Андрей797979 Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 подозрение на "левую" активность на ноутбуке заметил когда подключался к интернету. не запускал ничего, а трафик жрет. установил NetLimiter 2 Pro. он показал что служба svchost.exe и mDNSResponder.exe. с Bonjour Service вроде разобрался:)//www.makak.ru/2008/12/17/chto-takoe-mdnsresponderexe-i-mdnsnspdll/,а в остальном прошу помощи. трфик тает на глазах. virusinfo_syscheck.zip hijackthis.log
ТроПа Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 Несколько вопросов к вам. Почему использовали переименованную АВЗ? Почему лог только после стандартного скрипта 2? АВЗ запускали от имени администратора?
Андрей797979 Опубликовано 28 декабря, 2009 Автор Опубликовано 28 декабря, 2009 переименованно, потому как вскачивал тута с форума полиморфный, галочки ставил на превых 4-х пунктах. при нажатии правой кнопкой в списке не было такой строки" запуск от имени администратора.
ТроПа Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 Скачайте стандартную АВЗ. Обновите базы. при нажатии правой кнопкой в списке не было такой строки" запуск от имени администратора. Скриншот приложите, пожалуйста.
Андрей797979 Опубликовано 28 декабря, 2009 Автор Опубликовано 28 декабря, 2009 скачал стандартную AVZ. все по правилам. восстановление системы отключил и пр. новый лог от имени админ. virusinfo_syscheck.zip
Fasawe Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 (изменено) Много лишнего на машине. К примеру, меня смущает вот это из лога hijack: D:\soft\t57c438x.exe C:\Users\86A9~1\AppData\Local\Temp\RarSFX0\347b6x.exe C:\Users\86A9~1\AppData\Local\Temp\RarSFX0\q9h5eXP.exe Также может жрать трафик вот это: C:\Windows\system32\SearchFilterHost.exe А вот это я бы смело вырезал: C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Bonjour\mdnsNSP.dll Вышеуказанные два файла ставятся вместе с Adobe Photoshop и это нечто вроде Adobe Updater, но для фотошопа. По сути, за эту службу на Adobe можно подать в суд )) O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe Ещё порекомендовал бы отключить службу индексирования: O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe З.Ы. Не забываем, что все решения принимают наши врачи, а я лишь скромный пользователь... Изменено 28 декабря, 2009 пользователем Fasawe
Андрей797979 Опубликовано 28 декабря, 2009 Автор Опубликовано 28 декабря, 2009 q9h5eXP.exe это сканер от dr.web вот еще лог от gmer ауууу! кто нить предложит помощь................. ауууу! кто нить предложит помощь................. gmer.log
akoK Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 В логе Gmer не вижу ничего интересного. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Андрей797979 Опубликовано 28 декабря, 2009 Автор Опубликовано 28 декабря, 2009 логи от rsil info.txt log.txt
akoK Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e794cd7-e30c-11de-a8a4-0016ea52be30}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3305-ced4-11de-a229-0016ea52be30}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3325-ced4-11de-a229-f856165b5264}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84aa5ad2-e000-11de-9319-fac7e1de469e}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4566181-e496-11de-bd4e-0016ea52be30}] :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Добрый Заазыч Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 (изменено) Fasawe а как это вырезать? просто у меня тоже это есть на ноуте? просто удалить? или лучше ерез спец софтину? "А вот это я бы смело вырезал: C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Bonjour\mdnsNSP.dll" Изменено 28 декабря, 2009 пользователем Zaaza
akoK Опубликовано 28 декабря, 2009 Опубликовано 28 декабря, 2009 Zaaza, обычное удаление Bonjour может привести к неработоспособности сети. Что такое Bonjour Service и как его удалить.
Андрей797979 Опубликовано 28 декабря, 2009 Автор Опубликовано 28 декабря, 2009 All processes killed Error: Unable to interpret <Processes> in the current context! Error: Unable to interpret <explorer.exe> in the current context! ========== SERVICES/DRIVERS ========== ========== FILES ========== ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e794cd7-e30c-11de-a8a4-0016ea52be30}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e794cd7-e30c-11de-a8a4-0016ea52be30}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3305-ced4-11de-a229-0016ea52be30}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4efe3305-ced4-11de-a229-0016ea52be30}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3325-ced4-11de-a229-f856165b5264}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4efe3325-ced4-11de-a229-f856165b5264}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84aa5ad2-e000-11de-9319-fac7e1de469e}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84aa5ad2-e000-11de-9319-fac7e1de469e}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4566181-e496-11de-bd4e-0016ea52be30}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c4566181-e496-11de-bd4e-0016ea52be30}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: Андрей ->Temp folder emptied: 31832 bytes ->Temporary Internet Files folder emptied: 38506 bytes ->Opera cache emptied: 658806 bytes User: ミᄑᄡタᄉᄍ %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes Windows Temp folder emptied: 527810 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50532 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1,00 mb OTM by OldTimer - Version 3.1.4.0 log created on 12282009_214440 Files moved on Reboot... Registry entries deleted on Reboot...
Андрей797979 Опубликовано 29 декабря, 2009 Автор Опубликовано 29 декабря, 2009 пока писал ответ 1,5 мб входящего трафика............... а еще через минуту еще 1,5 мб......приходиться разрывать соединение. что может так кушать мб?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти