avz 4.32 находит в автозагрузке данный процесс, но реально файла нет, причем вроде как в XP SP3 такого файла давно нет…
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\psxss.exe)
Карантин с использованием прямого чтения — ошибка
HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
Что-нибудь прояснить можете?
Удалил эту запись из реестра. Сразу получились странные логи…
Еще вот касперского закарантинило:
[infectedFile]
Src=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.com
Infected=avz00002.dta
Virus=PE файл с измененным расширением, допускающим запуск (присуще вирусам)
QDate=04.01.2010 23:10:05
Size=19472
MD5=397B283FE5593259DD6173195E0CF677
FileDate=27.08.2009 11:16:24
AVZVer=4.32
Attr=
MainAVBase=04.01.2010 17:18:27
virusinfo_syscheck.zip
virusinfo_syscure.zip
Изменено пользователем igorX
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
1 |
|
Подцепил вирус09.08.2011, 06:12. Показов 7491. Ответов 22
Позавчера подцепил вирус от сайта со спам рекламой, аваст закричал о вирусе, но видимо не смог остановить. После этого при работе аваст постоянно кричит о попытке соединения файлы netprotocol.exe с какими-то сайтами. Не смог сделать логи RSITA, т.к. компьютер без интернета. Прикрепил лог HiJack’а Прикрепляю логи, надеюсь на помощь
0 |
|
Programming Эксперт 94731 / 64177 / 26122 Регистрация: 12.04.2006 Сообщений: 116,782 |
09.08.2011, 06:12 |
|
Ответы с готовыми решениями: Подцепил вирус Подцепил вирус в панели задач появился значек "сканер почты avast!", и с ним ничего нельзя… Подцепил вирус Подцепил вирус 22 |
|
Заблокирован |
|
|
09.08.2011, 09:57 |
2 |
|
Не смог сделать логи RSITA скачайте на другом ПК, сделать нужно обязательно C:\Users\Andrey\AppData\Roaming\MegaFon Internet\ouc.exe — это ваше? 1.Проверьте на virustotal.com: C:\Windows\Installer\d664b.msi ссылки на результат запостите здесь найдите при помощи avz этот файл и отправьте на анализ Binary\BloodlineChampions.exe Как искать файлы при помощи AVZ и отправить на анализ 2.В логе сканирования Hijackthis отметьте: O4 — Startup: igfxtray.exe нажмите «Fix checked» 3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. Код begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\andrey\appdata\lsass.exe');
QuarantineFile('C:\Users\Andrey\AppData\Roaming\MegaFon Internet\ouc.exe','');
QuarantineFile('C:\Windows\Installer\d664b.msi','');
QuarantineFile('C:\Program Files\AcroPDF\Inst.exe','');
QuarantineFile('C:\Users\Andrey\AppData\lsass.exe','');
QuarantineFile('C:\Windows\system32\upuxigh.dll','');
DeleteFile('C:\Windows\system32\upuxigh.dll');
DeleteFile('C:\Users\Andrey\AppData\lsass.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4.Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. 5.сделайте повторные логи avz и rsit .
1 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
09.08.2011, 12:53 [ТС] |
3 |
|
Не могу отправить на анализ «Binary\BloodlineChampions.exe». При попытке сделать это первым способом пишет : Второй способ (через поиск на диске, искал только в C:\Windows\) вообщен не находит файл Кроме того, не могу выполнить 2 пункт, там просто нет такой строки! В добавок при попытке выполнения скрипта окошечко, куда надо писать скрипт появляется, а потом сразу исчезает. На дальнейшие действия avz не откликивается Добавлено через 31 минуту Добавлено через 21 минуту Добавлено через 2 минуты Добавлено через 16 минут Добавлено через 27 минут C:\Program Files\AcroPDF\Inst.exe: Добавлено через 54 секунды
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
09.08.2011, 14:13 [ТС] |
4 |
|
Логи malware
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
09.08.2011, 16:28 [ТС] |
5 |
|
Логи после скана малваром Основные проблемы исчезли (вирусы больше не атакуют, из процессов ушло все лишнее)
0 |
|
Заблокирован |
|
|
09.08.2011, 23:13 |
6 |
|
1. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. Код begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\amcp772c.exe','');
QuarantineFile('C:\Windows\system32\9F47.tmp','');
QuarantineFile('c:\users\andrey\appdata\roaming\microsoft\windows\start menu\programs\startup\igfxtray.exe ','');
DeleteFile('C:\amcp772c.exe');
DeleteFile('C:\Windows\system32\9F47.tmp');
DeleteFile('c:\users\andrey\appdata\roaming\microsoft\windows\start menu\programs\startup\igfxtray.exe ');
DeleteFile('C:\Windows\System32\drivers\owtxv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('owtxv');
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3. сделайте повторные логи avz и rsit.
вообщен не находит файл
нет такой строки! ок
virustotal перестал загружаться и на первом, и на втором компьютере. то, что VT не загружается здесь, это закономерность, а второй комп тоже стоит проверить, т к это 1 из признаков заражения.
Можно ли залить Quarantin на rghost? нет, отправьте тогда на quarantine#safezone.cc
Основные проблемы исчезли (вирусы больше не атакуют, из процессов ушло все лишнее) не совсем чисто, после выполнения скрипта отпишитесь о проблемах.
1 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 01:38 [ТС] |
7 |
|
Делаю логи. После скрипта проблема с IE не исчезла
0 |
|
Заблокирован |
|
|
10.08.2011, 01:50 |
8 |
|
Второй архив отправить не смогу, он весит около 72 мб, что делать?
отправьте тогда на quarantine#safezone.cc
проблема с IE не исчезла Скачайте и запустите Fix IE Utility .
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 15:30 [ТС] |
9 |
|
Вот логи после скрипта, щас попробую пофиксить через Fix IE
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 15:32 [ТС] |
10 |
|
IE Fix не помог, все-равно крашться с ошибкой на IEBHO.dll
0 |
|
Заблокирован |
|
|
10.08.2011, 15:37 |
11 |
|
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. Подробнее в «ComboFix. Руководство по применению.»
1 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 16:56 [ТС] |
12 |
|
Вот лог фикса
0 |
|
Заблокирован |
|
|
10.08.2011, 17:19 |
13 |
|
крашться с ошибкой на IEBHO.dll это в журнале событий такая запись? Или сообщение об ошибке при запуске? Текст дословно приведите. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.* Код RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 18:05 [ТС] |
14 |
|
Нет, журнал не смотрел Добавлено через 36 минут
0 |
|
Заблокирован |
|
|
10.08.2011, 18:08 |
15 |
|
Может просто удалить его? это не зловред, но попробуйте удалить iMesh Applications через установку и удаление программ. Если что, позже можно будет установить заново.
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 18:26 [ТС] |
16 |
|
Архив с логом ComboFix’а (через скрипт)
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 18:27 [ТС] |
17 |
|
Удалил Imesh, но папка с медиа баром все-равно осталась, и .Dll вместе с ней
0 |
|
Заблокирован |
|
|
10.08.2011, 18:37 |
18 |
|
Мб просто в ручную удалить ее,или не стоит? Попробуйте удалить, также возможно поможет переустановка Internet Explorer 8 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку «ОК« Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
0 |
|
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
|
10.08.2011, 18:49 [ТС] |
19 |
|
Удалил imesh, все работает прекрасно, видимо такой был медиабар :/
0 |
|
Заблокирован |
|
|
10.08.2011, 18:51 |
20 |
|
Если больше ничего не беспокоит, то обновите: Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск — выполнить — cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f Нажмите enter. Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск — Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется:
0 |
|
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
10.08.2011, 18:51 |
|
Помогаю со студенческими работами здесь Подцепил вирус Похоже подцепил вирус… У меня такая проблема… после скачивания одной оччень подозрительной… Браузер подцепил вирус! подцепил вирус-майнер Подцепил вирус на браузер
Искать еще темы с ответами Или воспользуйтесь поиском по форуму: 20 |
Cтранный вирус подцепилЗдравствуйте…
У меня вот что случилось. NOD постоянно выдает угрозу:
После удаления файла и перезагрузки компьютера ВСЁ повторяется. т.е. файл advapi.$$$ остается на месте и NOD
продолжает сообщать об угрозе от этого файла.
Результаты проверки:
1. AVZ
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 25.12.2008 11:17:47
Загружена база: сигнатуры — 202224, нейропрофили — 2, микропрограммы лечения — 56, база от 23.12.2008 21:05
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 74370
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно — подозрение на подмену адреса ЦП[1].IDT[06] = [b1A3883B] C:\WINNT\system32\haspnt.sys, драйвер
опознан как безопасный
>>> Опасно — подозрение на подмену адреса ЦП[1].IDT[0E] = [b1A38780] C:\WINNT\system32\haspnt.sys, драйвер
опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 53
d:\program files\rhinosoft.com\serv-u\servutray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd
Файл успешно помещен в карантин (d:\program files\rhinosoft.com\serv-u\servutray.exe)
Количество загруженных модулей: 349
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINNT\SchedLgU.Txt
Прямое чтение C:\WINNT\system32\advapi32.$$$
Прямое чтение C:\WINNT\system32\CatRoot2\edb.log
Прямое чтение C:\WINNT\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
Прямое чтение C:\WINNT\system32\config\default
Прямое чтение C:\WINNT\system32\config\SAM
Прямое чтение C:\WINNT\system32\config\SAM.LOG
Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
Прямое чтение C:\WINNT\system32\config\SECURITY
Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
Прямое чтение C:\WINNT\system32\config\system
Прямое чтение C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP
Прямое чтение C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP
Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA
Прямое чтение C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP
Прямое чтение C:\WINNT\WindowsUpdate.log
D:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd
E:\Adfiles\upimages\2389medium.jpg >>> подозрение на Packed.Win32.Tibs.an
Файл успешно помещен в карантин (E:\Adfiles\upimages\2389medium.jpg)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\cpadvai.dll —> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINNT\system32\cpadvai.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\cpadvai.dll)
Карантин с использованием прямого чтения — ошибка
e:\program files\crypto pro\csp\cpcrypt.dll —> Подозрение на Keylogger или троянскую DLL
e:\program files\crypto pro\csp\cpcrypt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpcrypt.dll)
e:\program files\crypto pro\csp\cpwinet.dll —> Подозрение на Keylogger или троянскую DLL
e:\program files\crypto pro\csp\cpwinet.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (e:\program files\crypto pro\csp\cpwinet.dll)
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll —> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на
типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll)
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll —> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на
типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll)
E:\Program Files\Crypto Pro\CSP\cpcspi.dll —> Подозрение на Keylogger или троянскую DLL
E:\Program Files\Crypto Pro\CSP\cpcspi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspi.dll)
E:\Program Files\Crypto Pro\CSP\cpcspr.dll —> Подозрение на Keylogger или троянскую DLL
E:\Program Files\Crypto Pro\CSP\cpcspr.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpcspr.dll)
E:\Program Files\Crypto Pro\CSP\cpsuprt.dll —> Подозрение на Keylogger или троянскую DLL
E:\Program Files\Crypto Pro\CSP\cpsuprt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cpsuprt.dll)
E:\Program Files\Crypto Pro\CSP\cprndm.dll —> Подозрение на Keylogger или троянскую DLL
E:\Program Files\Crypto Pro\CSP\cprndm.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\cprndm.dll)
E:\Program Files\Crypto Pro\CSP\bio.dll —> Подозрение на Keylogger или троянскую DLL
E:\Program Files\Crypto Pro\CSP\bio.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:\Program Files\Crypto Pro\CSP\bio.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к.
существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 18 TCP портов и 17 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL»
Проверка завершена
8. Поиск потенциальных уязвимостей
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD — исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков — исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей — исправлено
Проверка завершена
Просканировано файлов: 310897, извлечено из архивов: 228555, найдено вредоносных программ 0, подозрений — 3
Сканирование завершено в 25.12.2008 12:03:21
Сканирование длилось 00:45:48
=========================================================
2. Dr.Web CureIt!- вообще не видит угрозы от advapi.$$$
3. NOD при глубокой проверке удаляет advapi.$$$, но после перезагрузки, как уже говорил, ВСЁ повторяется.
4. Ad-aware тоже ничего подозрительного не находит.
Кто знает как решить проблему, что нужно сделать, что посоветуете? До НГ надо с компом разобраться (
Заранее спасибо.