NickGolovko Опубликовано 5 сентября, 2007 Share Опубликовано 5 сентября, 2007 Файлы на месте. Восстановление системы отключено однозначно? Упрямые панели давайте пофиксим в HJT: сделайте простое сканирование, отметитьте галочками и нажмите Fix Checked для строк O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush0.dll O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll Потом прогоните вышенаписанный скрипт в безопасном режиме: winlogon не закарантинился. Ссылка на комментарий Поделиться на другие сайты More sharing options...
CbIP Опубликовано 5 сентября, 2007 Автор Share Опубликовано 5 сентября, 2007 Закарантинил из безопасного режима - пароль: 123456 Често не очень понял про Упрямые панели давайте пофиксим в HJT: сделайте простое сканирование, отметитьте галочками и нажмите Fix Checked для строк O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush0.dll O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll При обычном сканировании avz4 не детектирует эти файлы у меня. 2007_09_05.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
MiStr Опубликовано 5 сентября, 2007 Share Опубликовано 5 сентября, 2007 Често не очень понял про Что значит "пофиксить с помощью HijackThis"? Ссылка на комментарий Поделиться на другие сайты More sharing options...
CbIP Опубликовано 5 сентября, 2007 Автор Share Опубликовано 5 сентября, 2007 Понял. Не расшифровал аббревиатуру - HJT. Ушёл делать. Сделал. Если не секрет, BHO - это что? Ссылка на комментарий Поделиться на другие сайты More sharing options...
MiStr Опубликовано 5 сентября, 2007 Share Опубликовано 5 сентября, 2007 Если не секрет, BHO - это что? NickGolovko: Модуль расширения IE Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 5 сентября, 2007 Share Опубликовано 5 сентября, 2007 Обещали вот это: http://en.wikipedia.org/wiki/Browser_Helper_Object Ссылка на комментарий Поделиться на другие сайты More sharing options...
NickGolovko Опубликовано 6 сентября, 2007 Share Опубликовано 6 сентября, 2007 Опять нет. Упакуйте winlogon вручную, если не сложно, и повторите virusinfo_syscure - посмотрю результаты фикса. Ссылка на комментарий Поделиться на другие сайты More sharing options...
CbIP Опубликовано 8 сентября, 2007 Автор Share Опубликовано 8 сентября, 2007 Сделал. Пароль на архив: 123456 winlogon.rar virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
NickGolovko Опубликовано 9 сентября, 2007 Share Опубликовано 9 сентября, 2007 Теперь 1) покажите лог Autoruns Руссиновича, 2) AVZ - AVZPM - Установить драйвер, перезагрузитесь и сделайте еще один virusinfo_syscure. Ссылка на комментарий Поделиться на другие сайты More sharing options...
CbIP Опубликовано 13 сентября, 2007 Автор Share Опубликовано 13 сентября, 2007 Вот логи авторана и AVZ. Китайский вирь переодически снова появляется autorun.txt virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
NickGolovko Опубликовано 13 сентября, 2007 Share Опубликовано 13 сентября, 2007 Я почти уверен, что его качает неубиваемая библиотека. Но в автозагрузке ее нет, остальные файлы выглядят доверительно. У вас есть открытые шары? Ссылка на комментарий Поделиться на другие сайты More sharing options...
zxzxzx Опубликовано 13 сентября, 2007 Share Опубликовано 13 сентября, 2007 (изменено) Результаты сканирования: C:\WINDOWS\system32\drivers\vo0w.sys AntiVir 7.4.1.66 2007.08.31 TR/Rootkit.Gen C:\WINDOWS\system32\Drivers\fg5h.sys AntiVir 7.4.1.66 2007.08.31 TR/Rootkit.Gen неплохо для эвристика авиры... Изменено 13 сентября, 2007 пользователем zxzxzx Ссылка на комментарий Поделиться на другие сайты More sharing options...
CbIP Опубликовано 13 сентября, 2007 Автор Share Опубликовано 13 сентября, 2007 Шар нет... Я как поставил Windows - не менял настроек, на 2 день это всё появилось. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NickGolovko Опубликовано 14 сентября, 2007 Share Опубликовано 14 сентября, 2007 Ситуация на сей момент следующая: C:\Windows\system32\winlib .dll не числится в автозагрузке и не обнаруживается BootCleaner после перезагрузки. Это предполагает, что она создается после старта системы некоторыми иными приложениями, однако ничего подозрительного у вас больше нет. По сети она попадать тоже не может, коль скоро у вас нет шар. Давайте еще выполним следующий скрипт: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RebootWindows(true); end. После того, как система перезагрузится, выждите некоторое время, после чего проверьте в AVZ - Диспетчер процессов наличие этой библиотеки в пространстве процесса winlogon. При ее появлении там в качестве временной меры запретите winlogon.exe любую сетевую активность, о результатах сообщите сюда. Ссылка на комментарий Поделиться на другие сайты More sharing options...
vovan7777 Опубликовано 15 сентября, 2007 Share Опубликовано 15 сентября, 2007 (изменено) Да уж... Не всем "так везет"- словить ТАКОЕ на второй день после установки винды..... Изменено 15 сентября, 2007 пользователем vovan7777 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти