Первый раз без видимой причины интернет подключается сам
Printable View
Первый раз без видимой причины интернет подключается сам
[b]svlmng.exe[/b] - поищите при помощи АВЗ--сервис--поиск файлов на диске. вышлите согласно приложения 2 правил. ConnectionServices и BitAccelerator деинсталируйте это Adware.Win32.BHO.cc
Можно я еще раз вышлю запрошенный файл, с первого раза не получилось, вернее получилось что-то ужасное...
Получилось. Присланный файл это Trojan-Spy.Win32.KeyLogger.agq
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\system32\svlmng.exe');
DeleteFile('d:\windows\system32\svlmng.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
PS. Перед созданием логов обновите базы AVZ!
Как я понимаю, все наши явки и пароли теперь известны врагу.:( А можно узнать как подсадили кейлоггера, с инета или с другого носителя?
И еще, на этом компе две винды, одна погрызена зверями очень основательно, её логи можно выкладывать здесь, или лучше создать новую тему?
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\gtslib.exe','');
QuarantineFile('D:\WINDOWS\system32\lvctr.exe','');
QuarantineFile('D:\WINDOWS\system32\schedcl.exe','');
DeleteFile('d:\windows\system32\svlmng.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[QUOTE=Rina;222646]Как я понимаю, все наши явки и пароли теперь известны врагу.:( А можно узнать как подсадили кейлоггера, с инета или с другого носителя?
И еще, на этом компе две винды, одна погрызена зверями очень основательно, её логи можно выкладывать здесь, или лучше создать новую тему?[/QUOTE]
Врагу или не врагу, но может что и известны. Как подсадили уже не узнаем. Для другой Windows создайте отдельную тему.
Карантин выслала.
После выполнения скрипта успела увидеть, что AVZ не может удалить кейлоггера, но не успела дочитать, по какой причине.
gtslib.exe, lvctr.exe, schedcl.exe - [b]Trojan-Spy.Win32.KeyLogger.agq[/b]
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\gtslib.exe');
DeleteFile('D:\WINDOWS\system32\lvctr.exe');
DeleteFile('D:\WINDOWS\system32\schedcl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O4 - HKLM\..\Run: [XeroxRegistation] "D:\Program Files\Xer
O4 - HKLM\..\Run: [Object Control] lvctr.exe
O4 - HKLM\..\RunOnce: [Installation cleanup] schedcl.exe
O4 - HKLM\..\Policies\Explorer\Run: [Net Services] gtslib.exe
[/quote]
Компьютер перестал подключатся к Интернету сам по себе?
Комп в любопытстве больше замечен не был, пока...
А что там в логах про кейлоггеров написано? Как у них со здоровьем?
И еще один ньюанс. Почему-то на вашем сайте у меня меняется кодировка при каждом переходе, с кириллицы windows на западно-европейскую iso. Каждый раз приходится переключать, так надоели эти букозоиды... На других сайтах все в порядке.
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
Hijack This по первой строчке выдал ошибку процедуры, а третья строчка списка вообще отсутствует.
[QUOTE=Rina;222972]Почему-то на вашем сайте у меня меняется кодировка при каждом переходе, с кириллицы windows на западно-европейскую iso. Каждый раз приходится переключать, так надоели эти букозоиды... [/QUOTE]
А если так зайти - [url]http://virusinfo.info/forumdisplay.php?f=92&styleid=1&langid=3[/url]
Ребятки, я вас всех так люблю...
С вашей помощью оживила уже два компа, один сына, хотя он сторонник хирургических методов лечения, типа переустановки винды.
В наш меркантильный век приятно, что кому-то не безразличны твои проблемы (даже тогда, когда все люди трескают на природе шашлыки)
Еще раз огромное всем спасибо!
Он опять попался!
Комп без спроса скачал 2 метра чего-то там, нужного лично ему (запасы делает сволочь).
А ещё при попытке поимки заразы методом тыка, я узнала, что у меня на компе есть интересная программа D:Documents and Setting!!! И она зависает! И при переходе выбрасывает окно подключения к инету.
Даже меня, чайника, открытие что прогой может быть папка с пятью другими папками внутри, крайне впечатлило...
Принт скрин прислать не смогла, т.к. он весит 300 кб, а отведенного на форуме лимита мне не хватает
[QUOTE=Rina;223174]он сторонник хирургических методов лечения, типа переустановки винды.[/QUOTE]По большому счету - он прав :).
Сделайте новые логи, плиз. Старые можете удалить.
Новенькие...
Похоже такие же как старенькие:(
выполните скрипт ...
[code]
begin
QuarantineFile('D:\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[QUOTE=Rina;224562]Новенькие...[/QUOTE]hijackthis.log по дороге потерялся :).
Может быть эта программа закачивает инфу о погоде: GismeteoTray ?
Давайте еще скриптик прогоним
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Program Files\gismeteotray\gismeteotray.exe','');
QuarantineFile('DevDetect.exe','');
QuarantineFile('vistaui.exe','');
RebootWindows(true);
end.
[/CODE]
и карантин посмотрим.
[quote=Rene-gad;224568]hijackthis.log по дороге потерялся :).
[/quote]
В точку! Я его прикрепляла последним, отлично помню, сама гадаю, куда он испарился? Он ещё нужен?
Gismeteo имеется в наличии, но удалять его не хочется, бабушки обидятся:) к тому же он в инет вежливо просится, и окошечко у него с капелькой, сразу видно, кому в инет надо. Да и верится с трудом, что он обнаглел, и скачал инфы о погоде на 2 метра!
[QUOTE=Rina;224967]
Gismeteo имеется в наличии, но удалять его не хочется[/QUOTE]
А его никто не удаляет. Скрипт скопирует этот и 2 других файла в карантин, который Вы потом загрузите по правилам.
[QUOTE=Rina;224967]Да и верится с трудом, что он обнаглел, и скачал инфы о погоде на 2 метра![/QUOTE]
Ну а если погода часто меняется... ;)