Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

как избавиться от гадости? (заявка № 5910)

  1. #1
    Kostoprav
    Guest

    как избавиться от гадости?

    Ситуация такая.IE периодически пытается сконнектиться с какими-то адресами.Иногда после включения компа автоматически запускается мастер установки оборудования.Касперский ничего не видит.Ad-Aware и Spybot чего-то находят,удаляют,но эффекта нет.AVZ находит кучу проблем-в основном это файлы ljket.exe и uataty.exe.И обнаруживает процессы с таким же названием.Удалить файлы ни вручную,ни AVZом не получается.С процессами то же самое:один удалю-тут же появляется такой же одноимённый.Перезагрузка (отложенное удаление файла) тоже без эффекта.
    P.S. Забыл написать-сразу после загрузки винды активизируется Spybot-резидент,сообщая об изменениях реестра.Если я их разрешаю,то резидент умолкает,а если запрещаю,то окошко резидента появляется постоянно до бесконечности,пока я не разрешу.В добавок ко всему блокируется диспетчер задач.При нажатии Ctrl+Alt+Del пишется,что диспетчер задач заблокирован администратором.Хотя я ничего не блокировал.
    Вложения Вложения
    Последний раз редактировалось Kostoprav; 23.07.2006 в 16:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -для начала, попробуйте удалить C:\WINDOWS\System32\ljket.exe при помощи AVZ > Файл > Отложенное удаление...
    а файлы:
    C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll
    C:\WINDOWS\System32\bhsakhp.dll
    C:\WINDOWS\System32\vbsys2.dll
    C:\WINDOWS\System32\UAService7.exe
    c:\windows\system32\uataty.exe
    пришлите согласно правил...

    -кроме того, просканируйте ПК в Безопасном режиме лечащей утилитой Dr.Web CureIt!
    Последний раз редактировалось Alex Plutoff; 23.07.2006 в 16:53.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Kostoprav
    Guest
    Файлы послал,но не все.Не нашёл C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll и C:\WINDOWS\System32\vbsys2.dll. При помощи отсроченного удаления уже пробовал-не помогает.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Kostoprav
    Файлы послал,но не все.Не нашёл C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll и C:\WINDOWS\System32\vbsys2.dll. При помощи отсроченного удаления уже пробовал-не помогает.
    вот эти файлики поищите через AVZ и тоже пришлите:
    verieee.exe
    emldvc.dll

    в HijackThis пофиксите строки:
    O15 - Trusted Zone: *.elitemediagroup.net
    O15 - Trusted Zone: *.media-motor.net
    O15 - Trusted Zone: *.mmohsix.com
    O15 - Trusted Zone: http://click.getmirar.com (HKLM)
    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    вот эти файлы из числа присланных можно спокойно удалить:
    c:\windows\system32\ljket.exe
    C:\WINDOWS\System32\bhsakhp.dll
    c:\windows\system32\uataty.exe

    для удаления включите AVZGuard, потом добавьте эти файлы в отложенное удаление, потом не отключая AVZGuard перезагрузите компьютер.

    пришлите файл:
    C:\Documents and Settings\Slava\Local Settings\Temp\drsmartload125a.exe

    потом сделайте новые логи и прикрепите к теме.

  7. #6
    Kostoprav
    Guest
    Итак. Загрузился в безопасном режиме.Просканировался всем,что у меня было + посоветованным выше Dr.Web CureIt!.Было найдено несколько троянов и удалено. Теперь файлы verieee.exe и emldvc.dll не находятся.
    Файлыc:\windows\system32\ljket.exe
    C:\WINDOWS\System32\bhsakhp.dll
    c:\windows\system32\uataty.exe –тоже не находятся.
    В HijackThis пофиксил всё,что было вами указано.
    Файл C:\Documents and Settings\Slava\Local Settings\Temp\drsmartload125a.exe тоже не находится.
    Проблемы с самостоятельным открытием инетстраниц вроде исчезла (кажется больной пошёл на поправку).Но сохраняется автоматическое включение мастера подключения устройств и появляется сообщение,что установлено новое оборудование,но установлено неправильно и работать не будет.
    Посылаю новые логи..
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    пофиксить с помощью HijackThis:

    F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\ljket.exe
    F2 - REG:system.ini: UserInit=userinit.exe,verieee.exe
    O4 - HKLM\..\Run: [tqxrtw] C:\WINDOWS\System32\uataty.exe reg_run
    O4 - HKCU\..\Run: [qnesu] C:\WINDOWS\System32\uataty.exe reg_run
    O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll
    O20 - Winlogon Notify: emldvc - emldvc.dll (file missing)

    вот этот файл
    C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll
    у вас все еще живет, ищите и присылайте

    и этот пришлите:
    C:\Documents and Settings\Slava\Local Settings\Temp\q319243.com

  9. #8
    Kostoprav
    Guest
    Всё пофиксил. Файл C:\Documents and Settings\Slava\Local Settings\Temp\q319243.com послал,но нашёл через поисковик винды,AVZ не находит.
    Файл C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll никак найти не могу.Ни АVZом,ни поисковиком.Вручную цепочка кончается на C:\Documents and Settings\All Users.WINDOWS\Documents Далее идёт папка "My Pictures" и никаких settings нет.Функция показа скрытых и системных файлов включена.Где ж его искать??

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Kostoprav
    Всё пофиксил. Файл C:\Documents and Settings\Slava\Local Settings\Temp\q319243.com послал,но нашёл через поисковик винды,AVZ не находит.
    этот файл стереть - это троян.

    Цитата Сообщение от Kostoprav
    Файл C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll никак найти не могу.Ни АVZом,ни поисковиком.Вручную цепочка кончается на C:\Documents and Settings\All Users.WINDOWS\Documents Далее идёт папка "My Pictures" и никаких settings нет.Функция показа скрытых и системных файлов включена.Где ж его искать??
    сами посмотрите - надо искать в "Документы", а вы ищете в "Documents"!!!

  11. #10
    Kostoprav
    Guest
    q319243.com удалил.В C:\Documents and Settings\All Users.WINDOWS\ есть папки 1)Application Data 2)Главное меню 3)Общие документы 4)Шаблоны 5)Documents 6)Избранное 7)Рабочий стол. Никаких Документы\Settings там нет.В папке Общие документы находятся папки Музыка(общие) и Рисунки (общая).А про Documents я писал выше.Ничего не понимаю.. нет там папки "документы"

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -а ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\artm_newreg, DLLName есть???
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  13. #12
    Kostoprav
    Guest
    Есть.Удалить его?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Kostoprav
    Есть.Удалить его?
    -пока не стоит...
    -ещё есть в реестре какие-то ссылки на artm_new.dll?
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Kostoprav
    В C:\Documents and Settings\All Users.WINDOWS\ есть папки 1)Application Data 2)Главное меню 3)Общие документы 4)Шаблоны 5)Documents 6)Избранное 7)Рабочий стол. Никаких Документы\Settings там нет.В папке Общие документы находятся папки Музыка(общие) и Рисунки (общая).А про Documents я писал выше.Ничего не понимаю.. нет там папки "документы"
    ну это же РУТКИТ, он свою папку СКРЫВАЕТ.
    а выцепить его все равно нужно.

    видимо, придется его удалять. попробуйте так, как я рекомендую тут: http://virusinfo.info/showthread.php?t=5824

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от MOCT
    ну это же РУТКИТ, он свою папку СКРЫВАЕТ.
    а выцепить его все равно нужно.

    видимо, придется его удалять. попробуйте так, как я рекомендую тут: http://virusinfo.info/showthread.php?t=5824
    -м-м-да... ну конечно, иначе никак, только удалять, но при этом копировать удаляемые файлы в карантин, дабы потом познакомить с ним AVZ, DrWeb, KAV и т.д. и т.п.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  17. #16
    Kostoprav
    Guest
    Удалить artm_new.dll не получается,так как HijackThis-это единственная прога которая его видит.AVZ его никак не хочет находить.Удаляю его при помощи HijackThis,а при следующем сканировании он опять есть!! Сейчас попробую Xenantispyware.Кстати Reset5.dll-кажется нужная вещь!?-это один из Winlogon Notify,который я не удалил.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Kostoprav
    Удалить artm_new.dll не получается,так как HijackThis-это единственная прога которая его видит.AVZ его никак не хочет находить.
    А противодействие руткитам включали?

  19. #18
    Kostoprav
    Guest
    AVZ Guard?-конечно.Скачал Xenantispyware.Он сразу нашёл artm_new.dll.Я его удалил,перезагрузился и..опять он появился.И ещё он такое находит 1)Delay load dcom server 2)Delay load system check2 3) useracces файл system32\UAService7.exe. Это кто такие? Причём после нескольких попыток удаления Xenantispyware больше не находит artm_new.dll.А HijackThis очень даже находит.Только файл уже пишет не C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\artm_new.dll ,а С:\Windows.Чего теперь делать?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Новые логи.

    P.S. Противодействие руткитам - это не AVZ Guard. То есть, он тоже для борьбы с ними, но есть ещё галочки в настройках сканирования. Надо их выставить, запустить скан, прервать - нужен только запуск, чтобы снять перехваты руткитов. После этого AVZ должна увидеть всё. Или почти всё.

  21. #20
    Kostoprav
    Guest
    Цитата Сообщение от pig
    Новые логи.

    P.S. Противодействие руткитам - это не AVZ Guard. То есть, он тоже для борьбы с ними, но есть ещё галочки в настройках сканирования. Надо их выставить, запустить скан, прервать - нужен только запуск, чтобы снять перехваты руткитов. После этого AVZ должна увидеть всё. Или почти всё.
    Эти настройки конечно включал.Посылаю новые логи.
    Вложения Вложения

  • Уважаемый(ая) Kostoprav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. ggdrive32 и прочие его гадости
      От l0stparadis3 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.02.2011, 22:01
    2. updpxe32.exe и прочие гадости
      От noby в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 30.08.2010, 21:18
    3. Доунитожить гадости
      От loise в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.05.2009, 02:54
    4. install_temp_318 и прочие гадости...
      От filin041170 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:00
    5. Помогите избавиться от Warezov и прочей гадости
      От Lina Shade в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00643 seconds with 20 queries