Установка второго жесткогго диска

[01pump]

Большое спасибо за помощь, проблема осталась буду бороться дальше

Однако.... Именно тот файлик ikowin32.exe всплывает? У вас случайно не со сьемных носителей типа флешки лезет? Может и из локальной сети.
Еще раз выполните стандартный скрипт №2 и пришлите virusinfo_syscheck.zip

 

[Trion]

Да, в автозагрузке продолжает появляться файл ikowin.exe.
Флешкой и другими съемными носителями ближаюшую неделю не пользовался и они не подключены.
Нашел в CCleaner запись в автозагрузке файла braviax, в hijackthis это записи не было.
Также появился новый симптом: каждые минут 10-15 все окна становятся неактивны, если запущено приложение, то оно просто сворачивается.
Прошелся утилиткой от Dr.Web еще раз, нашлось только несколько файлов в c:\windows\temp
Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324
пока файлы не трогал, как их лучше удалить? что делать с svhost.exe?
Скрипт №2 - http://exfile.ru/60325

 

[01pump]

Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324 пока файлы не трогал, как их лучше удалить? что делать с svhost.exe? Скрипт №2 - http://exfile.ru/60325

C:\Program Files\Trend Micro\HijackThis\backups\backup-20090918-161426-117-ikowin32.exe это бекап Hijackа
svchost пока не трогайте

Выполнить

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
BC_DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторить стандартный скрипт №2 выложить virusinfo_syscheck.zip

 

[Trion]

Готово
Скрипт №2 - http://exfile.ru/60338

 

[01pump]

Хммм... я или чего то недопонимаю..... или пора на пенсию ...
Вот эту версию avz http://narod.ru/disk/12203190000/avz.exe.html скачайте и повторите стандартный скрипт №2 (если возможно то выполнить это в Безопасном режиме)

Нашел в CCleaner запись в автозагрузке файла braviax

Если можно укажите точно что это за запись braviax (сделайте принтскрин)

 

[Trion]

Скрипт №2 - http://exfile.ru/60432 (в Безопасном режиме)
Из CCleaner запись удалил, когда увидел, до этого Dr.Web при проверке удалил файлик braviax.exe. Наверно просто запись на его автозапуск осталась, т.к. в поле файл было пусто. Сейчас ничего нету и не появляется.
Зато остались проблемы и добавляются новые что-то спамит в сеть на подключение к различным ip.
Поставил firewall, вроде как блочит.
Проверка Dr.Web в безопасном режиме ничего не обнаружила.
Поиски продолжаются

 

[01pump]

Trion,
Не понял.... вы уже успели еще одну гадость подхватить?
В Безопасном режиме выполните следующий скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки в обычном режиме через Панель управления-Установка и удаленеи программ деинсталлируйте Bonjour

Затем там же в обычном режиме выполните во второй версии avz (полиморфной) стандартный скрипт №2 (virusinfo_syscheck.zip)

ps еще мне кажеться что симантек в сговоре и мешает некоторым операциям avz

 

[Trion]

Скрипт №2 - http://exfile.ru/60455
Возможно и еще одна гадость или это вторая серия началась
Bonjour нету в списке программ. Насколько я знаю это служба Adobe, вероятнее всего установился вместе с photoshop. Папочку то я зачемто снес, наверно надо чистить реестр.
Можно ли както проследить откуда берется файл ikowin32.exe в автозапуске?

ps возможно скоро в сговор войдут и другие группировки, и тогда мафиозный клан одержит победу

 

[01pump]

Trion,
Бонжур он от Apple
В логе не увидел ikowin32.exe Оно еще присутствует?

Вот это выполнить

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFileMask('%Temp%', '*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
ClearIECache;
ExecuteSysClean;
RebootWindows(true);
end.

При выполнении комп чуток подвиснет минут на 5. Его кнопкой Reset на системнике перезагрузите.
После перезагрузки повторить стандарт скрипт №2 прислать virusinfo_syscheck.zip

 

[Trion]

Скрипт №2 - http://exfile.ru/60480
ikowin32.exe еще присутствует, просто он не после каждой перезагрузки появляется, либо и во все без перезагрузки во время работы. Последний раз я его удалил и убрал запись автозапуска в hijackthis, но кто-то его зовет обратно и он с радостью возвращается

 

[01pump]

Trion,
А если так: В avz: Сервис- Поиск данных в реестре - вводим в строке ikowin32.exe и нажимаем Пуск. Если найдутся ключи реестра с этой бякой то нажимаем "Сохранить протокол" и присылаем этот протокол

ЗЫ и удаляем эту папку C:\Program Files\Trend Micro\HijackThis\backups

 

[Trion]

Поиск ничего не дал, хотя во время проверки файл ikowin32.exe сидел в автозагрузке.
Вроде бы выявил причину появления этого файла, он появлялся после включения Opera.
Удалил Opera, сижу наблюдаю

 

[01pump]

Trion,
Кое что забыли поправить

Пуск-Выполнить- ввести команду regedit и запустить. Откроется редактор реестра. В нем найти следующие ветки:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS

В них в параметре ImagePath значение исправляем с %fystemRoot%\system32\svchost.exe -k netsvcs на %SystemRoot%\system32\svchost.exe -k netsvcs (то есть изменить букву f на S). Исправляем значение кликнув по ImagePath правой кнопкой мышки и выбрав "Изменить"

Если не удается изменить ImagePath то кликайте в реестре по BITS и wuauserv правой кнопкой мышки и в строке Разрешение в имени вашего пользователя добавляете разрешить полный доступ.

Перезагружаемся.

 

[Trion]

Сделал. Пока что с виду все нормально, ikowin32.exe не появляется, приложения не сворачиваются, сеть не грузит. Еще раз большое спасибо, надеюсь все здорово

 

[klownada]

тоже подозреваю вирус...
комп стал слишком долго грузится, до 40 сек. Все процедуры с реестром периодически провожу. Но толку никакого, Недавно нашел какую то папку, с цифрами, закрыл, а потом не смог с ней снова путь найти( вернее она пропала) короче подозрение на вирус у меня 99%
Что делать? AVZ скачать?

 

[set of letters]

klownada, AVZ скачивайте, только я удивлен, что Вы считаете, что до 40 сек если грузится Vista, то это много. Это нормально. И даже очень быстро. Сколько же Вы хотите? 5-10 сек?

http://pchelpforum.ru/f26/t6442/#post37758

 

[klownada]

40 сек это только до значка круглого. а потом до нормального адекватного реагирования системы еще 3-4 минуты

скачал, потом выложить тут ссылки?

 

[set of letters]

Так бы сразу и объяснили. Делайте как в инструкции по ссылке. Вообще это с автозагрузкой скорее всего проблемы. Кто там торчит?

 

[klownada]

http://webfile.ru/3935916 тут выложил
в автозагрузке почти нет ничего.

 

[01pump]

http://webfile.ru/3935916 тут выложил
в автозагрузке почти нет ничего.

Кроме этого ничего не увидел

Выполнить в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('esihdrv');
 DeleteFile('C:\Users\A6B5~1\AppData\Local\Temp\esihdrv.sys');
ExecuteSysClean;
RebootWindows(true);
end.