[madcows7]

Добре ми въпрос е Получавам Avast ми каза sysrestore.dll съдържа malaware кой да е помагам харесвам? благодаря ти IM притеснен, тъй като са използвали и възстановяване на системата в минали и ако сега има вирус IM винт

[evilfantasy]

Не прецакани.

Публикувай Hijackthis дневник, така можем да имаме поглед.

[madcows7]

Logfile на Тренд Микро HijackThis v2.0.2
Сканиране записани в 6:20:16 ч., на 4/19/2008
Платформа: Windows Vista (Winnt 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Обувка готовност: Нормално

Работещи процеси:
C: \ Windows \ System32 \ taskeng.exe
C: \ Windows \ System32 \ Dwm.exe
C: \ Windows \ Explorer.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashDisp.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Windows \ System32 \ CtHelper.exe
C: \ Windows \ System32 \ CTXFIHLP.EXE
C: \ Users \ Марк JR \ Program Files \ ДНК \ btdna.exe
C: \ Windows \ System32 \ CTXFISPI.EXE
C: \ Windows \ System32 \ wbem \ unsecapp.exe
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ Program Files \ MSN Messenger \ livecall.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Users \ Марк литература \ Desktop \ dss.exe
C: \ Windows \ System32 \ conime.exe
C: \ Program ~ 1 \ TRENDM ~ 1 \ Hijack ~ 1 \ Марк JR.exe
C: \ Windows \ System32 \ SearchFilterHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = Относно: празно
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, търсене Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Настройки, ProxyOverride = *. местните
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
О1 - Hosts: 72.233.61.2 L2authd.lineage2.com
О1 - Hosts: 72.233.61.2 L2testauthd.lineage2.com
O2 - BHO: RealPlayer за изтегляне и записване на Plug-in за Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ недвижими \ RealPlayer \ rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper клас - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ бен \ ssv.dll
O2 - BHO: Windows Live Sign-в Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Общи файлове \ Microsoft споделени \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - (bf00e119-21a3-4fd1-b178-3b8537e75c92) - C: \ Program Files \ Megaupload \ Мега мениджър \ MegaIEMn.dll
O4 - HKLM \ .. \ Пусни: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Пусни: [Windows Defender]% ProgramFiles% \ Windows Defender \ MSASCui.exe-скриване
O4 - HKLM \ .. \ Пусни: [Решетка служба] "C: \ Program Files \ GridService \ peer.exe"-н Решетка
O4 - HKLM \ .. \ Пусни: [VMWare-тава] "C: \ Program Files \ VMware \ VMware Workstation \ VMWare-tray.exe"
O4 - HKLM \ .. \ Пусни: [VMware hqtray] "C: \ Program Files \ VMware \ VMware Workstation \ hqtray.exe"
O4 - HKLM \ .. \ Пусни: [Symantec PIF AlertEng] "C: \ Program Files \ Общи файлове \ Symantec общо \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe" / А / М " C: \ Program Files \ Общи файлове \ Symantec общо \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ AlertEng.dll "
O4 - HKLM \ .. \ Пусни: [UpdReg] C: \ Windows \ UpdReg.EXE
O4 - HKLM \ .. \ Пусни: [NvSvc] RUNDLL32.EXE C: \ Windows \ System32 \ nvsvc.dll, nvsvcStart
O4 - HKLM \ .. \ Пусни: [NvCplDaemon] RUNDLL32.EXE C: \ Windows \ System32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Пусни: [NvMediaCenter] RUNDLL32.EXE C: \ Windows \ System32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Пусни: [NeroCheck] C: \ Windows \ System32 \ NeroCheck.exe
O4 - HKLM \ .. \ Пусни: [TkBellExe] "C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Пусни: [AsioReg] Regsvr32.exe / S CTASIO.DLL
O4 - HKLM \ .. \ Пусни: [CTHelper] CTHELPER.EXE
O4 - HKLM \ .. \ Пусни: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM \ .. \ Пусни: [CTXFIREG] CTxfiReg.exe
O4 - HKCU \ .. \ Пусни: [BitTorrent ДНК] "C: \ Users \ Марк JR \ Program Files \ ДНК \ btdna.exe"
O4 - HKCU \ .. \ Пусни: [igndlm.exe] C: \ Program Files \ Изтегляне мениджър \ DLM.exe / windowsstart / startifwork
O4 - HKCU \ .. \ Пусни: [Парна] "C: \ Program Files \ парна \ steam.exe"-безшумен
O4 - HKCU \ .. \ Пусни: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU \ .. \ Пусни: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Пусни: [страничната]% ProgramFiles% \ Windows лента \ Sidebar.exe / detectMem (User 'местна услуга ")
O4 - HKUS \ S-1-5-19 \ .. \ Пусни: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'местна услуга ")
O4 - HKUS \ S-1-5-20 \ .. \ Пусни: [страничната]% ProgramFiles% \ Windows лента \ Sidebar.exe / detectMem (User "мрежата")
O8 - Extra контекст менюто: Download Линк Използване Мега Мениджър ... - C: \ Program Files \ Megaupload \ Мега мениджър \ mm_file.htm
O9 - Extra бутона: (няма име) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ бен \ ssv.dll
O9 - Extra "Инструменти" MENUITEM: Sun Java конзолата - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ бен \ ssv.dll
O9 - Extra бутон: Yahoo! Услуги - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - (без файл)
O10 - неизвестен файл в Winsock LSP: C: \ Windows \ System32 \ prxernsp.dll
O13 - Гризльо Префикс:
O16 - DPF: (0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75) (CKAVWebScan обект) -- http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: (20A60F0D-9AFA-4515-A0FD-83BD84642501) (карирана клас) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Инсталиране Поддръжка) - C: \ Program Files \ Yahoo! \ Обща \ Yinsthelper.dll
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader контрол) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A) (GameLauncher контрол) -- http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: (A4110378-789B-455F-AE86-3A1BFC402853) (ZPA_SHVL обект) -- http://zone.msn.com/bingame/zpagames...l.cab55579.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient клас) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash обект) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Игри - Игра Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O16 - DPF: (FFB3A759-98B1-446F-BDA9-909C6EB18CC7) (PCPitstop изпит) -- http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O20 - Winlogon Уведомявай:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O20 - Winlogon Уведомявай: GoToAssist - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ G2AWinLogon.dll (файл липсва)
O23 - Обслужване: avast! iAVS4 контрол служба (aswUpdSv) - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Обслужване: avast! Antivirus - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Обслужване: avast! Mail Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Обслужване: avast! Уеб Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Обслужване: Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 # # # # (Бонжур Service) - Apple Computer, Inc - C: \ Program Files \ Бонжур \ mDNSResponder.exe
O23 - Обслужване: Symantec Lic NetConnect услуга (CLTNetCnService) - Неизвестен собственик - C: \ Program Files \ Общи файлове \ Symantec общо \ ccSvcHst.exe (файл липсва)
O23 - Служба: Creative служба за CDROM Достъп - Creative Технологии ООД - C: \ Windows \ System32 \ CTsvcCDA.exe
O23 - Обслужване: FLEXnet лицензиране служба - Macrovision Европа ООД - C: \ Program Files \ Общи файлове \ Macrovision общо \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Обслужване: GoToAssist - Citrix Online, подразделение на Citrix Systems, Inc - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ g2aservice.exe
O23 - Обслужване: InstallDriver Таблица Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Общи файлове \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Обслужване: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Обслужване: LiveUpdate Известие служба Ex (LiveUpdate Известие Ex) - Неизвестен собственик - C: \ Program Files \ Общи файлове \ Symantec общо \ ccSvcHst.exe (файл липсва)
O23 - Обслужване: LiveUpdate Известие служба - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
O23 - Обслужване: MySQL - Неизвестен собственик - C: \ Program.exe (файл липсва)
O23 - Обслужване: PnkBstrA - неизвестен собственик - C: \ Windows \ System32 \ PnkBstrA.exe
O23 - Обслужване: StarWind AE служба (StarWindServiceAE) - Неизвестен собственик - C: \ Program Files \ Алкохол Софт \ Алкохол 120 \ StarWind \ StarWindServiceAE.exe (файл липсва)
O23 - Обслужване: Парна Клиентски служба - Клапан Corporation - C: \ Program Files \ Общи файлове \ Парна \ SteamService.exe
O23 - Обслужване: VMware Агент служба (ufad-ws60) - Неизвестен собственик - C: \ Program Files \ VMware \ VMware Workstation \ VMWare-ufad.exe (файл липсва)
O23 - Обслужване: VMware DHCP служба (VMnetDHCP) - VMware, Inc - C: \ Windows \ System32 \ vmnetdhcp.exe
O23 - Обслужване: VMware Виртуален планината Мениджър Разширен (vmount2) - Неизвестен собственик - C: \ Program Files \ Общи файлове \ VMware \ VMware Виртуален за редактиране на изображения \ vmount2.exe (файл липсва)
O23 - Обслужване: VMware NAT служба - VMware, Inc - C: \ Windows \ System32 \ vmnat.exe
O23 - Обслужване: wampapache - Apache Software Foundation - C: \ WAMP \ бен \ Apache \ apache2.2.8 \ бен \ httpd.exe
O23 - Обслужване: wampmysqld - неизвестен собственик - C: \ WAMP \ бен \ MySQL \ mysql5.0.51a \ бен \ mysqld-nt.exe

--
Край на файл - 9649 байта

[evilfantasy]

Не мога да кажа много от дневника.

Изтеглям Dr.Web CureIt! & Го запишете на вашия работен плот.

• Щракнете върху cureit.exe за да стартирате програмата. За "Express сканиране на вашия компютър"Писмото ще се появи.
• Под "Започнете Express Сканирай Сега", Натиснете"OK"За да стартирате. Това е кратко сканиране, която ще сканира файловете в момента текат в памет и когато нещо се намери, кликнете върху Да бутона, когато той поиска от вас, ако искате да я излекува.
• След кратко сканиране завърши, кликнете Опции > Промяна на настройките
• Изберете "Сканиране раздела"И Махнете отметката "Евристичен анализ"
• Обратно в главния прозорец, кликнете върху "Custom Scan", после "Изберете устройства" (червена точка ще покаже кои устройства са били избрани).
• След това натиснете бутона "Старт / Стоп Сканиране"Бутон (зелената стрелка в дясно) и сканирането ще започне.
• Когато се направи, съобщението ще бъдат показани в долната част съветва ако има такива вируси, са открити.
• Натиснете "Да за всички"Ако това ви пита дали искате да се лекува / преместване на файл.
• Когато сканирането приключи, търсите, ако можете да видите иконата до файловете, намерени резултати. Ако е така, кликнете върху нея, след това кликнете на следващата икона долу вдясно и изберете "Премести нелечими".
  (Това ще го преместете в C: \ Documents и Settings \ USERPROFILE \ DoctorWeb \ Карантина папка, ако не могат да бъдат излекувани)
• След това в менюто на Dr.Web CureIt на върха, щракнете върху файла и изберат освен списък доклад.
• Спасете DrWeb.csv доклад на вашия работен плот.
• Изход Dr.Web Cureit, когато е готово.
• Важно! Рестартирайте вашия компютър, тъй като то би могло да стане, че файловете в употреба ще бъдат преместени / заличава по време на рестартиране.

Можете да използвате Notepad, за да отворите доклад DrWeb.cvs по право като щракнете върху него и изберете Отваряне с> Notepad

----------

Следващ пункт добави
Д-р уеб дневника

[madcows7]

аз имам изглед как iget до документи и настройки? IM не се използва за Vista и XP трябва да се използва


Edit: установено е NVM

[madcows7]

си каза своята сканиране 80kbs ... аз имам 130gb да сканирате, че ще отнеме дни някакви идеи?

[evilfantasy]

Изтегляне Combofix от sUBs от една от връзките по-долу.

• Линк # 1
• Линк # 2

Важно! Combofix.exe ТРЯБВА се спаси и да избяга от Desktop.

• Затворете всички отворени уеб браузъри. (Firefox, Internet Explorer, и т.н.), преди да започне Combofix.
• Важно! Временно изключвам твоя антивирусни, скрипт блокиране и всяко antispyware защита в реално време преди изпълнение на сканиране.
  • Документа този линк за да видите списък на програмите за сигурност, които трябва да бъдат извадени от строя, и как да ги прекъснем.
  • Ако твоята не е в списъка и не знам как да го спрете, моля, попитайте.
• Предупреждение: Combofix изключва компютъра си от интернет. Връзката се възстановява автоматично, преди Combofix допълва своя план.
• Щракнете два пъти combofix.exe & следвайте указанията.
  • Изберете Да, за да приемете Опровержения.
• Когато приключи, той ще представи дневник за вас.
• Мнение, че влизате в следващата си реплика.

Предупреждение: Не mouseclick Combofix в прозореца, докато тя работи. Това може да доведе до загубване на скорост

• Ако Combofix писти в затруднено положение и прекрати преждевременно, връзката може да бъде възстановена чрез ръчно рестартиране на компютъра.
• Важно: Не забравяйте да включите вашата антивирусна и antispyware преди reconnecting до Интернет.

Ако е необходимо, вижте това Combofix настойнически със снимки на екрани, които ще подробно по-обстойно изтегляне и функционирането на Combofix.

----------

Следващ пункт добави
Combofix Дневник

[madcows7]

Предавам се combofix doesn't LOL започне Предполагам, че може да има за преформатиране и губи всичко, което съм

[KanoakaVirus]

Цитат:

Първоначално Публикувано от madcows7

Предавам се combofix doesn't LOL започне Предполагам, че може да има за преформатиране и губи всичко, което съм

Вие винаги може да направите резервно копие на вашите данни първи ...

[evilfantasy]

Отиди на Start> Run и копие / паста в следното:

"% USERPROFILE% \ Desktop \ combofix.exe" / killall

Натиснете Enter и Combofix ще започне да се изпълнява.

Когато приключи, той ще представи лог файл, разположени в C: \ ComboFix.txt

Пост съдържанието на дневника, че в следващата си реплика.

Забележка: Не mouseclick combofix в прозореца, докато тя работи. Това може да доведе до вашата система, за да обора.