Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Прошу проверить логи (заявка № 4873)

  1. #1
    jareger
    Guest

    Прошу проверить логи

    Привет!

    Опять обращаюсь к вам за помощью. Комп заболел какой-то гадостью. Я его долго мучал Нортоном и другими приблудами, т.к. AVZ в обычном режиме он включать не давал. В защищенном все шло гладко и удалялось куча гадостей. Но в обычном режиме ниче не получалось. Комп после старта сильно тормозил. Не загружал все, что надо Потом можно было работать миг с 15 и опять тоже самое. Потом я услышал про Look2Me. Залез к вам и действовал согласно инструкциям о Dr.Web...
    http://virusinfo.info/showthread.php?t=4481
    Нортон удалось удалить с большим скрипом, но получилось. Теперь, вроде как, все в норме, но я не уверен...потому прошу глянуть логи....
    И еще...после загрузки вылазит "ошибка Winlogon"...вот здесь говорится, что можете помочь
    http://virusinfo.info/showpost.php?p=63406&postcount=16
    а когда пытаешься открыть Инет, вылазит вот такая хрень (см. картинку в прицепе)

    Заранее очень благодарен!!!
    Последний раз редактировалось jareger; 05.07.2006 в 08:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Пришлите

    C:\WINDOWS\system32\paytime.exe
    C:\WINDOWS\sysldr32.exe
    C:\WINDOWS\system32\bum588.exe
    C:\WINDOWS\inet20004\winlogon.exe
    c:\stub_113_4_0_4_0.exe
    С:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    C:\WINDOWS\system32\aaoofiid.dll
    C:\WINDOWS\system32\en86l1ls1.dll
    C:\WINDOWS\system32\mzdtctm.dll

    Поищите

    hpprintx.dll
    msupdate32.dll
    ssldr32.dll
    wancp.dll

    Пофиксите

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/152f7865...p/RdxIE601.cab
    O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
    O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
    O20 - Winlogon Notify: policies - C:\WINDOWS\system32\en86l1ls1.dll (file missing)
    O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)
    O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    O20 - Winlogon Notify: wancp - wancp.dll (file missing)
    O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\aaoofiid.dll (file missing)
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

    В файле Hosts (C:\WINDOWS\system32\drivers\etc\hosts) все записи кроме 127.0.0.1 localhost удалите
    Последний раз редактировалось ALEX(XX); 24.02.2006 в 11:21.
    Left home for a few days and look what happens...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Так-же пришлите, если найдёте -
    C:\Program Files\MSN Messenger\MsnMsgr.Exe"
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Common Files\VCClient\VCClient.exe
    C:\Program Files\Common Files\VCClient\VCMain.exe
    C:\WINDOWS\system32\aaoofiid.dll
    hpprintx.dll
    en86l1ls1.dll
    Последний раз редактировалось RiC; 24.02.2006 в 11:28.

  5. #4
    jareger
    Guest
    Высылаю, что нашел. Ошибки при загрузке и открытии Инет-а пропали. Также кидаю логи. Хотел кинуть еще один архив, но 1-е -> он не влазит, а 2-е -> говорит, что поврежден
    Последний раз редактировалось jareger; 05.07.2006 в 08:32.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    На будущее: подозрительные файлы следует присылать на virus[at]virusinfo.info

    А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    C:\WINDOWS\inet20004\winlogon.exe

    Пофиксите

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    Последний раз редактировалось ALEX(XX); 24.02.2006 в 13:16.
    Left home for a few days and look what happens...

  7. #6
    jareger
    Guest
    Цитата Сообщение от ALEX(XX)
    А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    вот это находит, но в карантин не добавляет...

    Цитата Сообщение от ALEX(XX)
    C:\WINDOWS\inet20004\winlogon.exe
    Этого нет совсем...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Попробуйте осуществить поиск в безопасном режиме загрузки системы.
    Left home for a few days and look what happens...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от jareger
    вот это находит, но в карантин не добавляет...
    Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.

    Качаете свежий AVZ, включаете AVZGuard, потом идёте в "Сервис-Менеджер автозапуска" находите ur32art.dll выбираете удалить запись и перезагружаетесь не выключая Guard, после перезагрузки пробуете скопировать и прислать нам, ну заодно и стереть.

  10. #9
    jareger
    Guest
    Цитата Сообщение от RiC
    Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.
    окб постараюсь!

    Цитата Сообщение от RiC
    включаете AVZGuard
    вот тут не понял...это сам AVZ или как?

    все, понял....не посмотрел просто, а сразу спрашивать полез...)
    Последний раз редактировалось jareger; 24.02.2006 в 17:39.

  11. #10
    jareger
    Guest
    В Менеджере автозапуска я не нашел эту заразу (см. прицеп)

    Хотел еще спросить...компом в данный момент мона пользоваться? Насколько велика вероятность заражения другого компа, если на уже зараженном сделать какой либо документ и перекинуть на "здоровый"? А в Инет вылазить мона? Хуже не станет?

    кстати о прицепах...у меня там уже больше половины допустимого места занято...это как-то можно подчистить?
    Последний раз редактировалось jareger; 05.07.2006 в 08:32.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Сделайте новые логи, а то непонятно что осталось, а чего уже нет, возможно доктор до неё уже "добрался" раньше Вас.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...

  14. #13
    jareger
    Guest
    Цитата Сообщение от Зайцев Олег
    C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...

    дык и че делать-то?? ) логи высылать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    C:\WINDOWS\inet20004\winlogon.exe стереть в Safe моде если остался (вместе с каталогом inet20004)копия нам тоже не помешает и повторите логи, непонятно что есть, чего уже нет.

  16. #15
    jareger
    Guest
    Кинул вам на почту архив со всей папкой....глянте, там эта гадость или нет, а то удалю и вам не достанется...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Удаляйте C:\WINDOWS\inet20004 уже известная гадость (из той же "компании" inet2001, inet2002, inet2003, inet2005 в каталоге Windows) , и сделайте свежие логи, я уже запутался честно говоря что дальше советовать, без логов не видно, что есть, что нет, что удалилось, что осталось, а что "может быть" удалилось - кофейная гуща.
    Может там уже лечить нечего, сейчас в таком случае напоследок общую зачистку подскажу, Cookes и прочий мусор пособирать, да закончим эту тягомотину.
    Последний раз редактировалось RiC; 24.02.2006 в 20:15.

  18. #17
    jareger
    Guest
    вроде получилось удалить....вот логи
    Последний раз редактировалось jareger; 05.07.2006 в 08:32.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Последний "выживший"
    C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    Второй "заход" -
    AVZ -> AVZ GUARD
    Запустить "доверенное приложение" (там-же где и Guard)
    Выбираете и запускаете HijackThis
    В Hijack - Пофиксить
    O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    Закрыть Hijack, закрыть AVZ неотключая Guard
    Перезагрузиться.
    Попробовать скопировать и стереть -
    C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    Если получиться dll-ку нам.

    Если нет ещё вариант -
    AVZ - файл->Отложенное удаление
    C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    Перезагрузка
    Hijack -
    O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    Ещё перезагрузка

    Лог Hijak на проверку.

  20. #19
    jareger
    Guest
    Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
    O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
    или мои подозрения беспочвенны??
    Последний раз редактировалось jareger; 05.07.2006 в 08:32.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от jareger
    Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
    O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
    или мои подозрения беспочвенны??
    Глюк, поставьте галку на против этой строки и нажмите Fix.

    Если не поможет создайте reg файл следующего содержимого, и добавьте его в реестр.
    Код:
    REGEDIT4
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ur32artreg]
    в принципе толку он него уже никакого.

    Если есть желание можете напоследок пройтись Ewido Microscaner`ом нового врятли чего найдёт, но реестр от мусора почистит и левые кукисы пособирает (скачать придётся около 5ти мб).
    Последний раз редактировалось RiC; 25.02.2006 в 19:13.

  • Уважаемый(ая) jareger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Прошу еще раз проверить логи
      От larik218 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.03.2012, 02:59
    2. Прошу проверить логи
      От qwert_nn в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.03.2011, 22:32
    3. Прошу проверить логи
      От JMK в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.03.2010, 09:46
    4. Прошу проверить логи
      От A.M.M. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.09.2009, 22:11
    5. Очень прошу проверить логи.
      От random77 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.08.2009, 14:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00669 seconds with 19 queries