Первый раз без видимой причины интернет подключается сам
Первый раз без видимой причины интернет подключается сам
Последний раз редактировалось Rina; 25.04.2009 в 17:31.
svlmng.exe - поищите при помощи АВЗ--сервис--поиск файлов на диске. вышлите согласно приложения 2 правил. ConnectionServices и BitAccelerator деинсталируйте это Adware.Win32.BHO.cc
Можно я еще раз вышлю запрошенный файл, с первого раза не получилось, вернее получилось что-то ужасное...
Получилось. Присланный файл это Trojan-Spy.Win32.KeyLogger.agq
Добавлено через 4 минуты
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); TerminateProcessByName('d:\windows\system32\svlmng.exe'); DeleteFile('d:\windows\system32\svlmng.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
Добавлено через 4 минуты
PS. Перед созданием логов обновите базы AVZ!
Последний раз редактировалось AndreyKa; 01.05.2008 в 19:54. Причина: Добавлено
Как я понимаю, все наши явки и пароли теперь известны врагу. А можно узнать как подсадили кейлоггера, с инета или с другого носителя?
И еще, на этом компе две винды, одна погрызена зверями очень основательно, её логи можно выкладывать здесь, или лучше создать новую тему?
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\gtslib.exe',''); QuarantineFile('D:\WINDOWS\system32\lvctr.exe',''); QuarantineFile('D:\WINDOWS\system32\schedcl.exe',''); DeleteFile('d:\windows\system32\svlmng.exe'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин выслала.
После выполнения скрипта успела увидеть, что AVZ не может удалить кейлоггера, но не успела дочитать, по какой причине.
gtslib.exe, lvctr.exe, schedcl.exe - Trojan-Spy.Win32.KeyLogger.agq
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\gtslib.exe'); DeleteFile('D:\WINDOWS\system32\lvctr.exe'); DeleteFile('D:\WINDOWS\system32\schedcl.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
Пофиксте в HijackThis следующие строки:
Компьютер перестал подключатся к Интернету сам по себе?O4 - HKLM\..\Run: [XeroxRegistation] "D:\Program Files\Xer
O4 - HKLM\..\Run: [Object Control] lvctr.exe
O4 - HKLM\..\RunOnce: [Installation cleanup] schedcl.exe
O4 - HKLM\..\Policies\Explorer\Run: [Net Services] gtslib.exe
Комп в любопытстве больше замечен не был, пока...
А что там в логах про кейлоггеров написано? Как у них со здоровьем?
И еще один ньюанс. Почему-то на вашем сайте у меня меняется кодировка при каждом переходе, с кириллицы windows на западно-европейскую iso. Каждый раз приходится переключать, так надоели эти букозоиды... На других сайтах все в порядке.
Добавлено через 28 минут
Hijack This по первой строчке выдал ошибку процедуры, а третья строчка списка вообще отсутствует.
Последний раз редактировалось Rina; 03.05.2008 в 09:33. Причина: Добавлено
А если так зайти - http://virusinfo.info/forumdisplay.p...eid=1&langid=3
Ребятки, я вас всех так люблю...
С вашей помощью оживила уже два компа, один сына, хотя он сторонник хирургических методов лечения, типа переустановки винды.
В наш меркантильный век приятно, что кому-то не безразличны твои проблемы (даже тогда, когда все люди трескают на природе шашлыки)
Еще раз огромное всем спасибо!
Он опять попался!
Комп без спроса скачал 2 метра чего-то там, нужного лично ему (запасы делает сволочь).
А ещё при попытке поимки заразы методом тыка, я узнала, что у меня на компе есть интересная программа Documents and Setting!!! И она зависает! И при переходе выбрасывает окно подключения к инету.
Даже меня, чайника, открытие что прогой может быть папка с пятью другими папками внутри, крайне впечатлило...
Принт скрин прислать не смогла, т.к. он весит 300 кб, а отведенного на форуме лимита мне не хватает
Новенькие...
Похоже такие же как старенькие
Последний раз редактировалось Rina; 17.10.2008 в 10:28.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('D:\WINDOWS\system32\ntkrnlpa.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
hijackthis.log по дороге потерялся .
Может быть эта программа закачивает инфу о погоде: GismeteoTray ?
Давайте еще скриптик прогоним
и карантин посмотрим.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\Program Files\gismeteotray\gismeteotray.exe',''); QuarantineFile('DevDetect.exe',''); QuarantineFile('vistaui.exe',''); RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 07.05.2008 в 14:38.
В точку! Я его прикрепляла последним, отлично помню, сама гадаю, куда он испарился? Он ещё нужен?
Gismeteo имеется в наличии, но удалять его не хочется, бабушки обидятся к тому же он в инет вежливо просится, и окошечко у него с капелькой, сразу видно, кому в инет надо. Да и верится с трудом, что он обнаглел, и скачал инфы о погоде на 2 метра!
Уважаемый(ая) Rina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.