Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Svetik
21 июня 2007, 22:02
А др. веб пишет что вирусов не найдено. А то сообщение все равно вылазит.
Slonjra
21 июня 2007, 22:12

Svetik: O4 - HKCU\..\Run: [Red Swoosh] C:\Program Files\RSSoft\RedSwoosh.exe /S
O4 - HKCU\..\Run: [System Driver] C:\WINDOWS\system32\scdata.exe

Вот эти 2 подозрительны... Особенно 2ой - 99% - троян
Slonjra
21 июня 2007, 22:20
Так и есть

http://www.trendmicro.com/vinfo/virusencyc...YKSE.B&VSect=Sn

Главное вот про этот пункт не забудь, кода будешь лечить
----------
Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
----------
Выключить восстановление системы.
Svetik
21 июня 2007, 22:27

Slonjra написал: Выключить восстановление системы.

То есть виндоусу капут будет? Нужно будет все заново устанавливать?
Svetik
21 июня 2007, 22:29
и как его лечить-то? frown.gif
Alex E Leonov
21 июня 2007, 22:40

Svetik написала: То есть виндоусу капут будет?

После удаления вируса включишь обратно.
Svetik
21 июня 2007, 22:46

Slonjra написал: Вот эти 2 подозрительны... Особенно 2ой - 99% - троян

так а какой удалять?

Slonjra написал: Выключить восстановление системы.

А где оно отключается и когда? перед удалением?
Slonjra
21 июня 2007, 22:47

Svetik: и как его лечить-то? 

Вообще-то в моем последнем посте по ссылочке расписано все по пунктикам, куда пойти и что сделать.
Если там все слова тебе незнакомые, то лучше тогда кого-нибудь попросить сделать это, а то сама такого наворочаешь, что тогда точно придется переустанавливать Винду.
Svetik
21 июня 2007, 22:47


это здесь расписано как удалять?
Svetik
21 июня 2007, 22:48

Slonjra написал: Вообще-то в моем последнем посте по ссылочке расписано все по пунктикам, куда пойти и что сделать.

да английский то я знаю...
Спасибо за помощь счас попробую может..
Alex E Leonov
21 июня 2007, 22:48

Svetik написала: и как его лечить-то?

Выключить восстановление системы.
Перегрузиться в безопасном режиме.
Пуск - выполнить - набрать regedit ентер.
В левой панели, найти и два раза мышью:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
в правой панели найти и удалить запись:
System Driver = "%System%\scdata.exe"
(Памятка: %System% Это Windows системная папка, например C:\Windows\System32.)
Потом, в левой панели, найти и 2 раза мышью:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
в правой панели найти и удалить запись:
System Driver = "%System%\scdata.exe"
Закрыть окно.
перегрузиться
Svetik
21 июня 2007, 22:50

Alex E Leonov написал: Выключить восстановление системы.

как?
Slonjra
21 июня 2007, 22:52

Svetik: как?

Вот ведь ааа ))) все там же по той же ссылочке

http://www.trendmicro.com/vinfo/secadvisor...+System+Restore
Alex E Leonov
21 июня 2007, 22:53

Svetik написала: да английский то я знаю...

А чего я тут выпендриваюсь тогда? 3d.gif

Svetik написала: А где оно отключается

Правой кнопкой на "мой компьютер" - свойства - восстановление системы - отключить восстановление системы - ок. smile.gif

Svetik написала: и когда? перед удалением?

Перед удалением.
Svetik
21 июня 2007, 22:56

Slonjra написал: Вот ведь ааа ))) все там же по той же ссылочке


Alex E Leonov написал: А чего я тут выпендриваюсь тогда? 3d.gif

там слишком много букв и я в этих вопросах мнэ...ну вы поняли уже.
Wast
22 июня 2007, 01:57

ilya_ya написал: Malware Alert, а не Walware...
Этот alert - сам по себе гадость, садящаяся в систему, как правило, через дыры в Internet Explorer.

Все удалили, кроме вот этой самой гадости Malware, которая и устроила весь хипеш. mad.gif
Лог ран на данный момент выглядит так
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Program Files\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Java Virtual Machine] wingfct.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
Moon aka Sun
22 июня 2007, 02:52

Wast написал: O4 - HKLM\..\RunOnce: [Java Virtual Machine] wingfct.exe

Ява с таким странным именем и без пути? smile.gif Приводит нас сюда.
Helg
22 июня 2007, 04:25

Svetik написала:
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll

И вот эти два тоже весьма подозрительны.

Moon aka Sun написал: Ява с таким странным именем и без пути?

Волк в овечьей шкуре. smile.gif
Slonjra
22 июня 2007, 05:09

Wast написал: Все удалили, кроме вот этой самой гадости Malware, которая и устроила весь хипеш.
Лог ран на данный момент выглядит так

А точно все сделали по той ссылочке, что я приводил..? Даже в если вы это делали в защищенном режиме, вы проверили, что этот красавец не болтается в уже запушенных процессах, как там сказано в первом абзаце..?

Вообщем давайте еще разок полный лог, после проведенной зачистки, бум еще раз думать.






Slonjra
22 июня 2007, 05:10

Moon aka Sun написал: Ява с таким странным именем и без пути?  Приводит нас сюда.

Кстати да..Яве вообще неположено быть в ключе \runonce.
Wast
22 июня 2007, 10:56

Slonjra написал: А точно все сделали по той ссылочке, что я приводил..? Даже в если вы это делали в защищенном режиме, вы проверили, что этот красавец не болтается
в уже запушенных процессах, как там сказано в первом абзаце..?

Да, все в точности как написано и восстановление откл и защищенный режим, все равно стоит аки памятник.
По ссылкам поиска на этот Малваре вышел на программу Antispyware. Она обнаружила 6 типов троянов в более чем сотни телах. Все вычистила кроме непобедимого Adware. Tracking Cookies который и есть этот Malware
Wast
22 июня 2007, 10:58

Slonjra написал: Вообщем давайте еще разок полный лог, после проведенной зачистки, бум еще раз думать.

Logfile of HijackThis v1.99.1
Scan saved at 9:55:32, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
E:\Games\GiantsLegacyC4\system\L2.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Client\FERReader.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ??????
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Program Files\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &??????? ? Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: ???????? ??? ??? ?????? FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: ???????? ??? ?????? FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ?????????? ????????? - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll
O23 - Service: ?????? ??????? (Eventlog) - ?????????? ?????????? - C:\WINDOWS\system32\services.exe
O23 - Service: ?????? COM ?????? ???????-?????? IMAPI (ImapiService) - ?????????? ?????????? - C:\WINDOWS\system32\imapi.exe
O23 - Service: ?????? iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - ?????????? ?????????? - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - ?????????? ?????????? - C:\WINDOWS\system32\services.exe
O23 - Service: ????????? ?????? ??????? ??? ?????????? ???????? ????? (RDSessMgr) - ?????????? ?????????? - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ?????-????? (SCardSvr) - ?????????? ?????????? - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ??????? ? ?????????? ?????????????????? (SysmonLog) - ?????????? ?????????? - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: ??????? ??????????? ???? (VSS) - ?????????? ?????????? - C:\WINDOWS\System32\vssvc.exe
O23 - Service: ??????? ?????????????????? WMI (WmiApSrv) - ?????????? ?????????? - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Wast
22 июня 2007, 11:22

Moon aka Sun написал: Приводит нас сюда.

Infected with Sys32. vpssup
и еще 10 подобных радостей mad.gif все с Sys32
ilya_ya
22 июня 2007, 15:32

Svetik написала: А др. веб пишет что вирусов не найдено. А то сообщение все равно вылазит.

Всегда есть пакость, которую ещё не знает ни один антивирус, а заразы, которую в данный конкретный момент времени не опознаёт один конкретный антивирус, намного больше.

Вот список весьма подозрительных файлов:
C:\WINDOWS\system32\winhosts32.exe
C:\WINDOWS\vpsnetwork.dll
wingfct.exe (скорей всего, тоже в C:\Windows)
C:\WINDOWS\system32\scdata.exe
C:\WINDOWS\vpssup.dll
C:\WINDOWS\expro.dll

Проверь эти файлы на http://www.virustotal.com/ - там робот, проверяющий множеством самых разных антивирусов. Думаю, по результатам этой проверки будет всё ясно.



ilya_ya
22 июня 2007, 15:40

Wast написал:

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll


Вот эти три записи мне не нравятся, особенно первая, в которой почему-то ссылки на файл нет.
ilya_ya
22 июня 2007, 15:47

Wast написал:
Все вычистила кроме непобедимого Adware. Tracking Cookies который и есть этот Malware

Это трекинговые куки, которые и мальварью-то стыдно называть. По этим кукам рекламные сервера, с которых баннеры берутся, отслеживают, на какие сайты ходит юзер, для того, чтобы ему правильную рекламу подсовывать. "Лечатся" эти куки тривиальной чисткой кук в браузере и дальнейшим запретом их сохранения для всех сайтов, кроме нужных. И причиной той пакости они быть не могут - там вообще нет исполняемого кода - это просто метка, которой рекламная система метит комп и потом при заходе юзера на разные сайты, работающие с этой системой, собирает статистику.
Wast
23 июня 2007, 14:11

ilya_ya написал: Это трекинговые куки, которые и мальварью-то стыдно называть.

Что на данный момент сущуствует. Существует сообщение в трее от Malware alert, что я нахожусь на грани ИТ колапса и в моей машине стращный зверь с неизвестным назвнием. Это соответственно сообщение от вируса а не от антивируса. Существует подмена рабочего стола сообщнением на красном фоне "Мы жже предупреждали, быстро скачайте наши антивирусы" и три иконки на рабочем столе с вероятно запускаемыми модулями.Переодически вся эта лабуда запускает броузер с выходом на какието страницы нета.
Никто из антивирусов кроме рекомендуемого тут Ramoveit ничего не находит. Возиожности его преобретения я не представляю3d.gif
ilya_ya
23 июня 2007, 23:52

Wast написал:
Что на данный момент сущуствует.

1. Загрузиться в безопасном режиме и запустит хайджек.

2. В окне хайджека поставить галки напротив вот этих строк:

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll

и потом нажать "Fix checked".

3. перезагрузить комп и проверить, пропали ли лишние значки и сообщения.

4. Если пропали, отослать эти dll-ки разработчикам тех антивирусов, которые не опознают заразу.

5. Соблюдать рекомендации, на которые я уже давал ссылку, чтобы не подцепить однажжды новый вариант такой пакости.
Wast
25 июня 2007, 10:31

ilya_ya написал: O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: vpssup - {CD123794-DE8E-4305-B644-75EA5B9B3424} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {0E450292-126B-4191-882D-90F1C24CED61} - C:\WINDOWS\expro.dll

Спасибо, помогло. 2jump.gif
Project
9 июля 2007, 20:50
Пару дней назад относил флешку в сервис на замену (была физическая проблема со светодиодом). Парень, делавший осмотр, также сказал, что на ней были какие-то вирусы, он их удалил. Источник возможной заразы - домашний комп, но ХР работает без нареканий, на компе стоит Dr.Web (лиц.) + Zone Alarm Pro, все сист. обновления установлены (XP на лицензии). Сканирование Вебом вирусов не выявило.
Рискнул (знаю, знаю, что не правильно. Понадеялся, что KAV выявит вирусяку) поставить сканер Каспера (потом сделал откат системы), просканил, тоже все чисто.

На всякий случай, вот лог HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:32:17 PM, on 7/9/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinACD\i386\acdpower.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\WinACD\i386\ACDMon.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lvagent.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
C:\PROGRA~1\MICROS~4\wcescomm.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AIMPCL~1\cAIMP.exe
C:\Program Files\Adobe Premiere 6.5\premiere.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://codec.kiev.ua/
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinACD Brightness Monitor] C:\Program Files\WinACD\i386\ACDMon.exe
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Tutor.exe" /ND /NW /AS
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~4\wcescomm.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Download with Rapget - C:\Program Files\rapget133\rapget.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Nicaaiea eca?aiiiai ia iiaeeuiii ono?ienoaa... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra button: Ni?aai?iua iaoa?eaeu - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F4D043A-59A3-40CA-8917-1E0BA7777A6A}: NameServer = 82.200.130.10 212.19.149.53
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: WinACD Power Button Service (ACDPowerService) - Unknown owner - C:\Program Files\WinACD\\i386\acdpower.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ilya_ya
9 июля 2007, 21:58

Project написал: Пару дней назад относил флешку в сервис на замену (была физическая проблема со светодиодом). Парень, делавший осмотр, также сказал, что на ней были какие-то вирусы, он их удалил. Источник возможной заразы - домашний комп,

По логу ничего подозрительного не наблюдается. Если флешка втыкалась в какие-нибудь другие компы, то она вполне могла там заразиться. Если ты не проверял её после этого сканером, то зараза вполне могла остаться незамеченной, так как монитор проверяет только те файлы, к которым обращаешься. а к заражённым файлам обращения могло и не быть...
Project
10 июля 2007, 07:12

ilya_ya написал:
По логу ничего подозрительного не наблюдается.

Спасибо, рад это слышать.

Если флешка втыкалась в какие-нибудь другие компы, то она вполне могла там заразиться. Если ты не проверял её после этого сканером, то зараза вполне могла остаться незамеченной, так как монитор проверяет только те файлы, к которым обращаешься. а к заражённым файлам обращения могло и не быть...

Сканером я не проверял, но перед походом в сервис я скопировал все файлы с флешки на комп, т.к. была вероятность замены флешки. По идее, монитор Веба должен был бы указать на зараженный файл(ы) при копировании, но он ни на что не ругался. Вот в чем загвозка. А флешку на других компах пару раз использовал - сегодня пойду все проверять.
Project
10 июля 2007, 08:08
Последний вариант - комп на работе. Ниже - лог Hijackthis, но ничего подозрительного я так и не увидел:

Logfile of HijackThis v1.99.1
Scan saved at 10:02:56 AM, on 7/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Program Files\DrWeb\spiderml.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lvagent.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\AIMPCL~1\cAIMP.exe
C:\Program Files\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series (Copy 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P39 "EPSON Stylus Photo R220 Series (Copy 1)" /O6 "USB002" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Canon LBP-810 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 11 English-Russian Dictionary\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Save Flash - res://C:\Program Files\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Nicaaiea eca?aiiiai ia iiaeeuiii ono?ienoaa... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Ni?aai?iua iaoa?eaeu - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\Flash Saving Plugin\FlashSButton.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ilya_ya
11 июля 2007, 01:15

Project написал:
Сканером я не проверял, но перед походом в сервис я скопировал все файлы с флешки на комп, т.к. была вероятность замены флешки. По идее, монитор Веба должен был бы указать на зараженный файл(ы) при копировании, но он ни на что не ругался. Вот в чем загвозка. А флешку на других компах пару раз использовал - сегодня пойду все проверять.

Да. Должен был среагировать, если знает. Файла autorun.inf на флешке не наблюдалось? Может, имеет смысл проверить файлы с флешки на http://virustotal.com - там куча разных антивирусов и если среди файлов действительно затесался неизвестный доктору вирус, то на него наверняка сработает какой-нибудь другой антивирус.

По второму логу тоже ничего подозрительного не видно.
Project
12 июля 2007, 18:38

ilya_ya написал:
Файла autorun.inf на флешке не наблюдалось?

Нет, не наблюдалось. Да и у меня на всех компах autorun выключен - привычка wink.gif

Может, имеет смысл проверить файлы с флешки на http://virustotal.com - там куча разных антивирусов и если среди файлов действительно затесался неизвестный доктору вирус, то на него наверняка сработает какой-нибудь другой антивирус.

Тот парень из сервиса всё подозрительное удалил. Видимо, придется его пытать smile4.gif Но все равно спасибо.
ilya_ya
12 июля 2007, 22:41

Project написал:
Тот парень из сервиса всё подозрительное удалил. Видимо, придется его пытать 

Ты же перед писал, что все файлы с флешки скопировал на винчестер перед походом в сервис, то есть на винчестере эти заражённые файлы должны были остаться.

Может, эту флешку в сервисе сначала воткнули в заражённый комп, а потом уже парень из сервиса обнаружил на ней вирусы. Но в любом случае было бы интересно узнать, что это были за зверьки.
Project
13 июля 2007, 06:28

ilya_ya написал:
Ты же перед писал, что все файлы с флешки скопировал на винчестер перед походом в сервис, то есть на винчестере эти заражённые файлы должны были остаться.

Точно, запямятовал.

Но в любом случае было бы интересно узнать, что это были за зверьки.

Мне - особенно smile4.gif
merri
26 июля 2007, 02:46
Компьютер стал выдавать синие экраны со ссылкой на amon.sys. После переустановки NOD'a в безопасном режиме начал грузиться, но сильно тормозил.

Истребление C:\WINDOWS\system32\ntos.exe решило проблему, во вложении последний лог hijack, не осталось ли там что-нибудь подозрительное?
ilya_ya
26 июля 2007, 07:10

merri написала: Компьютер стал выдавать синие экраны со ссылкой на amon.sys.

Увы, для антивирусов это довольно частая ситуация - уж очень глубоко им приходится залезать в систему, чтобы обеспечивать защиту.

merri
Истребление C:\WINDOWS\system32\ntos.exe решило проблему,

Похоже, тебе сильно повезло, что заражение этим гадом произошло после 15-го июля. Осторожнее надо быть, особенно с приходящими по электронной почте вложениями - эти шифровальщики распространяются, как правило, спамерскими рассылками.

merri
во вложении последний лог hijack, не осталось ли там что-нибудь подозрительное?

Программа переключения раскладки Switch It установлена в системе? Если нет, то тогда подозрительна вот эта запись:

O4 - HKLM\..\Run: [switchit.exe] switchit.exe
merri
26 июля 2007, 15:17

ilya_ya написал: Похоже, тебе сильно повезло, что заражение этим гадом произошло после 15-го июля. Осторожнее надо быть, особенно с приходящими по электронной почте вложениями - эти шифровальщики распространяются, как правило, спамерскими рассылками.

Компьютер не мой, но повезло smile.gif

Программа переключения раскладки Switch It установлена в системе?

Да, установлена.
ilya_ya
26 июля 2007, 21:57

merri написала:
Да, установлена.

Тогда ничего подозрительного я больше не вижу. Может, кто ещё посмотрит - я мог и пропустить что-нибудь.
Madjara
12 августа 2007, 19:55
Собственно, сабж: DrWeb выявил, что svchost.exe заражен Jeefo. Вылечить не удается. В результате при каждой загрузке выпадает окошко, мол, "Generic Host Process..." что-то там про Win32.
Более того, комп добровольно не перезагружается, только через reset.
Вопрос: как теперь жить? frown.gif
Okeanolog
12 августа 2007, 22:19

Madjara написала: как теперь жить?

Ну, во-первых, перенести свой пост сюда, а то у нас темы вирусов расползлись, как тараканы.
Во-вторых, отсюда скачай утилиту Dr.Web CureIT! и проверь ей комп, загрузив его как минимум в безопасном режиме, а лучше - с LiveCD. Вирус известный, Dr.Web прибивает его на раз.
Madjara
13 августа 2007, 01:17

Okeanolog написал:
Вирус известный, Dr.Web прибивает его на раз.

Прибить-то прибьет, но комада "лечить" не дает результата, предлагается удалить или переместить. А ведь svchost - нужная штука...
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»