Установка второго жесткогго диска - Страница 5

01pump · 18.09.2009, 17:23

Цитата:

Сообщение от Trion

Большое спасибо за помощь, проблема осталась

буду бороться дальше

Однако.... Именно тот файлик ikowin32.exe всплывает? У вас случайно не со сьемных носителей типа флешки лезет? Может и из локальной сети.

Еще раз выполните стандартный скрипт №2 и пришлите virusinfo_syscheck.zip

Trion · 18.09.2009, 19:31

Да, в автозагрузке продолжает появляться файл ikowin.exe.
Флешкой и другими съемными носителями ближаюшую неделю не пользовался и они не подключены.
Нашел в CCleaner запись в автозагрузке файла braviax, в hijackthis это записи не было.
Также появился новый симптом: каждые минут 10-15 все окна становятся неактивны, если запущено приложение, то оно просто сворачивается.
Прошелся утилиткой от Dr.Web еще раз, нашлось только несколько файлов в c:\windows\temp
Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324
пока файлы не трогал, как их лучше удалить? что делать с svhost.exe?
Скрипт №2 - http://exfile.ru/60325

01pump · 18.09.2009, 19:41

Цитата:

Сообщение от Trion

Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324 пока файлы не трогал, как их лучше удалить? что делать с svhost.exe? Скрипт №2 - http://exfile.ru/60325

C:\Program Files\Trend Micro\HijackThis\backups\backup-20090918-161426-117-ikowin32.exe это бекап Hijackа
svchost пока не трогайте

Выполнить

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
BC_DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторить стандартный скрипт №2 выложить virusinfo_syscheck.zip

Trion · 18.09.2009, 20:01

Готово
Скрипт №2 - http://exfile.ru/60338

01pump · 18.09.2009, 22:25

Хммм... я или чего то недопонимаю..... или пора на пенсию ...
Вот эту версию avz http://narod.ru/disk/12203190000/avz.exe.html скачайте и повторите стандартный скрипт №2 (если возможно то выполнить это в Безопасном режиме)

Цитата:

Нашел в CCleaner запись в автозагрузке файла braviax

Если можно укажите точно что это за запись braviax (сделайте принтскрин)

Trion · 19.09.2009, 04:11

Скрипт №2 - http://exfile.ru/60432 (в Безопасном режиме)
Из CCleaner запись удалил, когда увидел, до этого Dr.Web при проверке удалил файлик braviax.exe. Наверно просто запись на его автозапуск осталась, т.к. в поле файл было пусто. Сейчас ничего нету и не появляется.
Зато остались проблемы и добавляются новые

что-то спамит в сеть на подключение к различным ip.
Поставил firewall, вроде как блочит.
Проверка Dr.Web в безопасном режиме ничего не обнаружила.
Поиски продолжаются

01pump · 19.09.2009, 10:57

Trion,
Не понял.... вы уже успели еще одну гадость подхватить?
В Безопасном режиме выполните следующий скрипт

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки в обычном режиме через Панель управления-Установка и удаленеи программ деинсталлируйте Bonjour

Затем там же в обычном режиме выполните во второй версии avz (полиморфной) стандартный скрипт №2 (virusinfo_syscheck.zip)

ps еще мне кажеться что симантек в сговоре

и мешает некоторым операциям avz

Trion · 19.09.2009, 15:18

Скрипт №2 - http://exfile.ru/60455
Возможно и еще одна гадость или это вторая серия началась

Bonjour нету в списке программ. Насколько я знаю это служба Adobe, вероятнее всего установился вместе с photoshop. Папочку то я зачемто снес, наверно надо чистить реестр.
Можно ли както проследить откуда берется файл ikowin32.exe в автозапуске?

ps возможно скоро в сговор войдут и другие группировки, и тогда мафиозный клан одержит победу

01pump · 19.09.2009, 15:41

Trion,
Бонжур он от Apple

В логе не увидел ikowin32.exe Оно еще присутствует?

Вот это выполнить

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFileMask('%Temp%', '*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
ClearIECache;
ExecuteSysClean;
RebootWindows(true);
end.

При выполнении комп чуток подвиснет минут на 5. Его кнопкой Reset на системнике перезагрузите.
После перезагрузки повторить стандарт скрипт №2 прислать virusinfo_syscheck.zip

Trion · 19.09.2009, 18:59

Скрипт №2 - http://exfile.ru/60480
ikowin32.exe еще присутствует, просто он не после каждой перезагрузки появляется, либо и во все без перезагрузки во время работы. Последний раз я его удалил и убрал запись автозапуска в hijackthis, но кто-то его зовет обратно и он с радостью возвращается

18.09.2009, 19:31	#42 (permalink)
Trion Member Регистрация: 17.09.2009 Сообщений: 18 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Да, в автозагрузке продолжает появляться файл ikowin.exe. Флешкой и другими съемными носителями ближаюшую неделю не пользовался и они не подключены. Нашел в CCleaner запись в автозагрузке файла braviax, в hijackthis это записи не было. Также появился новый симптом: каждые минут 10-15 все окна становятся неактивны, если запущено приложение, то оно просто сворачивается. Прошелся утилиткой от Dr.Web еще раз, нашлось только несколько файлов в c:\windows\temp Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324 пока файлы не трогал, как их лучше удалить? что делать с svhost.exe? Скрипт №2 - http://exfile.ru/60325

18.09.2009, 20:01	#44 (permalink)
Trion Member Регистрация: 17.09.2009 Сообщений: 18 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Готово Скрипт №2 - http://exfile.ru/60338

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

19.09.2009, 04:11	#46 (permalink)
Trion Member Регистрация: 17.09.2009 Сообщений: 18 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Скрипт №2 - http://exfile.ru/60432 (в Безопасном режиме) Из CCleaner запись удалил, когда увидел, до этого Dr.Web при проверке удалил файлик braviax.exe. Наверно просто запись на его автозапуск осталась, т.к. в поле файл было пусто. Сейчас ничего нету и не появляется. Зато остались проблемы и добавляются новые что-то спамит в сеть на подключение к различным ip. Поставил firewall, вроде как блочит. Проверка Dr.Web в безопасном режиме ничего не обнаружила. Поиски продолжаются

19.09.2009, 15:18	#48 (permalink)
Trion Member Регистрация: 17.09.2009 Сообщений: 18 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Скрипт №2 - http://exfile.ru/60455 Возможно и еще одна гадость или это вторая серия началась Bonjour нету в списке программ. Насколько я знаю это служба Adobe, вероятнее всего установился вместе с photoshop. Папочку то я зачемто снес, наверно надо чистить реестр. Можно ли както проследить откуда берется файл ikowin32.exe в автозапуске? ps возможно скоро в сговор войдут и другие группировки, и тогда мафиозный клан одержит победу

19.09.2009, 18:59	#50 (permalink)
Trion Member Регистрация: 17.09.2009 Сообщений: 18 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Скрипт №2 - http://exfile.ru/60480 ikowin32.exe еще присутствует, просто он не после каждой перезагрузки появляется, либо и во все без перезагрузки во время работы. Последний раз я его удалил и убрал запись автозапуска в hijackthis, но кто-то его зовет обратно и он с радостью возвращается