Установка второго жесткогго диска - Страница 7

set of letters · 20.09.2009, 19:17

Steganos чего в автозапуске делает? Это в придачу к скрипту. Потом убрать его надо из автозапуска

klownada · 20.09.2009, 19:34

Цитата:

Сообщение от interesnovse-

Steganos чего в автозапуске делает? Это в придачу к скрипту. Потом убрать его надо из автозапуска

Steganos не видно в автозапуске. Как его выключить?

klownada · 20.09.2009, 19:42

выполнил.
http://webfile.ru/3936106 вот вторая ссылка

Lazy · 21.10.2009, 15:19

winagent.exe - это вирус или нет? Он у меня в запущеных процессах.

romul781 · 21.10.2009, 15:36

sergm, c:\windows\system32\winagent.exe - Trojan-Downloader.Win32.Agent.cikg ( DrWEB: Trojan.Click.26125 )

Lazy · 21.10.2009, 15:55

AVZ скрипт №3 http://exfile.ru/66247

romul781 · 21.10.2009, 16:13

sergm, Вы архив virusinfo_syscure.zip должны прислать.

---------- Добавлено в 14:30 ---------- Предыдущее сообщение было написано в 14:13 ----------

klownada, профиксите в Хайджеке эти строки:

Код:

R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: Web-ценник v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)
O9 - Extra 'Tools' menuitem: Web-ценник v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

а эти строки:

Код:

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

профиксите таким образом:
Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы:
npggsvc
PnkBstrA
5.Нажать кнопку OK
Перегрузите комп.

---------- Добавлено в 16:13 ---------- Предыдущее сообщение было написано в 14:13 ----------

и ждем новые логи от АВЗ и Хайджека

Lazy · 22.10.2009, 01:10

AVZ №3 http://exfile.ru/66371
хайджек http://exfile.ru/66372

LetNab · 22.10.2009, 02:21

sergm, выполните в AVZ следующий скрипт (AVZ-Выполнить скрипт):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('SetupNTGLM7X', 4);
 SetServiceStart('NTACCESS', 4);
 SetServiceStart('MSICPL', 4);
 SetServiceStart('MSICPL', 4);
 SetServiceStart('GMSIPCI', 4);
 StopService('SetupNTGLM7X');
 StopService('NTACCESS');
 StopService('MSICPL');
 StopService('GMSIPCI');
 QuarantineFile('C:\WINDOWS\system\svhost.exe','');
 QuarantineFile('J:\NTGLM7X.sys','');
 QuarantineFile('J:\install4\MSICPL.sys','');
 QuarantineFile('\Program Files\Alcohol Soft\Alcohol 120\alcoholx.dll','');
 QuarantineFile('C:\PROGRA~1\Crawler\ctbr.dll','');
 QuarantineFile('J:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('J:\NTACCESS.sys','');
 DeleteFile('\Program Files\Alcohol Soft\Alcohol 120\alcoholx.dll');
 DeleteFile('J:\INSTALL\GMSIPCI.SYS');
 DeleteFile('J:\install4\MSICPL.sys');
 DeleteFile('J:\NTACCESS.sys');
 DeleteFile('J:\NTGLM7X.sys');
 DeleteFile('C:\WINDOWS\system\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{T5TBB77L-4678-0MKC-421Q-14416031DYU6}');
DeleteService('SetupNTGLM7X');
DeleteService('NTACCESS');
DeleteService('MSICPL');
DeleteService('GMSIPCI');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKCU\..\Run: [{T5TBB77L-4678-0MKC-421Q-14416031DYU6}] C:\WINDOWS\system\svhost.exe
O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')

Повторите логи.
З.ы. sergm, а на что совственно жалобы?

Lazy · 22.10.2009, 02:56

Цитата:

Повторите логи.
З.ы. sergm, а на что совственно жалобы?

Несколько раз выскакивало сообщение winagent.exe инструкция такая-то обратилась по адресу...память не может быть рид или вместо winagent.exe может быть иеексплорер ехе. Мой Нод32 молчал, но когда я выполнял скрипт №3 авз, то он вдруг нашел этот винагент (троянская программа кликер) и удалил его.
Не знаю где спросить, но было пару раз еще такое - во время работы видеоредактора (эдауб премьер) вдруг комп зависает, из динамиков идет шум как будто звук заклинило и экран гаснет, потом это все проходит, а может и не пройти - экран не гаснет, но звук остается, помогает reset.
Вот такие вот пироги

21.10.2009, 16:13	#67 (permalink)
romul781 Member Регистрация: 01.03.2009 Сообщений: 3,593 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 260	sergm, Вы архив virusinfo_syscure.zip должны прислать. ---------- Добавлено в 14:30 ---------- Предыдущее сообщение было написано в 14:13 ---------- klownada, профиксите в Хайджеке эти строки: Код: R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: Web-ценник v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file) O9 - Extra 'Tools' menuitem: Web-ценник v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file) O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) а эти строки: Код: O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe профиксите таким образом: Для того чтобы пофиксить строку начинающуюся с O23 надо: 1. Запустить HijackThis. 2. Нажать кнопку Open The Misc Tools section 3. Нажать кнопку Delete an NT Service 4. В открывшемся диалоге ввести название службы: npggsvc PnkBstrA 5.Нажать кнопку OK Перегрузите комп. ---------- Добавлено в 16:13 ---------- Предыдущее сообщение было написано в 14:13 ---------- и ждем новые логи от АВЗ и Хайджека

20.09.2009, 19:17	#61 (permalink)
set of letters Member Регистрация: 05.02.2009 Сообщений: 9,999 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5307	Steganos чего в автозапуске делает? Это в придачу к скрипту. Потом убрать его надо из автозапуска

20.09.2009, 19:42	#63 (permalink)
klownada Member Регистрация: 19.05.2009 Сообщений: 178 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1	выполнил. http://webfile.ru/3936106 вот вторая ссылка

21.10.2009, 15:19	#64 (permalink)
Lazy Member Регистрация: 22.03.2007 Сообщений: 145 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	winagent.exe - это вирус или нет? Он у меня в запущеных процессах.

21.10.2009, 15:36	#65 (permalink)
romul781 Member Регистрация: 01.03.2009 Сообщений: 3,593 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 260	sergm, c:\windows\system32\winagent.exe - Trojan-Downloader.Win32.Agent.cikg ( DrWEB: Trojan.Click.26125 )

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

21.10.2009, 15:55	#66 (permalink)
Lazy Member Регистрация: 22.03.2007 Сообщений: 145 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	AVZ скрипт №3 http://exfile.ru/66247

22.10.2009, 01:10	#68 (permalink)
Lazy Member Регистрация: 22.03.2007 Сообщений: 145 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	AVZ №3 http://exfile.ru/66371 хайджек http://exfile.ru/66372