Sysrestore.dll

**madcows7** · #1 26 червня 2008, 12:48

Ну моє запитання я отримую мою Avast кажучи sysrestore.dll містить malaware будь-яку допомогу, будь ласка? Спасибі їм турбує, оскільки я використовувати "Відновлення системи" минуло, і тепер, якщо воно містить вірус IM різьбове

**evilfantasy** · #2 26 червня 2008, 18:40

Чи не шурупами.

Опублікувати Hijackthis журнал, щоб ми могли подивитися.

**madcows7** · #3 27 червня 2008, 08:03

Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 6:20:16 PM, за 4/19/2008
Платформа: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot Mode: Normal

Запущені процеси:
C: \ WINDOWS \ system32 \ taskeng.exe
C: \ WINDOWS \ system32 \ Dwm.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ Common Files \ Avast4 \ ashDisp.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
C: \ WINDOWS \ System32 \ rundll32.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ System32 \ rundll32.exe
C: \ WINDOWS \ System32 \ CtHelper.exe
C: \ WINDOWS \ System32 \ CTXFIHLP.EXE
C: \ Users \ Mark JR \ Program Files \ ДНК \ btdna.exe
C: \ WINDOWS \ System32 \ CTXFISPI.EXE
C: \ WINDOWS \ system32 \ WBEM \ Unsecapp.exe
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ Program Files \ MSN Messenger \ livecall.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Users \ Mark JR \ Desktop \ dss.exe
C: \ WINDOWS \ system32 \ conime.exe
C: \ PROGRA ~ 1 \ TRENDM ~ 1 \ HIJACK ~ 1 \ Mark JR.exe
C: \ WINDOWS \ system32 \ SearchFilterHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = О: Порожньо
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, пошук Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Settings Int ernet, ProxyOverride = *. місцевих
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
O1 - Hosts: 72.233.61.2 L2authd.lineage2.com
O1 - Hosts: 72.233.61.2 L2testauthd.lineage2.com
O2 - BHO: RealPlayer Завантажити та запис плагін для Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ Real \ RealPlayer \ rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper клас - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Вхід в Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - (bf00e119-21a3-4fd1-b178-3b8537e75c92) - C: \ Program Files \ Megaupload \ Mega Manager \ MegaIEMn.dll
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Захисникові]% ProgramFiles% \ Windows Defender \ MSASCui.exe-Hide
O4 - HKLM \ .. \ Run: [GRID Сервіс] "C: \ Program Files \ GridService \ peer.exe"-N Grid
O4 - HKLM \ .. \ Run: [VMware лоток] "C: \ Program Files \ VMware \ VMware Workstation \ VMware-tray.exe"
O4 - HKLM \ .. \ Run: [VMware hqtray] "C: \ Program Files \ VMware \ VMware Workstation \ hqtray.exe"
O4 - HKLM \ .. \ Run: [Symantec PIF AlertEng] "C: \ Program Files \ Common Files \ Symantec Загальні \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe" / / М " C: \ Program Files \ Common Files \ Symantec Загальні \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ AlertEng.dll "
O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE
O4 - HKLM \ .. \ Run: [NVSvc] RUNDLL32.EXE C: \ WINDOWS \ system32 \ nvsvc.dll, nvsvcStart
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [NeroCheck] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [AsioReg] RegSvr32.exe / S CTASIO.DLL
O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE
O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM \ .. \ Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM \ .. \ Run: [завантаження ДНК] "C: \ Users \ Mark JR \ Program Files \ ДНК \ btdna.exe"
O4 - HKLM \ .. \ Run: [igndlm.exe] C: \ Program Files \ Download Manager \ DLM.exe / windowsstart / startifwork
O4 - HKLM \ .. \ Run: [Парові] "C: \ Program Files \ Steam \ Steam.exe" Silent --
O4 - HKLM \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKLM \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE')
O4 - HKLM \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKLM \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE')
O8 - Додатковий пункт контекстного меню: Завантажити посилання за допомогою Mega Manager ... - C: \ Program Files \ Megaupload \ Mega Manager \ mm_file.htm
O9 - Додаткові кнопки: (без назви) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Сервіс "MENUITEM Extra ': Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Додаткові кнопки: Yahoo! Послуги - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - (немає файлу)
O10 - Unknown файлу в Winsock LSP: C: \ WINDOWS \ system32 \ prxernsp.dll
O13 - Gopher префікса:
O16 - DPF: (0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75) (CKAVWebScan об'єкта) -- http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: (20A60F0D-9AFA-4515-A0FD-83BD84642501) (шашки клас) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: (30528230-99F7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A) (GameLauncher Control) -- http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: (A4110378-789B-455F-AE86-3A1BFC402853) (ZPA_SHVL об'єкта) -- http://zone.msn.com/bingame/zpagames...l.cab55579.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient клас) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Гра Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O16 - DPF: (FFB3A759-98B1-446F-BDA9-909C6EB18CC7) (PCPitstop іспит) -- http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O20 - Winlogon Notify: GoToAssist - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ G2AWinLogon.dll (файл відсутній)
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ aswUpdSv.exe
O23 - Service: Avast! Antivirus - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashServ.exe
O23 - Service: Avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashMaiSv.exe
O23 - Service: Avast! Web Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashWebSv.exe
O23 - Service: Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 # # # # (Bonjour Service) - Apple Computer, Inc - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect служби (CLTNetCnService) - Невідомий власник - C: \ Program Files \ Common Files \ Symantec Загальні \ ccSvcHst.exe (файл відсутній)
O23 - Service: Creative Послуги CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: FLEXnet Служба ліцензування - Macrovision Європа ТОВ - C: \ Program Files \ Common Files \ Macrovision Загальні \ FLEXnet Видавець \ FNPLicensingService.exe
O23 - Service: GoToAssist - Citrix Online, підрозділ компанії Citrix Systems, Inc - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ g2aservice.exe
O23 - Service: Table Manager (IDriverT) - Корпорація Майкрософт - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: LiveUpdate Повідомлення служби Ex (LiveUpdate нас Ex) - Невідомий власник - C: \ Program Files \ Common Files \ Symantec Загальні \ ccSvcHst.exe (файл відсутній)
O23 - Service: LiveUpdate Повідомлення служби - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
O23 - Service: MySQL - Невідомий власник - C: \ Program.exe (файл відсутній)
O23 - Service: PnkBstrA - Невідомий власник - C: \ WINDOWS \ system32 \ PnkBstrA.exe
O23 - Service: StarWind А.Е. обслуговування (StarWindServiceAE) - Невідомий власник - C: \ Program Files \ Алкоголь Soft \ Alcohol 120 \ StarWind \ StarWindServiceAE.exe (файл відсутній)
O23 - Service: Парові обслуговування клієнтів - Valve Corporation - C: \ Program Files \ Common Files \ Steam \ SteamService.exe
O23 - Service: VMware Агент служби (ufad-WS60) - Невідомий власник - C: \ Program Files \ VMware \ VMware Workstation \ VMware-ufad.exe (файл відсутній)
O23 - Service: VMware DHCP служба (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Гора Manager Extended (vmount2) - Невідомий власник - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image редагування \ vmount2.exe (файл відсутній)
O23 - Service: VMware NAT послуг - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - C: \ WAMP \ Bin \ Apache \ apache2.2.8 \ Bin \ httpd.exe
O23 - Service: wampmysqld - Невідомий власник - C: \ WAMP \ Bin \ MySQL \ mysql5.0.51a \ Bin \ туздИ-NT.EXE

--
Кінець файлу - 9649 байт

**evilfantasy** · #4 27 червня 2008, 11:57

Я не можу розповісти багато чого з журналу.

Завантаження Dr.Web CureIt! & Збережіть його на робочому столі.

Двічі клацніть по cureit.exe Для запуску програми. "Експрес сканування Вашого ПК"Повідомлення буде опубліковано.
У розділі "На даний момент Експрес Сканувати зараз", Натисніть кнопку"OK", Щоб розпочати. Це короткий, що сканування буде сканувати файли, запущених в пам'яті і при виявленні чогось, натисніть Так кнопку, коли він запитує вас, якщо ви хочете, щоб вилікувати його.
Після короткого сканування завершення натисніть Опції > Зміна параметрів
Виберіть "Сканування вкладку"І Зніміть "Евристичний аналіз"
Повернувшись в головному вікні, натисніть кнопку "Custom Scan", потім "Вибір дисків" (червона крапка покаже, які диски були обрані).
Потім натисніть кнопку "Start / Stop СкануванняКнопка "(Зелена стрілка праворуч) та перевірка почнеться.
По завершенні, повідомлення будуть відображатися в нижній частині консультування, якщо було виявлено ніяких вірусів.
Натисніть кнопку "Та для всіх"Якщо він запитує якщо ви хочете, щоб вилікувати / переміщення файлів.
Коли закінчить сканування, дивіться, якщо ви бачите значок поруч із знайдені файли. Якщо так, то виберіть його, а потім клацніть правою наступного нижче значок і виберіть пункт "Перемістити невиліковні".
(Це буде перемістити його в C: \ Documents і Settings \ UserProfile \ DoctorWeb \ папка карантину, якщо воно не може бути вилікувано)
Далі, у меню Dr.Web CureIt на вершині, виберіть файл і виберіть зберегти список звітів.
Збережіть DrWeb.csv Доповідь на робочому столі.
Вихід Dr.Web CureIt, коли закінчите.
Увага! Перезавантажити ваш комп'ютер, тому що це може бути можливим, що файли, використовувані будуть переміщені / видалені під час перезавантаження.

Ви можете використовувати Блокнот доповіді DrWeb.cvs клацнувши правою кнопкою миші і вибравши "Відкрити за допомогою> Блокнот

----------

Наступне повідомлення Додати
Доктор Веб журнал

**madcows7** · #5 2 липня 2008, 15:39

Я перспектива Як IGET з документами і налаштування? їм не використовувалися для Vista я використовую, щоб мати XP

Edit: знайшов NVM

**madcows7** · #6 2 липня 2008, 15:41

своєї заявивши, що її сканування при 80kbs ... Я 130gb для сканування, яка займе кілька днів будь-які ідеї?

**evilfantasy** · #7 4 липня 2008, 16:44

Завантажити Combofix SUBS по одній з наступних посилань.

Увага! Combofix.exe ПОВИННІ буде збережений і вибіг з Desktop.

Закрийте всі відкриті веб-браузерів. (Firefox, Internet Explorer, і т.д.) перед початком Combofix.
Увага! Тимчасово вимикати ваш антивірусні, блокування сценаріїв і будь-які антішпіонское реальний захист час перш сканування с.
- Натисніть Посилання щоб побачити список програм забезпечення безпеки, яка повинна бути відключена і як їх відключити.
- Якщо у вас немає в списку, і ви не знаєте, як вимкнути його, будь ласка, запитайте.
Попередження: Combofix відключення комп'ютера з Інтернетом. Підключення автоматично відновлено до Combofix завершує свій біг.
Двомісні combofix.exe натисніть & виконайте вказівки на екрані.
- Виберіть Так, щоб прийняти Відмова.
Коли закінчили, вона буде виробляти журнал для вас.
Пост ", що увійти ваш наступний відповідь.

Попередження: Чи не MouseClick вікна Combofix's під час його роботи. Це може призвести до її зрив

Якщо Combofix стикається з труднощами і закінчується передчасно, з'єднання може бути відновлений вручну перезавантажити комп'ютер.
Важливо: Пам'ятайте, щоб знову включити антивірусні та антишпигунські Перед повторним підключенням до Інтернету.

Якщо необхідно, зверніться до цієї Підручник Combofix з скріншотами, що подробиці будуть більш ретельно завантаження та управлінні Combofix.

----------

Наступне повідомлення Додати
Combofix журналу

**madcows7** · #8 9 липня 2008, 10:13

Я здаюся ComboFix doesn't LOL початку я думаю, можливо, доведеться переформатувати і втратити все, що я

**KanoakaVirus** · #9 9 липня 2008, 10:16

Цитата:

Спочатку Написав madcows7

Я здаюся ComboFix doesn't LOL початку я думаю, можливо, доведеться переформатувати і втратити все, що я

Ви завжди можете створити резервну копію даних першого ...

**evilfantasy** · #10 9 липня 2008, 12:58

Перейти на Пуск> Виконати і копіювати / вставити наступне:

"% USERPROFILE% \ Desktop \ combofix.exe" / killall

Натисніть клавішу Enter і Combofix почне працювати.

Коли закінчили, це призведе до лог файл, розташований на C: \ ComboFix.txt

Поштові зміст цього увійдіть ваш наступний відповідь.

Примітка: Чи не MouseClick ComboFix вікном під час його роботи. Це може привести до Вашої системи до нуля.

Різьба Інструменти
Показати Версія для друку Послати сторінку