put a rock beat over everything
WinXP SP3
Недавно на компьютер пробрался вирус: загрузка ОС заканчивалась синим экраном с надписью "Приветствие" и звуковым приветствием. Зайдя в безопасный режим, я запустила Avast!, он обнаружил вот это
13.04.2010 22:06:11 Даша 1696 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:16:41 Даша 1700 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:19:24 Даша 1704 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:22:06 Даша 1696 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:28:31 Даша 308 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "c:\windows\system32\a097262.exe" file.
13.04.2010 22:41:15 Даша 1120 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\Даша\Local Settings\Temporary Internet Files\Content.IE5\1BGL3J6F\fgkjUS4T_mlNKnO[1].exe" file.
После этого Avast! предложил перезагрузиться и выполнить проверку до загрузки ОС. Лог получился такой:
04/13/2010 22:53
Skanirovat' vse diski
Faiyl C:\System Volume Information\_restore{15E0D60F-3294-4322-B6FD-42C6AF6816ED}\RP646\A0150723.exe inficirovan virusom Win32:Rootkit-gen [Rtk], Udalennyiy
Faiyl D:\My Docs\Универ\Стажировка\Базы данных\MySQL-Front_3.2\keymaker.exe inficirovan virusom Win32:Trojan-gen, Udalennyiy
Faiyl D:\System Volume Information\_restore{15E0D60F-3294-4322-B6FD-42C6AF6816ED}\RP629\A0137989.exe inficirovan virusom Win32:Malware-gen, Udalennyiy
Kolichestvo naiydenyh papok: 25491
Kolichestvo proverenyh faiylov: 397039
Kolichestvo inficirovannyh faiylov: 3
Всё вроде бы хорошо, но теперь каждый раз при запуске компьютера у меня открываются Мои документы. И иногда Rainlendar2 моргает и закрывается, и запустить его больше не получается.
Вопрос: что происходит? И как от этого избавиться?
Недавно на компьютер пробрался вирус: загрузка ОС заканчивалась синим экраном с надписью "Приветствие" и звуковым приветствием. Зайдя в безопасный режим, я запустила Avast!, он обнаружил вот это
13.04.2010 22:06:11 Даша 1696 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:16:41 Даша 1700 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:19:24 Даша 1704 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:22:06 Даша 1696 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\a097262.exe" file.
13.04.2010 22:28:31 Даша 308 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "c:\windows\system32\a097262.exe" file.
13.04.2010 22:41:15 Даша 1120 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\Даша\Local Settings\Temporary Internet Files\Content.IE5\1BGL3J6F\fgkjUS4T_mlNKnO[1].exe" file.
После этого Avast! предложил перезагрузиться и выполнить проверку до загрузки ОС. Лог получился такой:
04/13/2010 22:53
Skanirovat' vse diski
Faiyl C:\System Volume Information\_restore{15E0D60F-3294-4322-B6FD-42C6AF6816ED}\RP646\A0150723.exe inficirovan virusom Win32:Rootkit-gen [Rtk], Udalennyiy
Faiyl D:\My Docs\Универ\Стажировка\Базы данных\MySQL-Front_3.2\keymaker.exe inficirovan virusom Win32:Trojan-gen, Udalennyiy
Faiyl D:\System Volume Information\_restore{15E0D60F-3294-4322-B6FD-42C6AF6816ED}\RP629\A0137989.exe inficirovan virusom Win32:Malware-gen, Udalennyiy
Kolichestvo naiydenyh papok: 25491
Kolichestvo proverenyh faiylov: 397039
Kolichestvo inficirovannyh faiylov: 3
Всё вроде бы хорошо, но теперь каждый раз при запуске компьютера у меня открываются Мои документы. И иногда Rainlendar2 моргает и закрывается, и запустить его больше не получается.
Вопрос: что происходит? И как от этого избавиться?
-
-
17.04.2010 в 20:36-
-
17.04.2010 в 20:58Scan saved at 20:55:32, on 17.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\CA_LIC\LogWatNT.exe
C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Wakoopa\Wakoopa.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\PGPserv.exe
C:\Program Files\Yandex\Punto Switcher\punto.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\AIMP2\AIMP2.exe
C:\Program Files\Last.fm\LastFM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Evernote\Evernote3.5\Evernote.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yandex.ru/?clid=44290
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.igoogle.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Доступ к платному контенту FieryAds v2.1.1 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\8485~1\APPLIC~1\FieryAds\FieryAds.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Помощник по входу в Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Wakoopa] "C:\Program Files\Wakoopa\Wakoopa.exe"
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: &Перевести в ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 11 First Step\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Add to &Evernote - res://C:\Program Files\Evernote\Evernote3.5\enbar.dll/2000
O8 - Extra context menu item: Google ВикиКомментарии... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Semagic - C:\Program Files\Semagic\link.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Копировать в Semagic - C:\Program Files\Semagic\copy.htm
O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm
O9 - Extra button: Отправка в блог - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: &Отправка в блог Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - shell32.dll (file missing)
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - shell32.dll (file missing)
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - shell32.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: base.consultant.ru
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get/shockwave/cabs/f...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A53D11D-30E8-4C3C-9DCA-3C38AC76CFE0}: NameServer = 88.147.128.17 88.147.129.15
O18 - Filter: application/xhtml+xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: application/xhtml+xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - AppInit_DLLs: PGPmapih.dll
-
-
17.04.2010 в 20:58O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\CA_LIC\LogWatNT.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 12750 bytes
-
-
17.04.2010 в 20:59-
-
17.04.2010 в 21:03Да
-
-
17.04.2010 в 21:56-
-
17.04.2010 в 23:07begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SearchRootkit(true, true);
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DeleteFile('C:\DOCUME~1\8485~1\APPLIC~1\FieryAds\FieryAds.dll');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Но вообще ничего страшного не вижу. Папка мои окументы открывется сразу после загрузки винды, никаких кнопокна мыши или клаве при этом не нажимаете?
-
-
18.04.2010 в 11:34-
-
17.05.2010 в 17:52слать смски, ставить аддоны файлообменника или сидеть смотреть на обратный отсчёт никому не охота
-
-
17.05.2010 в 18:43slil.ru/29148937
-
-
17.05.2010 в 20:27begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('spzh.sys');
BC_DeleteFile('spag.sys');
RebootWindows(true);
end.
и ещё у тебя там fieryads, которые тоже, в общем-то, не нужны — www.google.com/search?q=fieryads
-
-
18.05.2010 в 00:19fieryads - это жк Unlocker? зачем его удалять? просто чтобы не грузил компьютер
-
-
18.05.2010 в 11:39нет.