Погода: −11 °C
23.11−11...−6пасмурно, без осадков
24.11−7...−3пасмурно, без осадков
  • Винда сильно тормозит при зпуске, залез в автозагрузку а там вон че! (см. прикрепленный файл), подскажите что стоит отключить и что следует оставить ? :dnknow:

  • неро нах, а остальные дайте посмотреть - покажите их полный путь.

    Nervous fingers, anxious smile...

  • :улыб:комп домашний, вечером прикреплю жпег с полным путем, чето не сообразил сразу

  • winsys2 на 99% вирус

  • :а\?: на компе стоит Nod 32 + проверял сегодня свежескачаной утилитой Dr.Web cureit , вроде ничего небуло выявлено

  • :а\?: спасибо, очень полезная информация и ссылочки! :agree:

  • Я б все удалил нах, кроме NvCpl, cftmon и soundman

    эгоист - это человек, который думает в первую очередь о себе и только потом обо мне

  • soundman тоже можно смело удалять

    Гордый зануда скифов

  • а вот и слепок с путями :а\?:

  • винсис2 на 100% вирус:)

    The answer to life the universe and everything is 42.

  • не прикрепился файл =( попробуйте его выложить наwww.radikal.ru к примеру

    Nervous fingers, anxious smile...

  • думаю, что наиболее полную информацию мы получим, если АВЗой выполнить стандартный скрипт (файл-стандартные скрипты) и там второй скрипт (сбор информации для раздела "помогите") и полученный отчет прикрепить к мессаджу, ибо наверняка что нить на уровне ядра сидит, возможно что то сервисами прописано, да и других мест запуска из реестра полно.

  • :а\?: вот что получилось:
    Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 30.10.2008 19:09:41
    Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
    Загружены микропрограммы эвристики: 370
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 70476
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07BFA0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552FA0
    KiST = 80501B8C (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 20
    Анализатор - изучается процесс 344 C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    [ES]:Может работать с сетью
    [ES]:Может отправлять почту ?!
    [ES]:Прослушивает порты TCP !
    [ES]:Прослушивает порты, применяемые протоколом HTTP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 576 C:\Program Files\Opera AC 3.6\opera.exe
    [ES]:Может работать с сетью
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Процесс c:\program files\opera ac 3.6\opera.exe Может работать с сетью (net.dll)
    Количество загруженных модулей: 256
    Проверка памяти завершена
    3. Сканирование дисков
    C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\stlport.5.0.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\tincat3.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\unicows.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\zlib1.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
    Прямое чтение C:\Program Files\Opera AC 3.6\mail\indexer\indexer.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\mail\lexicon\lexicon.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\url.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\w.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\wb.vx
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\url.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\w.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\wb.vx
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\url.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\w.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\wb.vx
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\url.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\w.ax
    Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\wb.vx
    C:\Program Files\Uniblue\DriverScanner\LicenseCommon.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012175.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012176.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012178.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Меню Пуск - заблокированы элементы
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Проверка завершена
    Просканировано файлов: 102906, извлечено из архивов: 84538, найдено вредоносных программ 0, подозрений - 15
    Сканирование завершено в 30.10.2008 19:19:48
    Сканирование длилось 00:10:08
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Выполняется исследование системы
    Исследование системы завершено :not_i::

  • :а\?: да вроде прикрепился, попробуйте обновить страничку

  • ага, только это протокол проверки, а не отчет, создаваемый после выполнения скрипта, должно быть в итоге сгенерировано пара файлов avz_sysinfo. так вот их бы желательно зипнуть и аттачить.

  • Да и так видно что в точках восстановления вирусяга.
    Топикстартеру:
    Из автозагрузки я всегда все убиваю кроме ctfmon'a.
    Если антивири не видят, то придется ручками удалять.

Записей на странице:

Перейти в форум

Модераторы: