Пофиксил, логи выслал.
Пофиксил, логи выслал.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не выключено системное восстановление.
Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Повторите 2 последних лога.
Спасибо за понимание.
Требования выполнил, логи вислал.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
Если Вы не уверены, что все эти страницы должны быть в доверенной зоне -Пофиксите
- Выполните скриптКод:O15 - Trusted Zone: http://www.beonline.ru O15 - Trusted Zone: http://www.megafoncenter.ru O15 - Trusted Zone: http://www.megafondv.ru O15 - Trusted Zone: http://www.megafonkavkaz.ru O15 - Trusted Zone: http://sms.megafonmoscow.ru O15 - Trusted Zone: http://www.megafonnw.ru O15 - Trusted Zone: http://*.megafonsib.ru O15 - Trusted Zone: http://www.megafonural.ru O15 - Trusted Zone: http://www.megafonvolga.ru O15 - Trusted Zone: http://sms.mts.ru O15 - Trusted Zone: http://*.tele2.ru
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\Uoso58.sys',''); DeleteService('Uoso58'); DeleteFile('C:\WINDOWS\system32\Drivers\Uoso58.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Uoso58'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
Пофиксил, срипт выполнил, логи выслал.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
Повторите поиск/удаление IceSword и скрипты из сообщения 6: http://virusinfo.info/showpost.php?p=278663&postcount=6Сообщение от Игорь
Пофиксил, срипт выполнил, логи выслал.
В АйсСворде файлы не обнаружены, скрипты выполнил, логи выслал.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
- Выполните скрипт
-ПофикситеКод:begin RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); RebootWindows(true); end.
Код:R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
Всё выполнил, логи выслал.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
В логах чисто.
СП3 поставьте, возможно потребуется активация системы.
Напишите Грише в личку в форуме ЛК - пусть там тему уберет.
Большое СПАСИБО!!!
Пожалуста, помогите разобраться с другой проблемой (оченннннь нехорошая):
Параллельно появилась ещё проблема: бесконтрольно уменьшается свободное место на диске "С", за несколько часов с 2 Гб до 28Мб!!! Хотя я ничего туда не записывал!!! При этом в трее появлается сообщение "На диске "С" не достаточно места. Щелкните это сообщение, что бы очистить диск "С" от старых и не нужных файлов." . А в папке Мой компьютер, в разделе Другие, появился значёк "Веб-папки" (системная папка).
Вся опасность в том, что когда свободное место упало почти до "0", мне пришлось самому удалить файл на 100Мб, чтобы запустить ХайДжека, иначе он выдавал "Рантайм Эррор".
Что же будет дальше??? Мне прийдется самому постоянно что-то удалять, что бы было свободное место на диске "С"!!!
Это похоже на медленно затягивающуюся петлю!!!
Удалите Ашампо: Он там чего-то конструирует.
Насчет Веб-Папок - скачайте, распакуйте, переименуйте в 123.reg и запустите файлик http://virusinfo.info/attachment.php...5&d=1219680687
За папки спасибо! А по поводу Ashampoo MagDef2 (это теневой дефрагментатор), она у меня уже давно стоит и такого не было, эта проблема появилась только вчера.Вот сейчас, я убил этот процесс Ashampoo MagDef2,а свободное место продолжает уменьшаться!!!
Что делать???
ИМО он как служба запускается, нужно попробовать остановить службу.
Сделайте потом лог процессов и лог служб (АВЗ, Сервис/Диспетчер служб и процессов...)
Ашампу остановил, логи сделал. По моему есть какой-то подозрительный процесс
Имя файла: System, PID:4, Описание:нет, Copyright:нет, MD5?, Информация: ошибка получения информации о файле, Командная строка:нет
- Выполните скрипт
Попробуйте поискать по списку и прислать файлы (см. приложение 2 и 3 правил)Код:begin clearquarantine; end.
Код:%system%\tmpx\wnaspi32.dll %system%\$sys$upgtool.exe %system%\drivers\$sys$cor.sys %system%\tmpx\apix.vxd %system%\tmpx\aspienum.vxd %system%\$sys$filesystem\unicows.dll %system%\tmpx\wnaspi.dll autorun.exe codesupport.inf codesupport.ocx go.exe softwareupdate.cab %system%\$sys$caj.dll %system%\$sys$filesystem\$sys$drmserver.exe %system%\$sys$filesystem\$sys$parking %system%\$sys$filesystem\aries.sys %system%\$sys$filesystem\crater.sys %system%\$sys$filesystem\dbghelp.dll %system%\$sys$filesystem\lim.sys %system%\$sys$filesystem\oct.sys %windows%\cdproxyserv.exe %system%\$sys$filesystem\unicows.dll %system%\$sys$filesystem\dbghelp.dll %system%\$sys$caj.dll %system%\tmpx\wnaspi32.dll %system%\tmpx\wnaspi.dll %system%\$sys$upgtool.exe %windows%\cdproxyserv.exe %system%\$sys$filesystem\$sys$drmserver.exe
Скрипт выполнил, такие файлы не найдены. Место на диске тает как снег...
Сработала Проактивная защита KIS6.0: Подозрительное действие: "Keylogger" Модуль:\Driver\IsDrv122 Действие:"Обнаружен клавиатурный перехватчик. Процесс пытается перехватить данные, вводимые с клавиатуры." Кнопка "Завершить"-заблокирована, активная только кнопка "Разрешить"
это драйвер icesword
По диску "С" разобрался...
А вот адресок, с которого видимо меня посетил winhelp32 (KIS6.0 как-то перехватил до лечения):
Информация о процессе:
Имя процесса: WINHELP32.EXE
ID процесса: 2500 (432)
Файл приложения: C:\WINDOWS\system32\WINHELP32.EXE
Соединение:
Направление: Исходящее
Протокол: ТСР
Удалённый IP-адресс: 89.149.253.208 (internetserviceteam.com)
http://samspade.org/whois/89.149.253.208
Уважаемый(ая) Игорь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
