Найдены вирусы

Недавно просканировал систему утилитой AVZ4. Просканировал только Documents and Settings и уже нашёл подозрения на вредоносные объекты. Вот отчёт (он прикреплён к сообщению). 3 из 4 были найдены при обычном сканировании запущенных процессов. Скажите, пожалуйста, есть ли эти файлы вредоносными и если да, то их удаление не повлияет как-то плохо на систему?:?

Ещё: у меня иногда такие глюки бывают: набираю что-нить в ворде, или эксплорере и мне заполняет несколько строк какими-то буквами. Например, fthfthfthfthfthfthfthtfhfthfthfthfthtfhfth.:)

Но меня мучают пароблемы побольше, нежели эти глюки. У меня стоит Avast!, но он ничего не видит (он обновляеться регулярно). А порставил Spyware Terminator, то он у меня понаходил купу разного. Некоторые файлы из этих выдалил, но вот не знаю, что делать с dll файлами в системе. Подскажите, можно ли доверять этой программе, или лучше её выдалить?

Получаеться, у меня два равнозначных вопроса.

[URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]

1."Восст. системы" отключить.
2.connectionservices деинсталлировать.
3."Правила" выполнить.
4.Spyware Terminator надо проверить, надежен ли он.

Тоесть удалить connectionservices.dll удалить? А этот файл в темпе?

в установке удалении программ ... и выполняйте правила ...

Простите, но скажите, где я нарушил правила? И ещё: у меня нету connectionservices в списке установки и удаления программ. :(

[quote]где я нарушил правила?[/quote]
По правилам к теме должны быть прикреплены логи, сделанные вами в соответствии с п.8-13 правил. Иначе помочь вам мы не сможем.

[QUOTE=Bone;153002]И ещё: у меня нету connectionservices в списке установки и удаления программ. :([/QUOTE]

Нету, это конечно плохо, но не смертельно. Сделаешь логи, удалим всю гадость.

Простите, есть connection services в установке и удалении. Я 2 раза смотрел и не видел, а сейчас просмотрел - есть. Ещё один глюк: у меня где-то раз в полчаса выскакивает, как бы задача, из System32 cmd.exe. Оно мне мешает работать. Я не знаю, что мне с ним делать. Когда был Spyware Terminator такого не было, да и AVZ не видит в нём вирусов. Но оно появилось где-то неделю назад - раньше не было. Может кто знает что с этим делать?

[QUOTE=V_Bond;152021][URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL][/QUOTE]
выполните ....

процитирую, и закрою.

[QUOTE=pig;153576][url=http://virusinfo.info/showthread.php?t=1235]Правила[/url] придуманы не от балды, а чтобы не повторять сто раз одно и то же. Поэтому:
- внимательно прочитать
- аккуратно выполнить[/QUOTE]

открыл, ждём логи.

Хех... Просканировал. Удалил три вируса DownloaderZlob в System Volume Inforamation. Логи прикрепил. Кажеться, всё сделал правильно. Жду ответа.;)

Я не выключал восстановление системы, так как у меня действительно есть важные файлы. И я не хотел рисковать ними. Если это обязательно, то скажите, отключу и ещё проверю.:)

Отключите восстановление обязательно. Ваши файл не пострадают.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\sysdx.dll','');
QuarantineFile('C:\WINDOWS\nopctrl.dll','');
QuarantineFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\oprevtdp.dll','');
QuarantineFile('C:\WINDOWS\ddkret.dll','');
QuarantineFile('C:\WINDOWS\bndsrkfq.dll','');
DeleteFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\ddkret.dll');
DeleteFile('C:\WINDOWS\nopctrl.dll');
DeleteFile('C:\WINDOWS\sysdx.dll');
DeleteFile('C:\WINDOWS\bndsrkfq.dll');
DeleteFile('C:\WINDOWS\oprevtdp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

Спасибо. Загрузил карантин. Проведу сканирование немного позже, так как должен идти. Может завтра. Спасибо.:)

[b]Trojan-Downloader.Win32.Zlob.eih[/b] C:\Documents and Settings\Andriy\Local Settings\Temp\decsysqvf.exe
[b]AdWare.Win32.BHO.if[/b] C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP47\A0007092.dll
[b]Trojan.Win32.Agent.chh[/b] C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP59\A0009323.ocx
[b]Trojan.Win32.Pakes.bmk[/b] C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP67\A0010322.exe
[b]AdWare.Win32.BHO.kj[/b] C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP74\A0011264.dll
[b]AdWare.Win32.Agent.nr[/b] C:\WINDOWS\bndsrkfq.dll

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Andriy\Local Settings\Temp\decsysqvf.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Затем ждем новых логов

[QUOTE=Bratez;155630]
DeleteFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlogon.exe');[/QUOTE]
Я уже, было пробовал выдалить этот файл, несколько раз выдалял, а он где-то опять брался.:?

Одно дело вручную, другое дело скриптом :)

Свежие адварки, только что добавлены в базы KAV:
C:\WINDOWS\sawkip.exe - [b]not-a-virus:AdWare.Win32.Vapsup.ps[/b]
C:\WINDOWS\oprevtdp.dll - [b]not-a-virus:AdWare.Win32.Agent.wh[/b]
C:\WINDOWS\ddkret.dll - [b]not-a-virus:AdWare.Win32.Vapsup.pt[/b]

Надо еще такой скрипт выполнить:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\sawkip.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/code]
и пофиксить в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: MSVPS System - {15272B08-F6FE-4E71-B2BD-A59AD23EBE3C} - C:\WINDOWS\bndsrkfq.dll
O2 - BHO: MSVPS System - {2D42D689-4B94-4734-92C2-606FC5F4C15D} - C:\WINDOWS\oprevtdp.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: sysdx - {93D01942-6CCC-4FB1-8210-07405BD4FE90} - C:\WINDOWS\sysdx.dll (file missing)
O21 - SSODL: nopctrl - {36BF6259-58AA-4206-8A87-814860C465E6} - C:\WINDOWS\nopctrl.dll (file missing)
O21 - SSODL: ddkret - {6ABD9D3A-3E1A-4D53-B52E-00C81E331188} - C:\WINDOWS\ddkret.dll
[/code]
А потом уже и новые логи.

Я удалял через Spyware Terminator, потом через avast!, ну а потом вручную...:D

И к стати: Spyware Terminator все эти злостные вещи видел уже давно.:) Но он ещё многое видит. Может вам логи от него потом прислать? Заодно и увидете, можно ли ему доверять;)

Spyware Terminator вещь давно известная и имхо не нужная .... проще поставить нормальный антивирус ...
лучше сделайте новый комплект логов ....

А я только что всё просканировал!:( Но всё равно выложу логи.

P.S. Можно проводить только "скрипт лечения/карантина для сбора..."? Или надо обязательно и другой, "скрипт сбора информации для..."?:? Просто сканирует долго, а мне работать надо.:?

P.S.S. Может ли быть, что что-то из этой гадости мне тормозило комп?:?

Ой, забыл логи прикрепить:)

У меня стоит как главный avast!, раньше стоял DrWeb, но он сильно глюкает. Стоял фаервол Comodo, но он всегда спрашивает, что делать, ничего не запоминает. Outpost очень много памяти жрёт. Фаервол сейчас не стоит никакой.

Все нормально. Делайте скрипт и фиксы из сообщ. #19 и посмотрите, что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.

А можно немного поподробнее, что это, чтобы я знал, что я выключаю:):

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Локальная сеть имеется?

Не-а. И удаленный помощник тоже не имеется и не был использован никогда (по крайней мере на этой винде)

Вложил два лога - третьий не успел, должен идти. И вот опять: появилась какая-то гадость в System Volume Information! Я ведь всё, что там видел AVZ выдалил, а оно опять появилось!>:(:?

тогда так ..
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

[quote]И вот опять: появилась какая-то гадость в System Volume Information! Я ведь всё, что там видел AVZ выдалил, а оно опять появилось![/quote]
На компьютере установленна еще одна Windows XP?

[QUOTE=AndreyKa;155733]На компьютере установленна еще одна Windows XP?[/QUOTE]

Только одна операционная система.:? И всегда так было. Не вижу надобности в двух операционках.

[QUOTE=V_Bond;155677]тогда так ..
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code][/QUOTE]


А что это случилось? Мне чё-то не показывает центр безопасности Винды при загрузке:? Мне от этого ничего плохого, но вот не стал ли мой комп менее защищенным? Вот лог из HiJack This. Может что не так.:?

центр безопастности и не должен ничего показывать если все нормально (антивирус обновлен ,фаервол включен ... автообновление работает) ....
в логе чисто ...

Автообновление не работает:). А этим скриптом оно, надеюсь не включилось??!!!!

Но всё равно у меня тормозит комп.:( Меня насторожили 5 процесса, которые называються svchost, все одинаково! Это так и должно быть? В диспетчере задач Виндовс это увидел. И там один, наибольший svchost жрёт около 18000 Кбайт памяти. Explorer 20000. Ещё несколько процессов, которые берут больше 10000 и много тех, что больше 5000 Кбайт.

Ещё вопрос: может кто знает, будет ли лучше работать комп, если я увеличу свой файл подкачки? У меня 768 Мбайт памяти, а если я увеличу подкачку к 1000? Мне и гига на жестком диске не жалко для скорости компа. Но будет ли от этого польза?:?

svchost несколько -это нормально ...
обновление нужно включить ... без этого с дырявой системой в интернет вам делать нечего ...
запустите Windows "Системный монитор" и запустите типичные для данного компьютера программы.... максимальный объем файла свопинга, зарегистрированный в течении этого сеанса, и будет требуемым размером файла подкачки ...

Тоесть? Объясните по-деревенски, пожалуйста:) Я не знаю что такое Свопинг, знаю что такое пинг, и не знаю где искать "системный монитор"?:):?

Пуск- Панель управления-администрирование-Быстродействие-Системный монитор....

Кажеться я нашел диаграмму, но что где в ней написано?:? У меня эта диаграмма находится в разделе панель управления - администрирование - производительность.:?

правой клавишей - добавиь счетчики ... файл подкачки ....