Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

AVZ не работает, BASE папка, NAIL message. (заявка № 4661)

  1. #1
    BEPYHR
    Guest

    AVZ не работает, BASE папка, NAIL message.

    Здравствуйте,
    у меня начали выскакивать разные окна, решила почитстить. Сделала всё по правилам, проверила систему антивирусом, Ad-Aware SE Personal, Spyboat Search and Destroy в безопасном режиме. Потом хотела проверить улитой AVZ, но вылез такой месседж:

    http://img157.imageshack.us/img157/2...message4kz.jpg

    Я перегрузила комп, зашла, а там следующий месседж:

    http://img157.imageshack.us/img157/2...message0mp.jpg

    Еще на десктопе начали появляться папки, "BASE", "Backups" которых я не создавала.

    Вот Лог Hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 9:10:58 , on 04/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\windows\System32\nvsvc32.exe
    C:\windows\system32\pctspk.exe
    C:\windows\System32\svchost.exe
    C:\windows\Explorer.exe
    C:\windows\Mixer.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Winamp\winampa.exe
    C:\windows\System32\ctfmon.exe
    C:\Program Files\Rwin\rwin.exe
    C:\windows\System32\wuauclt.exe
    C:\windows\System32\wuauclt.exe
    C:\Documents and Settings\Vera\Desktop\HijackThis.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ediet.ru/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :0
    F2 - REG:system.ini: Shell=Explorer.exe C:\windows\Nail.exe
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.d ll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {4FE43F46-8CFD-FD7B-8528-AF7F1018D8C4} - C:\windows\System32\mhorops.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.d ll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
    O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
    O4 - HKLM\..\Run: [P2P Networking] C:\windows\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: R-WIN Keyboard Switch.lnk = C:\Program Files\Rwin\rwin.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Viewpoint Search - res://C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
    O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
    O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
    O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
    Последний раз редактировалось BEPYHR; 05.02.2006 в 08:30.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от BEPYHR
    Здравствуйте,
    у меня начали выскакивать разные окна, решила почитстить. Сделала всё по правилам, проверила систему антивирусом, Ad-Aware SE Personal, Spyboat Search and Destroy в безопасном режиме. Потом хотела проверить улитой AVZ, но вылез такой месседж:

    http://img157.imageshack.us/img157/2...message4kz.jpg
    проверьте установку системной даты и времени.

    если найдется, пришлите по правилам форума
    c:\windows\nail.exe
    C:\Documents and Settings\Vera\Desktop\phm.exe
    C:\windows\svcproc.exe

    в хиджаке пофиксите строки:
    F2 - REG:system.ini: Shell=Explorer.exe C:\windows\Nail.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)

    без лога исследования AVZ сложно что-то сказать, попробуйте перезагрузиться в безопасном режиме

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    В дополнение к списку MOCT пришлите также:

    C:\Program Files\Viewpoint\Viewpoint Toolbar\*.*
    C:\windows\System32\mhorops.dll

  5. #4
    BEPYHR
    Guest
    проверьте установку системной даты и времени.
    Устанавливала по ссылке из правил, последнюю версию.

    Те файлы которые нашла, выслала.
    В Хайджаке пофиксила.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Цитата Сообщение от BEPYHR
    Устанавливала по ссылке из правил, последнюю версию.
    Дело не в версии. В трее где часики у вас два раза на них кликните мышкой - вылезет календарь. Там дата и год какие стоят?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    На данный момент из присланного определяется только:
    ( KAV )
    C:\windows\System32\mhorops.dll - AdWare.Win32.PurityScan.ak

  8. #7
    BEPYHR
    Guest
    Дело не в версии. В трее где часики у вас два раза на них кликните мышкой - вылезет календарь. Там дата и год какие стоят?
    Всё правильно стоит.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    AVZ чем распаковывался ?? Нужно распаковать его на диск C, должна появиться папка AVZ4, в ней подпапки Base (с кучей файлов *.avz) и Script.

  10. #9
    BEPYHR
    Guest
    AVZ чем распаковывался ??
    RAR.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Распакуйте все файлы из архива (вместе с папками) в отдельную папку на диск C.
    И запускайте из этой папки avz.exe.

  12. #11
    BEPYHR
    Guest
    Загрузила AVZ в отдельную папку. Сработало. Удалило 61 вируса.
    Рекламные окна все равно вылазят. Вот HijackThis лог:

    Logfile of HijackThis v1.99.1
    Scan saved at 9:09:27 , on 18/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\system32\svchost.exe
    C:\windows\system32\rundll32.exe
    C:\windows\Explorer.EXE
    C:\Documents and Settings\Vera\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ediet.ru/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :0
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
    O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
    O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [TheMonitor] C:\windows\SYSC00.exe
    O4 - HKLM\..\Run: [kxyboexA] C:\windows\kxyboexA.exe
    O4 - HKLM\..\Run: [win32077417-153234] C:\windows\win32077417-153234.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: R-WIN Keyboard Switch.lnk = C:\Program Files\Rwin\rwin.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
    O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
    O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
    O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O20 - Winlogon Notify: App Management - C:\windows\system32\en86l1ls1.dll
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
    O23 - Service: Windows Overlay Components - Unknown owner - C:\windows\kxyboex.exe

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от BEPYHR
    O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
    O4 - HKLM\..\Run: [TheMonitor] C:\windows\SYSC00.exe
    O4 - HKLM\..\Run: [kxyboexA] C:\windows\kxyboexA.exe
    O4 - HKLM\..\Run: [win32077417-153234] C:\windows\win32077417-153234.exe
    O20 - Winlogon Notify: App Management - C:\windows\system32\en86l1ls1.dll
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
    O23 - Service: Windows Overlay Components - Unknown owner - C:\windows\kxyboex.exe
    указанные выше строки нужно пофиксить в HijackThis.

    после этого перезагрузиться, сделать новый лог HijackThis, сделать исследование системы AVZ и прикрепить их к сообщению в этой теме.

    также прислать на исследование файлы (искать с помощью AVZ с включенным противодействием руткитам):
    C:\Documents and Settings\Vera\Desktop\phm.exe
    C:\windows\SYSC00.exe
    C:\windows\kxyboexA.exe
    C:\windows\win32077417-153234.exe
    C:\windows\system32\en86l1ls1.dll
    C:\Program Files\Network Monitor\netmon.exe
    C:\windows\svcproc.exe
    C:\windows\kxyboex.exe

  14. #13
    BEPYHR
    Guest
    указанные выше строки нужно пофиксить в HijackThis.
    Сделала.
    после этого перезагрузиться, сделать новый лог HijackThis, сделать исследование системы AVZ и прикрепить их к сообщению в этой теме.
    Сделала. Но не уверена как постить лог AVZ.

    Все логи надо прикреплять как вложения
    Последний раз редактировалось Geser; 20.02.2006 в 08:16.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от BEPYHR
    Но не уверена как постить лог AVZ
    Расширенный режим - Управление вложениями. Все логи надо прикреплять как вложения, километровые сообщения очень тяжело читать.

    P.S. Лог AVZ надо прикреплять в виде архива.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Все присланные файлы - вредоносные.
    C:\windows\kxyboexA.exe - инфицирован Trojan.Click.911
    C:\windows\win32077417-153234.exe - инфицирован BackDoor.Generic.1219
    C:\Program Files\Network Monitor\netmon.exe - инфицирован Trojan.DnsChange
    C:\windows\kxyboex.exe - инфицирован Trojan.Popuper
    Их следует удалить.
    И не помешает просканировать диск используя Dr.Web Cureit!
    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

  17. #16
    BEPYHR
    Guest
    Пока ждала ответ, в safe mode просканировала еще раз AntiVir антивирусом, AdAware, Spyboat Search and Destroy, AVZ, Dr.Web.

    Зашла, прочитала ответ, удалила файлы с помощью AVZ:
    Все присланные файлы - вредоносные.
    C:\windows\kxyboexA.exe - инфицирован Trojan.Click.911
    C:\windows\win32077417-153234.exe - инфицирован BackDoor.Generic.1219
    C:\Program Files\Network Monitor\netmon.exe - инфицирован Trojan.DnsChange
    C:\windows\kxyboex.exe - инфицирован Trojan.Popuper
    Проблема не пропала. Окна до сих пор вылазят.
    Вот новые логи.
    Вложения Вложения

  18. #17
    Geser
    Guest
    Логи сделаны после удаления или до?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от BEPYHR
    Проблема не пропала. Окна до сих пор вылазят.
    Вот новые логи.
    Look2Me - похоже остался на "сладкое".
    Описание и лечение смотреть - http://virusinfo.info/showthread.php?p=66378

  20. #19
    BEPYHR
    Guest
    Цитата Сообщение от Geser
    Логи сделаны после удаления или до?
    Логи сделаны после удаления файлов.

  21. #20
    BEPYHR
    Guest
    Спасибо.
    У меня тут пару вопросов возникло про Dr. Web.
    После в трее появляется зелёный паук с красным крестом
    нажимаете на него правой кнопкой мыши - и выбираете "Update" или "Обновить"
    Я пару раз его загружала (первый раз не видела эту инструкцию) и красного паука пропустила. Мне еще раз перезагружать его или можно и так обновить?
    Выкачиваете из вложения к этой теме архив drweb32.zip это архив, в нём 1 файл - drweb32.ini распаковываете и записываете его в каталог c:\Program files\DrWeb вместо того файла, который в нём лежит.

    Файл нужно заменить обязательно.
    В папке Dr.Web куча файлов. Какой нужно изменить?
    После перезагружаетесь и делаете лог исследование системы в AVZ.
    Сначала нужно просканировать комп Dr. Web или просто установить файл, перезагрузить комп, и сделать лог AVZ?

  • Уважаемый(ая) BEPYHR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Out of date data base message dont stop to pop in
      От ed_poa в разделе Malware Removal Service
      Ответов: 4
      Последнее сообщение: 27.09.2010, 05:08
    2. COMODO AVP BASE
      От C_L_S в разделе Антивирусы
      Ответов: 3
      Последнее сообщение: 10.06.2009, 19:03
    3. Ответов: 126
      Последнее сообщение: 16.05.2006, 17:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00929 seconds with 26 queries