Пропадают названия...
в диспечере задач, в процессах, пропали имена пользователей(типа админ, системный и тд.), в msconfig, в автозагрузке пропали, элементы автозагрузки, всмысле галочки стоят, а на чем они стоят, неизвестно, также в папках, пока еще не вовсех, если стоит вид эскиз страницы, под файлами нет имен. у меня стоит avira, но ни она, ни AVZ ничего не находят. Пожалуйста, подскажите, что можно сделать.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вы нам логи выложите согласно правил http://virusinfo.info/showthread.php?t=1235, мы посмотрим и постараемся Вам помочь.
Спасибо за понимание.
Логи прикрепила.Сообщение от wise-wistful
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); QuarantineFile('C:\WINDOWS\system32\Tweak-XP.scr',''); QuarantineFile('C:\WINDOWS\system32\svchоst.exe',''); QuarantineFile('C:\WINDOWS\system32\kspoold.exe',''); BC_ImportQuarantineList; BC_QrSvc('kspooldaemon'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20973 ).
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
отправила
svchost.exe - Trojan-Spy.Win32.KeyLogger.ade
Выполните в АВЗ
Повторите логи.Код:var x : Integer; Begin x := CheckFile('%windir%\system32\dllcache\svchost.exe'); If x = 3 then begin AddToLog('>>>Файл опознан как безопасный, продолжаем'); RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak'); CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000); BC_DeleteFile('%windir%\System32\MSCORE.DLL'); BC_DeleteFile('%windir%\system32\svchost.bak'); BC_Activate; SaveLog(GetAVZDirectory + 'cure.log'); RebootWindows(true); end else AddToLog('>>>Файл не опознан как безопасный, стоп!'); SaveLog(GetAVZDirectory + 'cure.log'); end.
Прикрепите также к сообщению cure.log из папки AVZ.
Добавлено через 2 минуты
Tweak-XP.scr - чистый.
Последний раз редактировалось wise-wistful; 04.04.2008 в 21:53. Причина: Добавлено
прикрепила
Последний раз редактировалось drongo; 09.04.2008 в 17:16.
Выполните проверку целостности системных файлов: Пуск - Выполнить - напишите sfc /scannow - ОК.
Понадобится установочный диск Windows.
Обязательно согласитесь заменить svchost.exe чистым!
После выполнения перезагрузите компьютер, сделайте и прикрепите новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Возникли небольшие проблемы при выполнении проверки целостности системных
файлов, а именно появлялось окно:
"Предоставлен неправильный компакт-диск.
Вставьте в компакт-дисковод диск Windows XP Professional Service Pack 2CD"
Приходилось отменять некоторые действия.
Диск с Windows, тот же, который и установлен.
У Вас оказывается зловредный svchоst - c русской буквой "о". Он не подменил системный (спасибо за информацию Олегу Зайцеву).
Скрипт нужно копировать в буфер и вставлять в AVZ при включенном русском языке, дабы исключить проблемы с передачей русского символа в имени
Выполните скрипт в AVZ, соблюдая вышесказанное!:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\svchоst.exe'); BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сделала
Пофиксите
Как система поживает?F2 - REG:system.ini: UserInit=userinit.exe, svchоst.exe
Добавлено через 1 минуту
Повторите hijackthis.zip и virusinfo_syscheck.zip
Последний раз редактировалось wise-wistful; 09.04.2008 в 22:05. Причина: Добавлено
система поживает без изменений. Если можно, то еще один вопрос: в msconfig отключаю
ненужные загрузки, но там постоянно появляется галочка на ctfmon, причем в
автозагрузке он находится в количестве 2х штук (на одном галочка стоит, а на втором нет).
это нормально, или нет?
ctfmon - переключатель клавиатуры внизу около часиковЗачем же его так?
У Вас Пунто живет, поэтому стандартный можно отключить через Панель управления - Клавиатура.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибоctfmon - переключатель клавиатуры внизу около часиков
У Вас Пунто живет, поэтому стандартный можно отключить через Панель управления - Клавиатура.
Добавлено через 4 минуты
но названия так и не появились...
Последний раз редактировалось Dycek; 22.04.2008 в 13:20. Причина: Добавлено
у вас остановлена потециально опасная служба терминалов ....но названия так и не появились...
службу можно запустить через панель управления - администрирование службы ...
(поставить тип запуска авто ) , но не рекомендую ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\svchоst.exe - Trojan-Spy.Win32.KeyLogger.ade (DrWEB: Trojan.PWS.Gamania.9257)
Уважаемый(ая) Dycek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
