Заблокировал Оперу и дергает Fdd
#1
Отправлено 08 Июль 2009 - 20:38
08-07-2009 17:23:28 [CL] (PID = 0856) C:\WINDOWS\TEMP\rdl8F.tmp.exe - инфицирован Trojan.PWS.Banker.29027
08-07-2009 17:23:43 [CL] (PID = 0856) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IRN2XV2Z\1[1].exe - удален
08-07-2009 17:23:45 [CL] (PID = 0856) C:\WINDOWS\TEMP\rdl8F.tmp.exe - удален
08-07-2009 18:17:25 [CR] (PID = 3248) G:\Новая папка (2)\qipinfium9030.exe - ошибка распаковки
08-07-2009 18:17:25 [CR] (PID = 3248) G:\Новая папка (2)\qipinfium9030.exe - ошибка распаковки
rdl8F.tmp.exe успела загрузиться. Узнала об этом когда меня "перезагрузили" с администратора на пользователя. нашла процесс, закрыла его. Просканировала систему. Сейчас - чисто.
Но это лирическое отступление. Флеху выличили и хорошо. Однако комп болен. Узнаю это потому, что Заблокирована Опера и дергает FDD через каждые 10 секунд.
Что сейчас: сканирование jfl2fc6l.exe (безплатный док.Веб) не показала наличие вирусов. Значит остатки сладки... Осталось вернуть назад Оперу и как-то обнаружить программу, которая дергает FDD.
Как бы мне исправить их?
#2
Отправлено 08 Июль 2009 - 20:42
Сначала сделайте логи по правилам, а там посмотрим.Как бы мне исправить их?[/b]
Борис А. Чертенко aka Borka.
#3
Отправлено 08 Июль 2009 - 20:44
Вы всего 10 дней назад писали сюда и уже забыли, что нужны логи?
На версию 5.0 перешли?
#4
Отправлено 08 Июль 2009 - 21:51
AnnaOl
Вы всего 10 дней назад писали сюда и уже забыли, что нужны логи?
На версию 5.0 перешли?
Перешла
Помню. Хотела зайцем проехаться
Что-то не загружает файл почему-то...
#5
Отправлено 08 Июль 2009 - 22:10
Могу путем копирования выложить здесь логи. Другого выхода не вижу.
#6
Отправлено 08 Июль 2009 - 22:50
Где вы?
В файле три лога от рекомендованных программ.
Прикрепленные файлы:
#7
Отправлено 09 Июль 2009 - 13:29
Вирусы вполне себе старые.
Проверить на VirusTotal, ссылки на результаты сюда:
1) C:\Program Files\LoviVkontakte\VkontakteService.exe
2) C:\Program Files\LoviVkontakte\lovivkontakte.exe
3) C:\program files\VolumeControl\volume.exe
4) C:\WINDOWS\system32\SupportAppXL\AutoDect.exe
5) C:\Program Files\Semagic\link.htm
6) C:\PROGRA~1\MICROS~3\INetRepl.dll
7) c:\windows\system32\siteaccess.dll
8) C:\WINDOWS\system32\wsX0nol.dll
ещё мне не нравятся - их тоже гляньте на закуску
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
Поискать и также проверить:
1) linkdel.cmd
Ждём-с
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#8
Отправлено 09 Июль 2009 - 16:39
http://www.virustotal.com/ru/analisis/836e...ac27-1247146098
c:\windows\system32\siteaccess.dll
0 bytes size received / Se ha recibido un archivo vacio
6) C:\PROGRA~1\MICROS~3\INetRepl.dll
http://www.virustotal.com/ru/analisis/c0d7...8c96-1247147230
1) C:\Program Files\LoviVkontakte\VkontakteService.exe
http://www.virustotal.com/ru/analisis/fe33...9ba2-1245938366
2) C:\Program Files\LoviVkontakte\lovivkontakte.exe
Долго не загружался на вирустотал, поэтому я просто стерла эту программу.
3) C:\program files\VolumeControl\volume.exe
https://www.virustotal.com/ru/analisis/7c21...bdae-1246715324
4) C:\WINDOWS\system32\SupportAppXL\AutoDect.exe (Это ACDSee Photo Manager 2009)
https://www.virustotal.com/ru/analisis/5ce3...18ea-1246380126
5) C:\Program Files\Semagic\link.htm
https://www.virustotal.com/ru/analisis/0a9c...cd42-1247146366
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (Это украшатель XP под висту, он у меня давно уже)
https://www.virustotal.com/ru/analisis/b28e...deff-1246576863
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (Тоже украшатель экрана. Давно стоит.
https://www.virustotal.com/ru/analisis/e48a...6038-1243018819
1) linkdel.cmd
http://www.virustotal.com/ru/analisis/cf74...01bc-1247148557
#9
Отправлено 09 Июль 2009 - 16:41
В вирлаб его отправьте.C:\WINDOWS\system32\wsX0nol.dll
#10
Отправлено 09 Июль 2009 - 16:54
Анна, а другие файлы?C:\WINDOWS\system32\wsX0nol.dll
http://www.virustotal.com/ru/analisis/836e...ac27-1247146098
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#11
Отправлено 09 Июль 2009 - 17:09
#12
Отправлено 09 Июль 2009 - 17:11
В вирлаб его отправьте.C:\WINDOWS\system32\wsX0nol.dll
Это где? Да может стереть его и все? Отправить могу, конечно. Только куда и откуда?
#13
Отправлено 09 Июль 2009 - 17:14
http://vms.drweb.com/sendvirus. Отправьте обязательно все файлы, которые на вирустотале определились хотя бы одним антивирусом!Это где? Да может стереть его и все? Отправить могу, конечно. Только куда и откуда?
#14
Отправлено 09 Июль 2009 - 17:15
В вирлаб его отправьте.C:\WINDOWS\system32\wsX0nol.dll
Это где? Да может стереть его и все? Отправить могу, конечно. Только куда и откуда?
http://vms.drweb.com/sendvirus
И мыло укажите свое.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#15
Отправлено 09 Июль 2009 - 17:18
Ссылка на форуме сверху Send Virus (Отправить Вирус)В вирлаб его отправьте.C:\WINDOWS\system32\wsX0nol.dll
Это где? Да может стереть его и все? Отправить могу, конечно. Только куда и откуда?
Обязательно отправьте туда
1) C:\WINDOWS\system32\wsX0nol.dll
2) C:\Program Files\LoviVkontakte\VkontakteService.exe
Попробуйте через сканер всё-таки скопировать файл
c:\windows\system32\siteaccess.dll
судя по всему это основной вредоносное программное обеспечение.
После отправки Вам не мейл придут тикеты - номера их опубликуйте в этой теме.
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#16
Отправлено 09 Июль 2009 - 17:26
1) O4 - HKLM\..\Run: [LoviVkontakte] C:\Program Files\LoviVkontakte\lovivkontakte.exeC:\Program Files\LoviVkontakte\lovivkontakte.exe
2) O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
3) O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
4) O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
5) O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')
Сам файлик linkdel.cmd, если Вам не сложно, киньте мне в личку (PM)
6) O8 - Extra context menu item: Semagic - C:\Program Files\Semagic\link.htm (filesize 186 bytes, MD5 3FB8F978FD7E8A5CFFF2344C045B37E0)
7) O8 - Extra context menu item: Копировать в Semagic - C:\Program Files\Semagic\copy.htm (filesize 267 bytes, MD5 EFC97A8A4D6540DC883D02F7C8206751)
8) O21 - SSODL: oledll - {97245B65-9135-5235-D524-2304D923BC72} - C:\WINDOWS\system32\wsX0nol.dll (filesize 81920 bytes, MD5 51555ED298190358B01C9C07BE8BCE7B)
9) O23 - Service: LoviVkontake Service (LoviVkontakteService) - Zeyfman Genady - C:\Program Files\LoviVkontakte\VkontakteService.exeC:\Program Files\LoviVkontakte\VkontakteService.exe
На этом пока всё.
Вопрос к опытным хелперам как из AppInit_DLLs удалить c:\windows\system32\siteaccess.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\windows\system32\siteaccess.dll
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#17
Отправлено 09 Июль 2009 - 17:33
Ручками удалить из параметра Appinit_Dlls в реестре:Вопрос к опытным хелперам как из AppInit_DLLs удалить c:\windows\system32\siteaccess.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\windows\system32\siteaccess.dll
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
или reg-файлом
#18
Отправлено 09 Июль 2009 - 17:33
После копирования пофиксите в Хайджэке:
1) O4 - HKLM\..\Run: [LoviVkontakte] C:\Program Files\LoviVkontakte\lovivkontakte.exeC:\Program Files\LoviVkontakte\lovivkontakte.exe
2) O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
3) O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
4) O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
5) O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')
Сам файлик linkdel.cmd, если Вам не сложно, киньте мне в личку (PM)
6) O8 - Extra context menu item: Semagic - C:\Program Files\Semagic\link.htm (filesize 186 bytes, MD5 3FB8F978FD7E8A5CFFF2344C045B37E0)
7) O8 - Extra context menu item: Копировать в Semagic - C:\Program Files\Semagic\copy.htm (filesize 267 bytes, MD5 EFC97A8A4D6540DC883D02F7C8206751)
8) O21 - SSODL: oledll - {97245B65-9135-5235-D524-2304D923BC72} - C:\WINDOWS\system32\wsX0nol.dll (filesize 81920 bytes, MD5 51555ED298190358B01C9C07BE8BCE7B)
9) O23 - Service: LoviVkontake Service (LoviVkontakteService) - Zeyfman Genady - C:\Program Files\LoviVkontakte\VkontakteService.exeC:\Program Files\LoviVkontakte\VkontakteService.exe
На этом пока всё.
Вопрос к опытным хелперам как из AppInit_DLLs удалить c:\windows\system32\siteaccess.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\windows\system32\siteaccess.dll
Ручками?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
Отправлено 09 Июль 2009 - 17:36
Попробуйте через сканер всё-таки скопировать файл
c:\windows\system32\siteaccess.dll
судя по всему это основной вредоносное программное обеспечение.
Не нашел его доктор Веб через строку для сканнера (как по ссылке указано)
Когда вирь отправляю, то какой запрос у меня? Запрос на лечение? Запрос: вирус не определяется Дрвебом?
#20
Отправлено 09 Июль 2009 - 17:41
Анна, в меню Пуск -> Выполнить
введите regedit.exe и нажмите enter.
В реестре перейдите по этому пути:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
где HKLM - HKEY_LOCAL_MACHINE
Найдите параметр Appinit_Dlls и удалите из него аккуратно только c:\windows\system32\siteaccess.dll
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых