Неизвестные файлы

[igoryanich]

Неизвестные файлы

В системе по адресу C:\Document and Settings\All Users\Application Data появились 5 файлов (bywmmavt.zjv; dkxhhiwl.qjt; jexqjxsy.dne; QTSBandwidthCache; ypkpiykb.yyr). И вопрос такой: как узнать откуда они и нужны ли, может они вообще опасны.

 

[romul781]

igoryanich, вам 100% сюда - вири это http://pchelpforum.ru/f26/t6442/

 

[igoryanich]

Я немного не понял. Логи что-ли нужны.

 

[01pump]

Я немного не понял. Логи что-ли нужны.

Да, архив virusinfo_syscure.zip

 

[igoryanich]

Вот. http://slil.ru/28289630

 

[romul781]

igoryanich, сделайте еще лог хайджека, http://pchelpforum.ru/f26/t6442/

---------- Добавлено в 16:21 ---------- Предыдущее сообщение было написано в 15:57 ----------

igoryanich, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Program Files\uTIPu\TipCtrl.exe');
 DeleteFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\catchme.sys');
 DeleteFile('\Device\HarddiskVolume1\WINDOWS\system32\verclsid.exe');
 DeleteService('catchme');
 DeleteService('TipCtrl');     
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\acqhs71q.SYS');     
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

 

[igoryanich]

Вот. http://slil.ru/28290234

 

[romul781]

igoryanich, Скачать утилитку hijackthis http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download установите эту программу на диске (отметив I Accept в пользовательском соглашении). Выбрать в ней "Do a system scan and save a logfile" по окончании сканирования появится текстовый файл hijackthis.log Этот файл разместить на файлообменнике http://exfile.ru сюда ссылочку.

 

[igoryanich]

Hijackthis http://slil.ru/28291832
Там осталось окно открыто, его нужно просто закрыть или что то нажать?

 

[romul781]

igoryanich, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll (file missing)
O2 - BHO: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_P.dll (file missing)	
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)	
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (file missing)
O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_P.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Перезагрузите комп.
На этом все. удачи!

 

[igoryanich]

Перезагрузился. Эти файлы на том же месте, но они уже не так волнуют как новая появившаяся проблема. После экрана приветствия прямо после его исчезновения появляется звук похожий на то когда если наушники воткнуть не до конца а до половины то там примерно такое же жужжание. Если интересует сам звук могу видео записать как он появляется.

 

[romul781]

Эти файлы на том же месте

какие файлы конкретно.

3.В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

выполняли в точности как написано?

появляется звук

после чего это случилось?

 

[igoryanich]

Со звуком разобрался. Когда разобрался кстати NOD нашел (04.12.2009 12:27:59 Защита в режиме реального времени файл C:\System Volume Information\_restore{772DCC23-D399-4AFC-B02D-4A9DD7EB7091}\RP335\A0096445.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован IGOR\Игорь Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Игорь\Local Settings\temp\RarSFX1\g2222xp.exe.) но это к звуку не относится, со звуком было что то связанное с микрофоном. А файлы на месте абсолютно все 5. В hijack всё сделал правильно у меня ещё после этого в папке с hijack создалась папка backups с воссемью файлами типа (backup-20091204-110144-178).

 

[romul781]

кстати NOD нашел

хмм, похоже это уже новая зараза...
значит повторите стандартный скрипт №2 и сделайте лог хайджека.

 

[igoryanich]

avz http://slil.ru/28294022
hijack http://slil.ru/28294028

 

[romul781]

все чисто у Вас. и тех файлов нет
а Нод выполнил свою функцию защиты (это была уже новая зараза)

 

[igoryanich]

Нет они до сих пор там же. Только что смотрел.

 

[romul781]

но в логе этих файлов:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll (file missing)
O2 - BHO: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_P.dll (file missing)	
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

Нет!!!
где Вы их видите? сделайте принтскрин и укажите где они

 

[igoryanich]

А что такое принтскрин. Я знаю что такое скрин а что такое принт скрин я не знаю. Разъясните пожалуйста.

 

[romul781]

повторите то, что Вы сделали в посте #9 этой темы (снимок хайджека)