AVZ не работает, BASE папка, NAIL message.
Здравствуйте,
у меня начали выскакивать разные окна, решила почитстить. Сделала всё по правилам, проверила систему антивирусом, Ad-Aware SE Personal, Spyboat Search and Destroy в безопасном режиме. Потом хотела проверить улитой AVZ, но вылез такой месседж:
http://img157.imageshack.us/img157/2...message4kz.jpg
Я перегрузила комп, зашла, а там следующий месседж:
http://img157.imageshack.us/img157/2...message0mp.jpg
Еще на десктопе начали появляться папки, "BASE", "Backups" которых я не создавала.
Вот Лог Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 9:10:58 , on 04/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\windows\System32\nvsvc32.exe
C:\windows\system32\pctspk.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.exe
C:\windows\Mixer.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Winamp\winampa.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Rwin\rwin.exe
C:\windows\System32\wuauclt.exe
C:\windows\System32\wuauclt.exe
C:\Documents and Settings\Vera\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ediet.ru/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :0
F2 - REG:system.ini: Shell=Explorer.exe C:\windows\Nail.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.d ll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4FE43F46-8CFD-FD7B-8528-AF7F1018D8C4} - C:\windows\System32\mhorops.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.d ll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
O4 - HKLM\..\Run: [P2P Networking] C:\windows\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: R-WIN Keyboard Switch.lnk = C:\Program Files\Rwin\rwin.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Viewpoint Search - res://C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
Последний раз редактировалось BEPYHR; 05.02.2006 в 08:30 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
BEPYHR
Здравствуйте,
у меня начали выскакивать разные окна, решила почитстить. Сделала всё по правилам, проверила систему антивирусом, Ad-Aware SE Personal, Spyboat Search and Destroy в безопасном режиме. Потом хотела проверить улитой AVZ, но вылез такой месседж:
http://img157.imageshack.us/img157/2...message4kz.jpg
проверьте установку системной даты и времени.
если найдется, пришлите по правилам форума
c:\windows\nail.exe
C:\Documents and Settings\Vera\Desktop\phm.exe
C:\windows\svcproc.exe
в хиджаке пофиксите строки:
F2 - REG:system.ini: Shell=Explorer.exe C:\windows\Nail.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
без лога исследования AVZ сложно что-то сказать, попробуйте перезагрузиться в безопасном режиме
В дополнение к списку MOCT пришлите также:
C:\Program Files\Viewpoint\Viewpoint Toolbar\*.*
C:\windows\System32\mhorops.dll
проверьте установку системной даты и времени.
Устанавливала по ссылке из правил, последнюю версию.
Те файлы которые нашла, выслала.
В Хайджаке пофиксила.
Сообщение от
BEPYHR
Устанавливала по ссылке из правил, последнюю версию.
Дело не в версии. В трее где часики у вас два раза на них кликните мышкой - вылезет календарь. Там дата и год какие стоят?
На данный момент из присланного определяется только:
( KAV )
C:\windows\System32\mhorops.dll - AdWare.Win32.PurityScan.ak
Дело не в версии. В трее где часики у вас два раза на них кликните мышкой - вылезет календарь. Там дата и год какие стоят?
Всё правильно стоит.
AVZ чем распаковывался ?? Нужно распаковать его на диск C, должна появиться папка AVZ4, в ней подпапки Base (с кучей файлов *.avz) и Script.
AVZ чем распаковывался ??
RAR.
Распакуйте все файлы из архива (вместе с папками) в отдельную папку на диск C.
И запускайте из этой папки avz.exe.
Загрузила AVZ в отдельную папку. Сработало. Удалило 61 вируса.
Рекламные окна все равно вылазят. Вот HijackThis лог:
Logfile of HijackThis v1.99.1
Scan saved at 9:09:27 , on 18/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\rundll32.exe
C:\windows\Explorer.EXE
C:\Documents and Settings\Vera\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ediet.ru/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :0
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TheMonitor] C:\windows\SYSC00.exe
O4 - HKLM\..\Run: [kxyboexA] C:\windows\kxyboexA.exe
O4 - HKLM\..\Run: [win32077417-153234] C:\windows\win32077417-153234.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: R-WIN Keyboard Switch.lnk = C:\Program Files\Rwin\rwin.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: App Management - C:\windows\system32\en86l1ls1.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
O23 - Service: Windows Overlay Components - Unknown owner - C:\windows\kxyboex.exe
Сообщение от
BEPYHR
O4 - HKLM\..\Run: [ffuploader] C:\Documents and Settings\Vera\Desktop\phm.exe auto
O4 - HKLM\..\Run: [TheMonitor] C:\windows\SYSC00.exe
O4 - HKLM\..\Run: [kxyboexA] C:\windows\kxyboexA.exe
O4 - HKLM\..\Run: [win32077417-153234] C:\windows\win32077417-153234.exe
O20 - Winlogon Notify: App Management - C:\windows\system32\en86l1ls1.dll
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\windows\svcproc.exe (file missing)
O23 - Service: Windows Overlay Components - Unknown owner - C:\windows\kxyboex.exe
указанные выше строки нужно пофиксить в HijackThis.
после этого перезагрузиться, сделать новый лог HijackThis, сделать исследование системы AVZ и прикрепить их к сообщению в этой теме.
также прислать на исследование файлы (искать с помощью AVZ с включенным противодействием руткитам):
C:\Documents and Settings\Vera\Desktop\phm.exe
C:\windows\SYSC00.exe
C:\windows\kxyboexA.exe
C:\windows\win32077417-153234.exe
C:\windows\system32\en86l1ls1.dll
C:\Program Files\Network Monitor\netmon.exe
C:\windows\svcproc.exe
C:\windows\kxyboex.exe
указанные выше строки нужно пофиксить в HijackThis.
Сделала.
после этого перезагрузиться, сделать новый лог HijackThis, сделать исследование системы AVZ и прикрепить их к сообщению в этой теме.
Сделала. Но не уверена как постить лог AVZ.
Все логи надо прикреплять как вложения
Последний раз редактировалось Geser; 20.02.2006 в 08:16 .
Сообщение от
BEPYHR
Но не уверена как постить лог AVZ
Расширенный режим - Управление вложениями. Все логи надо прикреплять как вложения, километровые сообщения очень тяжело читать.
P.S. Лог AVZ надо прикреплять в виде архива.
Все присланные файлы - вредоносные.
C:\windows\kxyboexA.exe - инфицирован Trojan.Click.911
C:\windows\win32077417-153234.exe - инфицирован BackDoor.Generic.1219
C:\Program Files\Network Monitor\netmon.exe - инфицирован Trojan.DnsChange
C:\windows\kxyboex.exe - инфицирован Trojan.Popuper
Их следует удалить.
И не помешает просканировать диск используя Dr.Web Cureit!
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Пока ждала ответ, в safe mode просканировала еще раз AntiVir антивирусом, AdAware, Spyboat Search and Destroy, AVZ, Dr.Web.
Зашла, прочитала ответ, удалила файлы с помощью AVZ:
Все присланные файлы - вредоносные.
C:\windows\kxyboexA.exe - инфицирован Trojan.Click.911
C:\windows\win32077417-153234.exe - инфицирован BackDoor.Generic.1219
C:\Program Files\Network Monitor\netmon.exe - инфицирован Trojan.DnsChange
C:\windows\kxyboex.exe - инфицирован Trojan.Popuper
Проблема не пропала. Окна до сих пор вылазят.
Вот новые логи.
Вложения
Логи сделаны после удаления или до?
Сообщение от
BEPYHR
Проблема не пропала. Окна до сих пор вылазят.
Вот новые логи.
Look2Me - похоже остался на "сладкое".
Описание и лечение смотреть - http://virusinfo.info/showthread.php?p=66378
Сообщение от
Geser
Логи сделаны после удаления или до?
Логи сделаны после удаления файлов.
Спасибо.
У меня тут пару вопросов возникло про Dr. Web.
После в трее появляется зелёный паук с красным крестом
нажимаете на него правой кнопкой мыши - и выбираете "Update" или "Обновить"
Я пару раз его загружала (первый раз не видела эту инструкцию) и красного паука пропустила. Мне еще раз перезагружать его или можно и так обновить?
Выкачиваете из вложения к этой теме архив drweb32.zip это архив, в нём 1 файл - drweb32.ini распаковываете и записываете его в каталог c:\Program files\DrWeb вместо того файла, который в нём лежит.
Файл нужно заменить обязательно.
В папке Dr.Web куча файлов. Какой нужно изменить?
После перезагружаетесь и делаете лог исследование системы в AVZ.
Сначала нужно просканировать комп Dr. Web или просто установить файл, перезагрузить комп, и сделать лог AVZ?