Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д.
Версия для печати

Конференция: Конференция iXBT.com (http://forum.ixbt.com/)
Форум: Программы: Интернет (http://forum.ixbt.com/?id=24)
URL: http://forum.ixbt.com/topic.cgi?id=24:38093

Время GMT +04. Даты в формате dd.mm.yyyy.

moderator-Bio, 09.03.2007 10:22
Программы для борьбы:

AdAware (http://www.lavasoftusa.com/) - есть версия freeware, интерфейс - английский.

HiJackThis (http://www.hijackthis.de/downloads/HJTInstall.exe) - freeware, интерфейс - английский,
Онлайн анализатор лога от программы HiJackThis - http://www.hijackthis.de/en

Microsoft Windows Defender (http://www.microsoft.com/athome/security/spyware/software/default.mspx) - freeware, интерфейс - английский/русский, нужная версия выбирается на странице закачки (http://www.microsoft.com/downloads/details.aspx?FamilyId=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D&displaylang=en&mg_id=10134) , требуется проверка подлинности копии Windows.

Spybot - Search & Destroy (http://www.safer-networking.org/en/spybotsd/index.html) - freeware, интерфейс - русский/английский/и т.д., список серверов для закачки (http://www.safer-networking.org/en/download/index.html) , руководство (http://www.safer-networking.org/ru/tutorial/index.html) [rus]

AVZ (http://www.z-oleg.com/secur/avz/) - антивирус, не требующий инсталляции, freeware, интерфейс - русский/английский [отд. версия для каждого на странице закачки]. Скачать программу (http://www.z-oleg.com/secur/avz/download.php) , почитать Документацию (http://www.z-oleg.com/secur/avz_doc/) [rus].

Если у Вас появилось подозрение, что в системе завёлся троян - скачайте HiJackThis, запустите его, сохраните лог и поместите его в свой постинг, обрамив тэгами [ code ][ /code ] (http://forum.ixbt.com/help/code.html) , при этом не забывая упомянуть, в чём именно выражается действие трояна.

Если у Вас есть дополнения/пожелания к этому краткому введению - пишите мне в почту.

1. Monah IRH, 10.03.2007 19:42
код:
Logfile of HijackThis v1.99.1
Scan saved at 18:30:32, on 10.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\nnCron\nncron.exe
D:\Monah IRH\Программы\NOD32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\nnCron\nnguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\DirectX Extensions\DXDebugService.exe
C:\WINDOWS\Explorer.EXE
D:\Monah IRH\Программы\DoTruffic\DUTraffic\DUTraffic\DUTraffic.exe
C:\WINDOWS\System32\umonit.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
D:\Monah IRH\Программы\NOD32\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Monah IRH\Программы\Tordex Wheel\tordexwheel.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
Y:\usr\local\mysql\bin\mysqld-max.exe
Y:\usr\local\apache\TrayApache.exe
Y:\usr\local\apache\Apache.exe
Y:\usr\local\apache\Apache.exe
D:\Monah IRH\Программы\Miranda\miranda32.exe
D:\Monah IRH\Программы\E-Mule\eMule\emule.exe
D:\Monah IRH\Программы\uTorrent\utorrent-1.5.1-beta-build-466.exe
C:\Program Files\dwar_client\DWarC2.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MONAHI~1\LOCALS~1\Temp\Rar$EX00.797\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mcafee.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 www.custom
O1 - Hosts: 127.0.0.2 custom
O1 - Hosts: 81.177.17.70 u1.eset.com
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Safonov DuTraffic] D:\Monah IRH\Программы\DoTruffic\DUTraffic\DUTraffic\DUTraffic.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Monah IRH\Программы\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wsbdsckk.dll",setvm
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Monah IRH\Программы\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Monah IRH\Программы\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-LQCDF.exe" /REG
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tordex Wheel] D:\Monah IRH\Программы\Tordex Wheel\tordexwheel.exe
O4 - HKCU\..\Run: [µTorrent] "D:\Monah IRH\Программы\uTorrent\utorrent-1.5.1-beta-build-466.exe"
O4 - HKCU\..\Run: [adsl] rasdial "ADSL" ptn ptn
O4 - Startup: Monah Standart StartUp.lnk = ?
O8 - Extra context menu item: &Full Source - C:\WINDOWS\web\FullSource.html
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\MONAHI~1\ПРОГРА~1\FLASHG~1.7\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:\MONAHI~1\ПРОГРА~1\FLASHG~1.7\jc_link.htm
O9 - Extra button: Acronis Pop-up Blocker - -{2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - -{2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Перевод - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Настройка параметров перевода - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\options.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\MONAHI~1\ПРОГРА~1\FLASHG~1.7\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\MONAHI~1\ПРОГРА~1\FLASHG~1.7\flashget.exe
O9 - Extra button: LanWhoIs - {F96A9D15-8486-414D-9ACE-312197E3364F} - C:\PROGRA~1\LANTRI~1\LanWhoIs\lanwhois.htm
O9 - Extra 'Tools' menuitem: LanWhoIs - {F96A9D15-8486-414D-9ACE-312197E3364F} - C:\PROGRA~1\LANTRI~1\LanWhoIs\lanwhois.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - D:\MONAHI~1\ПРОГРА~1\SMARTW~1\swmsiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - D:\MONAHI~1\ПРОГРА~1\SMARTW~1\swmsiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - D:\MONAHI~1\ПРОГРА~1\SMARTW~1\swmsiehlp.exe
O9 - Extra button: Перевод - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Перевести - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Настройка перевода - -{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator PLATINUM\PROMTIE4\options.htm (HKCU)
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\MONAHI~1\ПРОГРА~1\FLASHD~1\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\MONAHI~1\ПРОГРА~1\FLASHD~1\iebt.dll (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.mcafee.com
O16 - DPF: -{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: -{BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154853478015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154853790109
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D15DDDD-93F5-4885-AA26-3B6C1465BE25}: NameServer = 213.158.0.6 213.158.0.3
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: nnCron - nnSoft - C:\Program Files\nnCron\nncron.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Monah IRH\Программы\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Monah IRH\Программы\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Monah IRH\Программы\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe


В системе сидит по подозрениям AVZ (причем именно подозрениям. Он так и пишет) адавар Win32.Virtumonde.gf
Постоянно выскакивают диалоговые окно с предложением установить ErrorSafe (иногда по-русски иногда по английски) с кнопками оk и отмена.. что ни нажмешь, все равно выскакивает pop'up окно с предложением скачат эту прогу.
Так же часто прямо поверх открытой страницы выскакивает баннер WinAntiVirusPro 2007 (иногда 2006). В html коде страницы не прописывается, т.е. видимо сидит в надстройках эксплорера.
Нигде в инете не смог найти решения данной проблемы.. Вернее как решение все пишут просканить адаварами, но ни одна прога которую ставил (кроме AVZ) не нашла вообще этот адавар. Каждый раз после перезагрузки компа dll файлы, в которых AVZ находит вирь имеют разные названия вида dsafsdfsdfsd.dll (т.п.)

Хелп
Не хочется переустанавливать винду... 2 года вирусов избегал, а тут на тебе и никак не вылечить)

2. Биомеханик, 10.03.2007 22:02
Monah IRH
Так же часто прямо поверх открытой страницы выскакивает баннер WinAntiVirusPro 2007

WinXP SP1. Служба сообщений. Приходят сообщения из интернета (+) (http://forum.ixbt.com/topic.cgi?id=22:65787)

3. Monah IRH, 11.03.2007 09:58
цитата:
Биомеханик:
Monah IRH
Так же часто прямо поверх открытой страницы выскакивает баннер WinAntiVirusPro 2007

WinXP SP1. Служба сообщений. Приходят сообщения из интернета (+) (http://forum.ixbt.com/topic.cgi?id=22:65787)
Нет) Не сообщения аля netsend :)
Именно диалоговые окна (т.е. процесс iexplorer.exe запускается и выводит диалоговое окошко)

А что касается баннера, то баннер прямо поверх любой открытой страницы выскакивает, как будто он на абсолютном слое висит, только его в коде страницы нет и при скроле он остается сидеть в положении top 0 left 5;
Т.е. страница находится ПОД баннером (почему и решил, что скорее всего вирусняк встраивается в надстройки ie)
(скрин баннера прикреплен)

К сообщению приложены файлы: 1.gif, 750x600, 55Кb

4. Monah IRH, 11.03.2007 10:08
и вот ещё скрин диалоговых окон. За ночь 3ри штуки выскочило.

К сообщению приложены файлы: 1.gif, 750x600, 52Кb

6. Биомеханик, 11.03.2007 11:19
Баннер WinAntivirusPro 2006 побеждён: http://forums.techguy.org/security/452728-solved-win…ro2006-popup.html

Баннер ErrorSafe побеждён: http://www.remove-errorsafe.org/

7. Monah IRH, 11.03.2007 15:12
Ссылка http://forums.techguy.org/security/452728-solved-win…ro2006-popup.html не найдена. Поискал там по форуму через поиск подобные солюшены.. что-то ничего толкового нет.. попробуйте сдеалтьто, попробуйте то.. Пробуя можно получить нежелательные результаты))

Насчет ErrorSaf'a работаю над избавлением, надеюсь получится

8. Биомеханик, 11.03.2007 15:23
Monah IRH
Ссылка http://forums.techguy.org/security/452728-solved-win…ro2006-popup.html не найдена

Исправляюсь: ссылка (http://forums.techguy.org:80/security/452728-solved-winantiviruspro2006-popup.html) .

9. Ух Ты!, 13.03.2007 15:10
Хелп. Зомби я. Пол года уже не могу избавиться. Сидит гадость в системе. Ничем не обнаруживается. DrWeb постоянно обновляю, спидергвард и спидермаил активны, Касперским свежим тоже проверял по сети. С моего компа при подключании OE отправляет пару десятков писем по неизвестным адресам. Иногда почтовый сервер сбойнет - тогда их можно увидеть. Ну и по исходящему трафику вначале подключения видно. Гадость эта качает из инета своих друзей троянов. Время от времени в корнях дисков и в папке Spool появляются файлики setup.exe и autorun.inf - обновляющиеся версии trojan downloader-ов. Иногда совсем свежие и антивирусники их не знают. Загружаются с ads.opernuz.com. Windows XP SP2. Разными антишпиёнами проходил и вообще перепробовал с десяток доступных утилит. Ничего Не помогаить.

код:

Logfile of HijackThis v1.99.1
Scan saved at 13:45:48, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\AGRSMMSG.exe
D:\WINDOWS\TWAIN_32\B6U12KF\WATCH.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\TotalCmd\TOTALCMD.EXE
E:\PROGRAMs\Qimage\Qimage.exe
E:\!Work\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:3129;https=127.0.0.1:3129;socks5=127.0.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Programs\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - E:\Programs\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Programs\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [FinePrint Диспетчер v5] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [SpIDerMail] "D:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Punto Switcher] D:\Program Files\TxT\Punto Switcher\ps.exe
O4 - Startup: NumLock Calculator.lnk = E:\PROGRAMs\NumLock Calculator\NLCalc.exe
O4 - Global Startup: Watch.lnk = D:\WINDOWS\TWAIN_32\B6U12KF\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - D:\Program Files\GRAFiCA\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\Program Files\COMMUNICATIONS\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:\Program Files\COMMUNICATIONS\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Programs\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Programs\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Programs\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Programs\PRMT6\PRMTIE\options.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: CoolProxy - {96bd526e-2d24-4d9e-b693-0a6911621871} - E:\Programs\CoolProxy2\Morda.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programs\BlueSoleil\BTNtService.exe
O23 - Service: CoolProxy - Похилко Юрий. - E:\Programs\CoolProxy2\CoolProxyd.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Stillhpd - Корпорация Майкрософт - D:\WINDOWS\system32\smss.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

10. Юрий Z., 17.03.2007 02:06
я бы еще ProcessExplorer добавил
http://www.microsoft.com/technet/sysinternals/Proces…cessExplorer.mspx

11. Cax, 17.03.2007 02:35
Ух Ты!
вроде одна и та же папка, но пишется по-разному..может в этом дело?
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\system32\svchost.exe





У меня совсем песня. На одном из часто посещаемых форумов мое сообщение отмодерировалось вирусом, в результате к нему добавилось "http://www.radiodeejay.hr/forum/lang/inexed.htm здесь моя киска %)) " (не кликать ни в коем случае!!)

код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 2:23:15, on 17.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Network Associates\VirusScan\scan32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\оршл\Мои документы\HiJackThis_v2\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: C:\WINDOWS\system32\d30ssr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\d30ssr.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [\\IVANOV\EPSON Stylus C87 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABP.EXE /P32 "\\IVANOV\EPSON Stylus C87 Series" /O6 "USB001" /M "Stylus C87"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O16 - DPF: iBank2 Client 2013 - https://ibank.absolutbank.ru/client.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partner/rus/kavwebscan_unicode.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F55E5017-23C1-455B-8394-9EC7E496F17E}: NameServer = 212.188.4.10 195.34.32.116
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {F14E395C-27CB-4C0F-B85A-6061671B5EF5} - C:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {F8D9D07D-32E4-43C1-A847-5BC310BAA0DE} - C:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {66A3F247-C56C-4A10-BDB2-425C27EFCD3C} - C:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\d30ssr.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9632 bytes

12. Биомеханик, 17.03.2007 09:44
Cax
O10 - Unknown file in Winsock LSP: rsvp32_2.dll

Тг'оянчик: http://www.trendmicro.com/vinfo/virusencyclo/default…Name=TROJ_BZUB.CT

13. Alex1671, 18.03.2007 20:05
Ух Ты!
Странный путь для запуска...
O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w
сервис smss.exe - стартует из WINDOWS\system32\ - у Вас же из WINDOWS\system...

К этой теме 19.03.2007 17:31 moderator-Bio подклеил тему "Помогите избавиться от троя" (автор: fEUd0r)

15. fEUd0r, 19.03.2007 16:48
Дорогие друзья, у меня такая проблема: лазив по инету я где то подцепил заразу которая вставляет ссылки на троя в мои мессаги на форумах, отличительная черта спам вставляется только на форумах на движке vBulletin и все на других ничего подобного нет. Касперский ничего не нашел(базы новые), скачал AdAware тоже безрезультатно, куки вместе с кэшем удалял, даже браузер с IE на оперу сменил все равно лезет гадость такая.

Может кто сталкивался с похожей проблемой помогите а то админы форумов ругаются =) и баном грозят а что делать не знаю систему переставлять неохота может есть другой путь а ?

Забыл добавить ось XP SP2

А ФАК по IE у меня почему то не открывается

18. bopUK, 19.03.2007 17:14
1. Download http://www.spywareinfo.com/~merijn/programs.php#hijackthis
2. Если у Вас появилось подозрение, что в системе завёлся троян - скачайте HiJackThis, запустите его, сохраните лог и поместите его в свой постинг, обрамив тэгами [ code ][ /code ], при этом не забывая упомянуть, в чём именно выражается действие трояна.

19. Mixa1024, 19.03.2007 17:17
fEUd0r
Гляньте в WINDOWS\SYSTEM32, нет ли там файла с именем rsvp32_2.dll ?

20. Ух Ты!, 22.03.2007 06:10
Alex1671
Странный путь для запуска...
O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w


Перенес smss.exe из папки system - пока все тихо, никаких проявлений не стало.
Этот smss.exe уменьшенный по размеру по сравнению с тем, что из system32, но антивирусники вирус в нем не находят.

21. bopUK, 23.03.2007 08:16
Ух Ты!
его можно отправить в антивирусную компанию. Типа касперского или веба. Пусть посмотрят.

22. Ух Ты!, 25.03.2007 10:45
bopUK
ОК. Отправил.

23. Ух Ты!, 29.03.2007 03:23
Снова появились в корне системного раздела Setup.exe и autorun.inf.
smss.exe из System удален. Значит не в нем дело.

24. bopUK, 29.03.2007 08:27
Ух Ты!
Вот может твой случай.
http://fido-arhiv.narod.ru/ru.computerra/018/00018528.HTM

Добавление от 29.03.2007 08:39:

Ух Ты!
и вот еще
http://www.viruslist.com/en/viruses/encyclopedia?virusid=52553
http://www.viruslist.com/en/viruses/encyclopedia?virusid=48907

Может всё же дело в
D:\WINDOWS\AGRSMMSG.exe
?

25. Ух Ты!, 30.03.2007 04:35
bopUK
По первой ссылке похоже, но не то. Следующие ссылки совсем не то. Setup.exe файлы - это Trojan.DownLoader-ы. Друзья моего трояна или червя. Все самые новые. Последний файл только сегодняшним обновлением DrWeb увидел как вирус Trojan.DownLoader 19799.

До удаления smss.exe из System DrWeb частенько ругался на файлы в Temp и в кэше прокси и указывал адрес сайта, с которого они скачаны. После удаления smss.exe такого нету. Все относительно тихо.

D:\WINDOWS\AGRSMMSG.exe - это драйвер AMR модема. Отключу его, все равно модем использую внешний. Посмотрим...

26. Горыныч., 03.04.2007 13:27
Постоянно выскакивает окошко сеанса связи по модему. Т.е. работаешь, работаешь и выскакивает стандартное виндозное приглашение запустить дозвон по модему. У меня уже были проблемы такого рода и помню что никак не мог их устранить. Run-ы пустые, в процессах ничего лишнего не висит, BHO и прочей ерунда тоже нет. И все равно периодически выскакивает это окошко. Где искать? Хотя бы примерно.

И еще выскивает окошко с рекламой какого то антивира. Время от времени но регулярно.

27. Mixa1024, 03.04.2007 18:13
Горыныч.
И еще выскивает окошко с рекламой какого то антивира. Время от времени но регулярно.
Заголовок окна -- "Служба Сообщений"

28. Горыныч., 04.04.2007 11:05
Mixa1024

Да, служба сообщений. Но не хотелось бы ее обрубать. ведь где то прописаны эти спамовские сообщения. Причем каждый раз сообщения разные и все с рекламой какой то ерунды.

29. AckCmd, 04.04.2007 13:01
Горыныч.
Да, служба сообщений. Но не хотелось бы ее обрубать. ведь где то прописаны эти спамовские сообщения.
По сети прилетают. Файрвол рулит.

30. ArcticCat, 04.04.2007 20:13
Отцы, подскажите как избавиться от некой гадости, которая при попытке открыть любую ссылку именно в IE6, открывает ещё одно окно IE, в котором пусто, мало того всё начинает дико тормозить, при этом ссылка в первом окне так и не открывается... В принципе, если подождать, то можно-таки закрыть эти окна. В Диспетчере задач появляются сразу два процесса IEXPLORER именно при попытке открыть ссылку. Кстати, только что запущенный IE исправно открывает только домашнюю страницу. Даже если нажать на кнопку "домашняя страница", то опять вылезает второе окно, и ничего не открывается. При этом Mozilla FireFox 2.0.0.3 работает совершенно нормально.
Не удаётся даже прогнать Windows Update / Microsoft Update именно по этой причине, т.к. эта штука только в IE может работать. Но критические обновления при этом закачиваются и устанавливаются успешно.
Система Win XP Pro Corporate SP2 Rus. Она была заражена (не помню каким вирусом), но вылечена была Касперским 6-ой версии (билд 411), естественно с обновлённой на тот момент базой. Это было несколько месяцев назад. Но вот недавно выяснилось, что с IE такая вот неприятная штука приключилась.
Дело в том, что этот комп (ноут) срочно отвозить уже нужно, может кто может опытным взглядом увидеть в чём тут проблема?
P.S. Прогонял проверку также и прогой Lavasoft Ad-Aware 1.06 Pro (с обнорвлённой базой), но она ничего не находит кроме каких-то MRU, traking cookies и т.п., удаление которых проблемы не решает.

код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:06:45, on 04.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\windows\system32\pctspk.exe
C:\windows\Explorer.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\windows\system32\atiptaxx.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Program Files\Far\Far.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\taskmgr.exe
C:\!\HijackThis 2.0 beta\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120578584246
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123680019006
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C00C49A-6F20-4A8F-8BE9-EB9FFD22CCAE}: NameServer = 81.26.145.66,217.150.50.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\system32\ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe
O23 - Service: FAR Background Copy Service (FARBCopy) - Unknown owner - C:\Program Files\Far\PlugIns\BackGroundCopy\bin\bcsvc.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7195 bytes

31. Mixa1024, 04.04.2007 20:25
ArcticCat
два процесса IEXPLORER
Именно так называется -- IEXPLORER, а не IEXPLORE ?

32. ArcticCat, 04.04.2007 20:31
Mixa1024
Ой, пардон, оба процесса называются "IEXPLORE.EXE"...
Также извиняюсь, версию IE указал не верно - она, естественно, 7-ая, т.к. все критические обновления закачались успешно, а IE7 - в разделе критические. Версия 7.0.5730.11
Причём тот второй IEXPLORE.EXE, который, зараза, самовольно открывается при попытке открыть любую ссылку в первом,- примерно 14-15 мегов в памяти занимает,- в два раза меньше, чем нормальный первый IEXPLORE.EXE, в котором и пытаюсь ссылку открыть. Пробовал забить в домашнюю страницу http://windowsupdate.microsoft.com, но не появилось под адресной строкой ничего, аплет не запустился.

33. Горыныч., 26.04.2007 10:08
Никак не могу избавиться от одного вируса.

Причем вирусы прут именно когда я нахожусь на конфе ixbt.

Т.е. достаточно посидеть какое то время на форумах этой конфы (не посещая другие странички вообще!), как загружается вирус. Среди процессов появляется spoolvc.exe, который блокирует нормальную работу по локальной сети. Удалить его просто так нельзя, он самовосстанавливается в памяти. Короче я его так удалить и не смог. Помогла только контрольная точка восстановления. Но вирус приходит регулярно.

AVZ в разделе "Открытые порты TCP/UDP" показывает подозрительное включение.

А именно:

Открытый порт : 5000
Приложение : %SYSTEMROOT%\svchost.exe
Описание : Сервис UPNP, Bubbel, BackDoorSetup, Sockets de Troje, Socket23
Категория : Система, Trojan, Backdoor

Короче как видите тут завязан системный svchost.exe. Прогоны касперского с самыми последними базами ничего не находят и файл этот не лечат. Как мне удалить эту прослушку открытого порта 5000?

Ничего придумать не могу.

34. Биомеханик, 26.04.2007 10:21
spoolvc.exe (http://www.bleepingcomputer.com/startups/spoolvc.exe-17659.html)

К этой теме 28.04.2007 14:19 moderator-Bio подклеил тему "как отучить IE6 от этого бага без переустановки ОС?" (автор: solaris324)

36. solaris324, 28.04.2007 13:43
При запуске IE6 с пустой страницы, и вводе в строке адреса имени любого сайта, этот самый IE6 лезет на какой-то непонятный ip: 88.212.221.3 на 80-й порт (http). Установленный файерволл ZoneAlarm version:7.0.337.000 сечёт это дело, и если я разрешаю допуск, то браузер спокойно продолжает серфинг по тем страницам, которые набираются в строке адреса; а если доступ запрещается, то Эсплорер работает только в автономном режиме…
Более того, мой антивирус однозначно предупреждает об опасности, исходящей с этого самого IP: NOD32 пару раз мне сообщал: «http://www.d3m0n.biz/snatch/files/d.php?id=ACC9E91601C76….вероятно неизвестный NewHeur_PE вирус», а по информации из dns: Name:www.d3m0n.biz…IP:88.212.221.3
Domain: d3m0n.biz... и т.д.
Добавлю, что полное сканирование машины антивирусом не помогает.
Переустановка IE6 не помогает.
Opera работает нормально.

Вопрос: как отучить IE6 от этого бага без переустановки ОС? Какие ещё действия возможны с нашей стороны для нейтрализации подобной угрозы (как теперь, так и впоследствии)?

37. Против всех, 28.04.2007 19:11
Подскажите, что делать с этим?
код:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:26:42, on 28.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

...
O2 - BHO: (no name) - {fe7773a5-2a17-48be-bf22-3d8398d3451e} - C:\WINXP\system32\actnap.dll
O20 - Winlogon Notify: actnap - C:\WINXP\SYSTEM32\actnap.dll
...


Файл не удаляется (в том числе в Safe Mode), т.к. "занят другим приложением". Антивирусы говорят, что все ок.
Периодически открываются pop-up окна IE с рекламой

Добавление от 28.04.2007 19:16:

Все записи в реестре с упоминанием этого файла после перезагрузки восстанавливаются.

38. +++, 02.05.2007 15:06
Проблема:

В IE 6 (xpsp2rus) стала возникать ошибка, закрывающая программу с сообщением:

Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 02.05.2007
Время: 13:55:50
Пользователь: Н/Д
Компьютер: 1-714209475CA74
Описание:
Ошибка приложения iexplore.exe, версия 6.0.2900.2180, модуль wininet.dll, версия 6.0.2900.2861, адрес 0x0001674c.

Иногда вместо сообщения об ошибке IE просто закрывался.

Возникает ошибка при попытке открыть некоторые сайты (ранее беспроблемные). Кроме того, при этом обнуляется история посещения узлов IE, остается лишь текущий адрес в "Сегодня".
Самое дурное, что при откатах компьютера на ранние (и еще более рание) даты, стоило соединиться с интернетом, как все повторялось.

Стоит Outpost и MacAfee антивирус. Сканирование не дало результата.

Есть идеи?

спасибо.

39. Биомеханик, 03.05.2007 10:38
+++
Есть идеи?

http://forum.ixbt.com/post.cgi?id=annc:24:38093

К этой теме 17.05.2007 09:27 moderator-Bio подклеил тему "Что-то накачивает из интернета по 30-40Gb в день, иногда. Как найти?" (автор: lee311)

41. lee311, 16.05.2007 18:38
Программа DUMeter
прказывает эпизодическую загрузку (один день из 5-7) очень большого траффика. Комп в сетке, нормальный трафик - 200-300 метров в день. Возможно траффик внутренний, т.к. иначе админ бы наверно прибежал. Но все равно хотелось бы понять что это такое и отключить.

Сегодня набдал в дейсвтие этого ... вируса? 1,2метра в секунду его скорость, что он делает непонятно. Выдергиваешь шнур, вставляешь - тут же продолжает. Подождал подольше, включил - вроде отстал, но потом опять. Сейчас отстал. Комп Вин-ХР СП2, аутоапдейт включен, антивирус Касперский всегда включен, фаявола нет...

код:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:29, on 16.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Crypto Pro\CSP\cprmcsp.exe
C:\Program Files\Crypto Pro\CSP\cpinit.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell\QuickSet\Quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SYSTEM32\CALC.EXE
C:\ROOT\DISTRIB\000 - To test and crack\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGet Software\ReGet Deluxe 5.0\IEBar.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS
O4 - HKLM\..\Run: [KAVWks50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kav.exe" /minimize /chkas
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with Lingvo - res://C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0013C359-980C-4916-B47A-B313DDF56755} (Alfa-Direct Signer Control) - https://www.alfadirect.ru/ADSign/ADCrypto.cab
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://www.viewpoint.co.kr/vet_install/MetaStream3.cab?url=http://www.samsung.ru/3dmodel/k5/page_k5.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{C25866FF-39BE-4D87-90C3-41A3BE3177E7}: NameServer = 193.48.167.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Служба инициализации Крипто-Про CSP (cpinit) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cpinit.exe
O23 - Service: Служба хранения и использования ключей Крипто-Про CSP (cprmcsp) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cprmcsp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

42. -=GunFighter=-, 16.05.2007 18:46
lee311
иначе админ бы наверно прибежал.
Что мешает к нему обратится?!

43. lee311, 16.05.2007 18:49
код:

DU Meter Daily Report

Period (Date) Download Upload Both Directions Dial-Up Time


01.01.2007 5,09 MB 4,50 MB 9,59 MB N/A
02.01.2007 154,83 MB 1,51 GB 1,66 GB N/A
03.01.2007 4,76 MB 1,09 MB 5,85 MB N/A
04.01.2007 22,80 MB 9,28 MB 32,07 MB N/A
05.01.2007 70,91 MB 7,53 MB 78,44 MB N/A
06.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
07.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
08.01.2007 76,83 MB 24,98 MB 101,81 MB N/A
09.01.2007 47,82 MB 5,91 MB 53,73 MB N/A
10.01.2007 66,05 MB 12,12 MB 78,17 MB N/A
11.01.2007 38,23 MB 4,11 MB 42,34 MB N/A
12.01.2007 49,18 MB 15,08 MB 64,26 MB N/A
13.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
14.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
15.01.2007 54,02 MB 5,35 MB 59,36 MB N/A
16.01.2007 46,42 MB 5,35 MB 51,77 MB N/A
17.01.2007 68,83 MB 5,90 MB 74,73 MB N/A
18.01.2007 99,68 MB 16,26 MB 115,94 MB N/A
19.01.2007 11,05 MB 2,08 MB 13,14 MB N/A
20.01.2007 6,66 MB 999,7 KB 7,63 MB N/A
21.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
22.01.2007 19,32 MB 1,84 MB 21,16 MB N/A
23.01.2007 41,67 MB 16,22 MB 57,90 MB N/A
24.01.2007 8,06 MB 891,4 KB 8,93 MB N/A
25.01.2007 39,56 MB 14,61 MB 54,16 MB N/A
26.01.2007 28,98 MB 20,29 MB 49,27 MB N/A
27.01.2007 20,93 MB 2,05 MB 22,98 MB N/A
28.01.2007 30,74 MB 3,44 MB 34,18 MB N/A
29.01.2007 0,0 KB 0,0 KB 0,0 KB N/A
31.01.2007 54,86 MB 6,52 MB 61,39 MB N/A
01.02.2007 4,12 MB 456,9 KB 4,57 MB N/A
02.02.2007 87,69 MB 15,72 MB 103,41 MB N/A
03.02.2007 0,0 KB 0,0 KB 0,0 KB N/A
04.02.2007 10,02 MB 1,96 MB 11,98 MB N/A
05.02.2007 55,63 MB 5,53 MB 61,17 MB N/A
06.02.2007 72,07 MB 10,71 MB 82,78 MB N/A
07.02.2007 54,09 MB 5,50 MB 59,59 MB N/A
08.02.2007 103,59 MB 25,71 MB 129,30 MB N/A
09.02.2007 59,65 MB 17,49 MB 77,14 MB N/A
10.02.2007 13,18 MB 66,08 MB 79,26 MB N/A
11.02.2007 0,0 KB 0,0 KB 0,0 KB N/A
12.02.2007 103,42 MB 9,43 MB 112,85 MB N/A
13.02.2007 61,21 MB 4,91 MB 66,12 MB N/A
14.02.2007 13,94 GB 9,17 MB 13,95 GB N/A
15.02.2007 112,49 MB 15,11 MB 127,60 MB N/A
16.02.2007 169,76 MB 9,82 MB 179,58 MB N/A
17.02.2007 0,0 KB 0,0 KB 0,0 KB N/A
18.02.2007 32,40 MB 16,80 MB 49,19 MB N/A
19.02.2007 84,96 MB 21,26 MB 106,22 MB N/A
20.02.2007 124,77 MB 13,51 MB 138,28 MB N/A
21.02.2007 96,23 MB 22,79 MB 119,02 MB N/A
22.02.2007 114,46 MB 26,46 MB 140,92 MB N/A
23.02.2007 131,00 MB 19,67 MB 150,67 MB N/A
24.02.2007 0,0 KB 0,0 KB 0,0 KB N/A
25.02.2007 74,19 MB 11,89 MB 86,07 MB N/A
26.02.2007 47,98 MB 5,42 MB 53,40 MB N/A
27.02.2007 122,90 MB 24,18 MB 147,08 MB N/A
28.02.2007 50,44 MB 6,31 MB 56,75 MB N/A
01.03.2007 89,34 MB 19,28 MB 108,62 MB N/A
02.03.2007 126,93 MB 22,95 MB 149,88 MB N/A
03.03.2007 0,0 KB 0,0 KB 0,0 KB N/A
04.03.2007 51,59 MB 9,69 MB 61,28 MB N/A
05.03.2007 140,58 MB 24,61 MB 165,18 MB N/A
06.03.2007 56,09 MB 6,61 MB 62,70 MB N/A
07.03.2007 98,35 MB 8,14 MB 106,49 MB N/A
08.03.2007 35,64 MB 17,03 MB 52,67 MB N/A
09.03.2007 138,34 MB 9,47 MB 147,81 MB N/A
10.03.2007 132,07 MB 6,62 MB 138,70 MB N/A
11.03.2007 108,13 MB 6,76 MB 114,89 MB N/A
12.03.2007 89,44 MB 32,55 MB 121,99 MB N/A
13.03.2007 71,60 MB 7,98 MB 79,57 MB N/A
14.03.2007 146,66 MB 36,60 MB 183,26 MB N/A
15.03.2007 101,02 MB 9,38 MB 110,40 MB N/A
16.03.2007 93,99 MB 22,39 MB 116,38 MB N/A
17.03.2007 0,0 KB 0,0 KB 0,0 KB N/A
18.03.2007 112,26 MB 8,43 MB 120,69 MB N/A
19.03.2007 181,78 MB 57,51 MB 239,28 MB N/A
20.03.2007 128,10 MB 43,27 MB 171,37 MB N/A
21.03.2007 84,42 MB 18,31 MB 102,73 MB N/A
22.03.2007 89,16 MB 39,82 MB 128,98 MB N/A
23.03.2007 0,0 KB 0,0 KB 0,0 KB N/A
24.03.2007 155,24 MB 45,37 MB 200,61 MB N/A
25.03.2007 0,0 KB 0,0 KB 0,0 KB N/A
26.03.2007 96,43 MB 37,47 MB 133,89 MB N/A
27.03.2007 93,26 MB 25,47 MB 118,73 MB N/A
28.03.2007 63,97 MB 71,31 MB 135,27 MB N/A
29.03.2007 18,96 MB 3,12 MB 22,08 MB N/A
30.03.2007 60,92 MB 31,12 MB 92,04 MB N/A
31.03.2007 0,0 KB 0,0 KB 0,0 KB N/A
01.04.2007 116,94 MB 56,86 MB 173,80 MB N/A
02.04.2007 55,79 MB 33,60 MB 89,40 MB N/A
03.04.2007 88,16 MB 35,82 MB 123,98 MB N/A
04.04.2007 73,25 MB 13,51 MB 86,76 MB N/A
05.04.2007 45,10 MB 8,30 MB 53,41 MB N/A
06.04.2007 125,64 MB 71,79 MB 197,43 MB N/A
07.04.2007 95,64 MB 73,32 MB 168,96 MB N/A
08.04.2007 63,52 MB 4,00 MB 67,53 MB N/A
09.04.2007 60,49 MB 31,49 MB 91,98 MB N/A
10.04.2007 63,47 MB 20,24 MB 83,72 MB N/A
11.04.2007 107,85 MB 6,85 MB 114,70 MB N/A
12.04.2007 69,68 MB 17,98 MB 87,66 MB N/A
13.04.2007 120,49 MB 7,25 MB 127,74 MB N/A
14.04.2007 0,1 KB 0,0 KB 0,1 KB N/A
15.04.2007 142,58 MB 26,99 MB 169,57 MB N/A
[b]16.04.2007 8,94 GB 24,95 MB 8,96 GB N/A [/b]
[b]17.04.2007 9,84 GB 35,19 MB 9,87 GB N/A [/b]
18.04.2007 68,90 MB 5,09 MB 73,99 MB N/A
[b]19.04.2007 23,96 GB 23,33 MB 23,99 GB N/A [/b]
[b]20.04.2007 12,64 GB 5,32 MB 12,65 GB N/A [/b]
21.04.2007 54,66 MB 22,05 MB 76,70 MB N/A
22.04.2007 91,11 MB 10,87 MB 101,98 MB N/A
23.04.2007 134,87 MB 17,49 MB 152,36 MB N/A
24.04.2007 66,90 MB 5,38 MB 72,28 MB N/A
25.04.2007 36,39 MB 4,98 MB 41,37 MB N/A
26.04.2007 252,41 MB 35,32 MB 287,72 MB N/A
27.04.2007 100,95 MB 10,63 MB 111,59 MB N/A
28.04.2007 45,07 MB 15,44 MB 60,51 MB N/A
29.04.2007 86,65 MB 28,06 MB 114,71 MB N/A
30.04.2007 68,72 MB 4,25 MB 72,97 MB N/A
01.05.2007 97,92 MB 5,76 MB 103,68 MB N/A
02.05.2007 111,49 MB 16,44 MB 127,94 MB N/A
03.05.2007 272,80 MB 10,03 MB 282,83 MB N/A
[b]04.05.2007 16,01 GB 31,17 MB 16,04 GB N/A [/b]
05.05.2007 0,0 KB 0,0 KB 0,0 KB N/A
06.05.2007 85,41 MB 35,56 MB 120,97 MB N/A
07.05.2007 175,10 MB 8,53 MB 183,63 MB N/A
08.05.2007 96,06 MB 31,13 MB 127,19 MB N/A
09.05.2007 299,99 MB 60,33 MB 360,32 MB N/A
10.05.2007 335,73 MB 16,16 MB 351,89 MB N/A
[b]11.05.2007 3,43 GB 26,53 MB 3,45 GB N/A [/b]
12.05.2007 0,9 KB 0,0 KB 0,9 KB N/A
13.05.2007 1,74 MB 409,3 KB 2,14 MB N/A
14.05.2007 145,11 MB 8,99 MB 154,10 MB N/A
15.05.2007 231,22 MB 40,11 MB 271,33 MB N/A
[b]16.05.2007 1,21 GB 6,53 MB 1,22 GB N/A [/b]

Добавление от 16.05.2007 18:49:

-=GunFighter=-
его счас нет

44. MGren, 16.05.2007 22:25
lee311
А хоть на время поставить простенький фаер, чтобы определить кто обращается в инет, возможности нет?

45. lee311, 18.05.2007 20:59
MGren
не могли бы вы дать ссылку на простенький фаер?

Пока больше этих закачек не было.

46. Masterpiecer, 19.05.2007 01:19
Помогите!!! Вирус жрёт трафик неимоверно!!!
Прошу сильно не пинать - в этих делах я чайник.

Вчера 17 Мая был пойман странный вирус.
Вначале завис интернет-броузер firefox, а потом вовсе вылетел и больше не запускался.
Я кинулся запускать Касперского, но и он оказался заблокированным.
Затем, с нехорошим предчувствием я посмотрел диагностику трафика ADSL модема. И точно, не смотря на все выключенные и вылетевшие броузеры и программы, трафик жрётся со страшной силой, при чем, в обе стороны! В минуту набегает пол мб входящего и пол мб исходящего. А у меня 1мб стоит - 1р. 80коп.! Кроме того, даже во время отключения соединения, байты бегут - пока это пишу - 16 000 байт натекло...

(До вчерашнего же дня, до поимки вируса, при подключенной сети и чтении уже загруженной страницы, например - ixbt, натекали какие-то жалкие байты. После отключения от интернета, натекало ещё около 1000 байтов, а потом и вовсе прекращалось.)

Далее. Жму msconfig/автозагрузка. И обнаруживаю там какую-то бяку "6066" EXE. Отключаю её. Нахожу по имени и выкусываю из Windows/Prefetch.
Комп вроде перстал виснуть (XP, Pack2). Но трафик по-прежнему убывает со страшной скоростью.
Закачал новейший Касперский 6.0. Прошерстил ВЕСЬ комп. Касперский обнаружил ещё 4 вируса (7 файлов) - "трояны" и "шпионы". Выгрыз.
Переустановил броузер firefox. Броузер работает.

Но трафик всё равно продолжает сам по себе убывать с невероятной скоростью! Вот сейчас подключусь к интернету на минутку, отправлю эту тему/сообщение и снова быстренько отключусь.

Помогите, плиз!!! Подскажите куда посмотреть, чего нажать!

P.S.
Скачал AVZ - что-то выгрыз, но не помогло. Скачал HiJack - ещё выгрыз, не помогает. Скачал SpyBot - пробую. Но чувствую вряд ли поможет.

Добавление от 19.05.2007 02:19:

AVZ после более жёсткой настройки. Якобы "опасно" что-то. И что с этим делать то?

[ code ]
Протокол антивирусной утилиты AVZ версии 4.25
Сканирование запущено в 19.05.2007 2:08:55
Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26
Загружены микропрограммы эвристики: 369
Загружены цифровые подписи системных файлов: 58493
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 8190AB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->8190AB58(297))
Функция NtCreateFile (25) - модификация машинного кода. Метод JmpTo. jmp F9D52D9C
Функция NtCreateKey (29) - модификация машинного кода. Метод JmpTo. jmp F9D53A8C
Функция NtEnumerateKey (47) перехвачена (8056F76A->F608D944), перехватчик C:\WINDOWS\system32\windev-4e18-726b.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F608DACA), перехватчик C:\WINDOWS\system32\windev-4e18-726b.sys
Функция NtOpenFile (74) - модификация машинного кода. Метод JmpTo. jmp F9D52CE4
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F9D53B20
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F608D5EE), перехватчик C:\WINDOWS\system32\windev-4e18-726b.sys
Функция NtTerminateProcess (101) - модификация машинного кода. Метод JmpTo. jmp F9D5470C
Проверено функций: 284, перехвачено: 3, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F65B316D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F65B2FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9D51000, размер=32768, имя = "\??\C:\WINDOWS\system32\poof"
Поиск маскировки процессов и драйверов завершен
2. Проверка памяти
Количество найденных процессов: 20
Количество загруженных модулей: 290
Проверка памяти завершена
3. Сканирование дисков

[ /code ]

47. Юрий Z., 19.05.2007 15:07
Против всех
можно удалить файл из recovery console

Добавление от 19.05.2007 15:14:

Masterpiecer
! C:\WINDOWS\system32\windev-4e18-726b.sys

48. MGren, 19.05.2007 15:21
lee311
http://www.matousec.com/projects/windows-personal-fi…tests-results.php
http://www.firewallleaktester.com/tests.php
Это тесты фаерволов. Выбирайте любой.

49. Masterpiecer, 19.05.2007 17:16
Юрий Z.
! C:\WINDOWS\system32\windev-4e18-726b.sys

А его нет в system32! Я и отображение системных файлов включал. И поиск этот файл нигде не обнаружил!
Перезапустил и обновил AVZ - да, снова пишет: перехватчик C:\WINDOWS\system32\windev-4e18-726b.sys
Как это выкусить????????????????????

SpyBot нашёл ещё кучу гадостей и стёр их. Но трафик жрётся. И впечатление, что ещё быстрее. В минуту уже полтора МБ уходит!

ХЭЛП!!!

50. NmKaDyM, 19.05.2007 17:23
Я сам сисадмин и повидал массу вирусов и троянов! Как правило, для чистки от троянов хватает HiJackThis+DeleteDoctor или чистки от вирусов AVPKaspersky но вот ща после того как на моём компьютере посидели друзья , какой-то поганец лезет через svchost:

svchost.exe : myip : analhardvideo.com : все мыслимые порты и для проверки эхо запрос (см.файл)

лезет со скоростью 20-30 зпросов в секунду. в outposte я его блокировал, но всё же раздражает!!! особенно разражает тем, что не могу найти!!! Пробовал проги: Outpost-AntiSpyware; WebrootSpySweeper_v5.3.1.2344; Kaspersky6.0.2.621ru; AVZ4; Panda.Antivirus.2007; Ad-Ware SE 1.6; SpyBot1.4; и т.д. все были обновлены! - некоторые на чтото ругались, но в итоге после каждой перезагрузке опять svchost лез на тот гадкий сайт.

при этом в памяти виден процесс svchost.exe, который жрёт ресурсы - его можно просто выгрузить при помощи диспетчера задач, после чего все попытки коннекта прекращаются... до перезагрузки компа...

код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:35:16, on 19.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
D:\_soft\Soft\AntiTrojan\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: MetaProducts Inquiry Helper - {001165C1-A640-11D7-9FD9-0080481ADA61} - C:\PROGRA~1\METAPR~1\inquiry.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing) // уже удалил!
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O3 - Toolbar: &Inquiry Bar - {B8238B20-FF2C-11D7-9FD9-0080481ADA61} - C:\PROGRA~1\METAPR~1\inquiry.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} /NO_DEFPS
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: dtNotes.lnk = C:\Program Files\dtNotes 4\dtnotes.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Enterprise\Add_AllO.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Сохранить &выделенное с MetaProducts Inquiry - res://C:\PROGRA~1\METAPR~1\inquiry.dll/savesel.htm
O8 - Extra context menu item: Сохранить &картинку с MetaProducts Inquiry - res://C:\PROGRA~1\METAPR~1\inquiry.dll/saveimg.htm
O8 - Extra context menu item: Сохранить &страницу с MetaProducts Inquiry - res://C:\PROGRA~1\METAPR~1\inquiry.dll/savepage.htm
O8 - Extra context menu item: Сохранить &фрейм с MetaProducts Inquiry - res://C:\PROGRA~1\METAPR~1\inquiry.dll/saveframe.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: MP Inquiry - {49B46060-8AC4-11D7-9FD9-0080481ADA61} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra button: Save Flash files - {55AD98FF-3CB9-4718-B28B-E18F932D7FAB} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra button: Save Page to Disk - {7FDB9AEE-D04A-440C-8D1D-52B807115C59} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra button: Save Images - {8F36E80B-AD7C-434E-AB92-DA3938EA01E5} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Save with MP Inquiry - {B98EEB00-A0F2-11D7-9FD9-0080481ADA61} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra 'Tools' menuitem: &Save with MetaProducts Inquiry - {B98EEB00-A0F2-11D7-9FD9-0080481ADA61} - C:\PROGRA~1\METAPR~1\inquiry.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0076398B-3221-4F43-A0A6-2506705D73BF} (ListX Class) - http://newsite/Bin/reportx.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {78DBE35A-E048-4313-BAAD-1014DA9BE109} (XMLView5 Class) - http://newsite/Bin/treex5.cab
O16 - DPF: {88C382EC-5FC1-41ED-AE2D-DB6E36E5A2EB} (ColorTextX Class) - http://newsite/Bin/textx.cab
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Съемные ЗУ NtmsSvcWmi (NtmsSvcWmi) - Unknown owner - C:\WINDOWS\system32\admwproxd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10039 bytes

Что это за какашка и как избавиться???

К сообщению приложены файлы: 1.png, 1013x843, 44Кb

51. Юрий Z., 19.05.2007 19:04
ProcessExplorer
в колонке Command Line будет виден параметр запуска svchost

52. NmKaDyM, 19.05.2007 20:31
Юрий Z.
Фуф, спасибо, я уже и забыл про эту утилитку!
строка вот такая:

svchost.exe "C:\WINDOWS\system32\admwproxd.exe"

файл был скрытым, системным, имеет все подписи, в реестре идёт как [NtmsSvcWmi] тоесть похож на настоящий-оригинальный от MS ! но именно после убийства этого процесса прекратились попытки вылезти в сеть... непонял я правда откуда он запускался??? (в реестре и hijackthis чисто)
файл отправлен в лабораторию касперского, spybot и др.

53. Masterpiecer, 19.05.2007 21:50
Ну а мне кто-нибудь поможет?

54. Юрий Z., 19.05.2007 23:36
Masterpiecer
правильно что не виден
- NtQueryDirectoryFile зря что ли перехвачен...

в Recovery Console должен быть виден

55. NmKaDyM, 20.05.2007 14:39
Masterpiecer, Юрий Z.
Я лично не встречал вирусы, у которых получалось бы скрыть себя при наличии на диске! Хм.

Может быть всё проще? Файл существует пока не загрузится в память???

Тоесть есть строка запуска в память, но файл сам себя удаляет сразу после загрузки, в конце работы windows вирус заново записывается на диск и прописывает строку запуска, если работа была завершена некорректно и файл не записался - существует вторая неприметная строка инициализации файла-восстановщика основного вируса.

Такой набор вирусов я встречал. Проверить это легко - пржде всего он должен быть впамяти, если есть - проверить что трафик жрётся, зайти в нечто вроде FAR/WinNavigator проверить что нет искомого файла... и быстро нажать reset. При следующей загрузке выбрать режим "безопасный с сетевыми драйверами" и посмотреть будет ли жраться траффик? Если не будет, то перезагрузитесь в таком режиме ещё раз - может быть вы увидите искомый файл. Можно его стереть и создать файл с таким же названием 0 длины - тогда, возможно, вирусо-восстановщик не будет восстанавливать вирус, и вирус будет заблокирован.

Хотя конечно всё это очень заморочено.

По моему вирусу прислали ответ из KasperskyLab - в файле вирус Backdoor.Win32.IRCBot.abc
который обнаруживается нашим охтельным антивирусом! только нихрена он не обнаружил!

Все антивирусы тупы до безобразия и даже во время безобразия!

56. SOL, 20.05.2007 14:59
Дайте плз линк на прогу, которая запрещает другим прогам менять стартовую страницу в IE7, а то запарили пиратские автораны, которые её меняют.

57. NmKaDyM, 20.05.2007 15:51
SOL
Тот же Spybot.

58. SOL, 20.05.2007 18:19
не, это не то, там прога, её по-моему выкладывали в игромании.

59. NmKaDyM, 20.05.2007 20:20
SOL
Как раз то. Это умеют некоторые проги кроме SpyBot. (см.скрин)

К сообщению приложены файлы: 1.png, 711x486, 39Кb

60. P133, 21.05.2007 13:19
Masterpiecer

Сидит троянчик...

Отключитесь вообще от интернета
1. подключить винт к рабочему антивирусу, со свежими базами, проверить все тчательно на наличие вирусни
2. почистить регедит, темпы все и тп
3. поставить файрвол

61. Masterpiecer, 21.05.2007 17:54
Сходил на вирусинфо. Сделал кое что по их инструкции в факе. AVZ ещё многое понавыкусывал, кое что пофиксил SpyBot. Трафик перестал жраться с бешеной скоростью.
Но всё же байтики в некотором количестве сотен и тысяч потихоньку куда-то вникуда утекают... Поставил Касперыча в "злом" режиме. Потекли байты... Касперыч сообщает: "firefox коннектится". И какого черта проги коннектятся, когда я им запретил это делать?

62. bopUK, 21.05.2007 18:04
Firefox при каждом запуске может проверять обновления фишинг сайтов или обновлять расширения.

63. SOL, 21.05.2007 23:23
NmKaDyM
ну да, впринципе там есть такая опция, но толку-то, проги всё равно её меняют.

64. NmKaDyM, 30.05.2007 15:15
SOL
Не тупи. Не меняют. SpyBot поддерживает заданные параметры - прога изменила адрес, SpyBot восстановил. Дошло?

65. Naglfar, 09.06.2007 16:47
У меня такая проблема - время от времени, когда я пользуюсь Internet Explorer, высплывает окно www.broadcaster.com со всякой ерундой. Иногда грузится порнуха, а с ней грузятся трояны, надоело уже каждый раз их удалять.
Я уже несколько раз чистил всё антивирусом Зайцева, но этот чертов бродкастер так и продолжает грузиться, и запускать трояны. Поискал в интернете - нашел как ни странно только несколько сообщений про загрузку бродкастера и вирусов с него. А откуда он взялся и как его убрать - нигде нет!

66. bopUK, 13.06.2007 14:34
Naglfar
http://forum.ixbt.com/post.cgi?id=annc:24:38093

67. uopp, 13.06.2007 19:26
AdAware, avast ничего не находят, ZoneAlarm пропускае вот такие сообщения - см. файл
код:
Logfile of HijackThis v1.99.1
Scan saved at 19:19:28, on 13.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
F:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
F:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
F:\WINNT\system32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\system32\ZONELABS\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\WINNT\system32\svchost.exe
F:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
F:\WINNT\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\SpeedFan\speedfan.exe
F:\Program Files\ASUS\Asus Probe\AsusProb.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\Alexey V.Voronin\AMD64_CPU_Assistant\AMD64CPUAssistant.exe
F:\WINNT\system32\CTHELPER.EXE
F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
F:\Program Files\Punto Switcher\ps.exe
F:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
F:\WINNT\system32\ctfmon.exe
F:\Program Files\AVERTV2K\QuickTV.exe
F:\Program Files\ProcessTamer\ProcessTamerTray.exe
F:\Program Files\RivaTuner v2.0 Final Release\RivaTuner.exe
F:\WINNT\system32\wuauclt.exe
F:\Program Files\mozilla.org\SeaMonkey\seamonkey.exe
F:\WINNT\system32\mmc.exe
F:\Program Files\D-Link\DSL-200\DslStat.exe
F:\Program Files\Outlook Express\wab.exe
F:\Program Files\Miranda\miranda32.exe
F:\WINNT\System32\NOTEPAD.EXE
F:\WINNT\system32\NOTEPAD.EXE
F:\WINNT\system32\taskmgr.exe
f:\program files\avertv2k\AVerTV2K.exe
F:\WINNT\system32\NOTEPAD.EXE
F:\Program Files\XnView\xnview.exe
F:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - F:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\program files\google\googletoolbar1.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - F:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "F:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] F:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WheelMouse] F:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [speedfan] F:\\Program Files\\SpeedFan\\speedfan.exe
O4 - HKLM\..\Run: [ASUS Probe] F:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AMD64 CPU Assistant] "F:\Program Files\Alexey V.Voronin\AMD64_CPU_Assistant\AMD64CPUAssistant.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [swg] F:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: ProcessTamer.lnk = F:\Program Files\ProcessTamer\ProcessTamerTray.exe
O4 - Startup: RivaTuner.lnk = F:\Program Files\RivaTuner v2.0 Final Release\RivaTuner.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AVerTV (2).lnk = F:\Program Files\AVERTV2K\AVerTV2K.exe
O4 - Global Startup: QuickTV.lnk = F:\Program Files\AVERTV2K\QuickTV.exe
O4 - Global Startup: Порт Symantec Fax Starter Edition.lnk = F:\Program Files\Microsoft Office\Office\1049\OLFSNT40.EXE
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Показать все рисунки оригинального качества - F:\Program Files\www.cproxy.com\originalAll.htm
O8 - Extra context menu item: Показать рисунок оригинального качества - F:\Program Files\www.cproxy.com\original.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - F:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - F:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\winnt\system32\nvappfilter.dll
O16 - DPF: {356E71A0-B0F1-4AF7-877C-A4E9B4D6BED5} (RWViewer Control) - http://cemkeen.narod.ru/radish/RWViewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174058532203
O17 - HKLM\System\CCS\Services\Tcpip\..\{365198EE-414D-4BA8-B6BC-6E55D598EF0F}: NameServer = 212.48.193.38 212.48.193.36
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - F:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - F:\WINNT\System32\services.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - F:\WINNT\system32\faxsvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - F:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - F:\WINNT\system32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - F:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - F:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - F:\WINNT\system32\lsass.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - F:\WINNT\system32\lsass.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINNT\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - F:\WINNT\system32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - F:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - F:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - F:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - F:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: Still Image Service (StiSvc) - Корпорация Майкрософт - F:\WINNT\system32\stisvc.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - F:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - F:\WINNT\system32\tlntsvr.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - F:\WINNT\system32\services.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINNT\system32\ZONELABS\vsmon.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - F:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - F:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - F:\WINNT\system32\Services.exe


как изгнать эту заразу? посидел без файервола пару минут - и вод подцепил

К сообщению приложены файлы: 1.gif, 1024x768, 53Кb

68. Mixa1024, 13.06.2007 21:18
uopp
Ты ничего не подцепил. Выруби Службу Сообщений.

69. uopp, 14.06.2007 00:17
Mixa1024
не согласен. раньше этой заразы не было, я ничего неменял в настройках, а сейчас целенаправленный буржуйский спам. И как раз после того, как в сети без файервола посидел

70. Mixa1024, 14.06.2007 00:25
не согласен. раньше этой заразы не было, я ничего неменял в настройках, а сейчас целенаправленный буржуйский спам. И как раз после того, как в сети без файервола посидел
542x232, 7,0Kb

К сообщению приложены файлы: 1.gif, 542x232, 7Кb

71. uopp, 14.06.2007 15:04
Mixa1024
Mixa1024
а кто такой Local System?

72. uopp, 17.06.2007 08:04
ау!!!
кстати, а как узнать, через какой порт эта гадость летит и как его в ZA закрыть?

73. Mixa1024, 17.06.2007 10:15
uopp
НУ сколько ж можно повторять то....
код:
 net stop messenger



через какой порт эта гадость летит
TCP/ 445

74. uopp, 18.06.2007 00:47
Mixa1024
445 - спасибо
---
вопрос почему летит именно рекламный спам, и, очевидно, от одного спаммера - открыт.

75. moderator-Bio, 18.06.2007 12:58
uopp
вопрос почему летит именно рекламный спам, и, очевидно, от одного спаммера - открыт.

Закрыт вопрос. С причиной разобрались? Да. Всё.

76. uopp, 18.06.2007 19:53
moderator-Bio

со всем уважением, не разобрались.
имхо сидит какая-то зараза в компе и заразу "качает". но вот ничем её не удалить

77. Биомеханик, 18.06.2007 21:49
uopp
имхо сидит какая-то зараза в компе и заразу "качает". но вот ничем её не удалить

Появляется окно службы сообщений с рекламным объявлением из Интернета (http://support.microsoft.com/kb/330904/ru)

78. uopp, 19.06.2007 21:48
Биомеханик
спасибо)

К этой теме 28.06.2007 20:05 moderator-Bio подклеил тему "С компа идет рассылка, KAV 6.0 видел но ничего не мог сделать, KIS 6.0 даже не видит, что-же делать?" (автор: SNAP)

80. SNAP, 28.06.2007 19:30
Стоял NOD32, были проблемы, поставил KAV 6.0 он нашел и убил:
25.06.2007 16:23:56 Файл c:\windows\ftyfd.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.LdPinch.bkg'.
25.06.2007 16:34:26 Файл c:\windows\ftyfd.exe удален.

Но появлялось окошко:
26.06.2007 19:16:57 Процесс C:\WINDOWS\system32\services.exe, обнаружено: потенциально опасное ПО 'Mass-mailer software' (модификация).
26.06.2007 19:17:26 Процесс C:\WINDOWS\system32\services.exe, обнаружено: потенциально опасное ПО 'Mass-mailer software' (модификация).
26.06.2007 19:17:51 Процесс C:\WINDOWS\system32\services.exe, обнаружено: потенциально опасное ПО 'Mass-mailer software' (модификация).
26.06.2007 19:18:06 Процесс C:\WINDOWS\system32\services.exe, обнаружено: потенциально опасное ПО 'Mass-mailer software' (модификация).

Полная проверка ничего не выявляет, все чисто (по мнению антивируса).
Поставил KIS 6.0, думал он покруче будет и разберется, так он вообще молчит и даже надписи
"Процесс C:\WINDOWS\system32\services.exe, обнаружено: потенциально опасное ПО 'Mass-mailer software' (модификация)."
не выводит, дурдом

Что- же делать, никогда так не поподал еще...

81. Missioner, 29.06.2007 14:45
Добрый день, уважаемые форумчане. Решил обратиться к вам, так как давно известно что одна голова хорошо (а с телом лучше, но не будем изменять смысл старой пословицы ), а две лучше.
Начну рассказ по-порядку. Буквально два дня назад, после полуторагодовой работы Windows приказала долго жить и ушла в лучший мир. Естественно за этим последовали ее преустановка, установка всех программ, и приведение ее в тот вид, в котором я привык ее видеть. Но вот после этой довольно долгой и нудной работы, появилась одна скверная-прескверная "особенность" у моего Internet Explorer версии 6,0: он перестал грузить практически любые форумы. Причем и те где я раньше был, и те, на которые не разу не наведывался. Ixbt редкое исключение. Сколько я не корпался в настройках, никакого результата это не дало. Вот поэтому и возник мой вопрос к вам - собственно в чем проблема, и что еще важнее, как ее решить.

82. Биомеханик, 29.06.2007 15:43
Missioner
http://forum.ixbt.com/post.cgi?id=annc:24:38093

83. Missioner, 29.06.2007 19:59
Биомеханик
Гм...То есть вы думаете что это проделки некого трояна, а не какие-то неправильные настроки IE?

84. bopUK, 29.06.2007 21:53
Missioner
Попробуй поставь другой браузер и проверь им.
И что значит "перестал грузить"? Если в URL есть слово forum то не грузиться?

85. Missioner, 30.06.2007 13:09
bopUK
И что значит "перестал грузить"? Если в URL есть слово forum то не грузиться?
Да, примерно то и значит. Хобот и еще несколько других форумов редкое исключение, остальные не грузятся. А какой браузер посоветуете вместо IE поставить. И еще. Дело это для меня новое, все время сидел с ослом. Установка другого браузера как-то повлияет на работу Internet Explorer? Или после того как все проверю я без проблем смогу на ослика вернуться?

Добавление от 30.06.2007 13:53:

Новое нерадостное открытие. Не грузятся и некоторые сайты. К примеру www.ogl.ru.

Добавление от 30.06.2007 19:08:

bopUK
Вот поставил себе Оперу 9,21. С форумами и сайтами которые не грузились теперь все ОК. Но уж очень непривычна мне опера. Да и не понял я как с ней Download Master интегрировать... Хочется на IE поскорее вернуться... Так если на другом браузере все в порядке, то значит это не вирус. Получается что-то с настройками. Но что? Помогите, плииз.

86. bopUK, 01.07.2007 08:50
Missioner
А инет какой? В смысле домовая сетка или что то иное и какая скорость?
Попробуйте для начала почистить кеш IE, сделать его больше/меньше по объему, посмотри какие надстройки стоят в IE.

цитата:
А какой браузер посоветуете вместо IE поставить.

Я бы поставил FireFox и "забил" на IE :) Тот же DM в него устанавливается мухой,да и всё остальное :)

87. Missioner, 02.07.2007 19:57
bopUK
А инет какой?
Инет простой диал-ап. Без всяких сеток и прочего. Скорость около 40 кбит/с.

Попробуйте для начала почистить кеш IE, сделать его больше/меньше по объему, посмотри какие надстройки стоят в IE.
Гм... Не понял. Что за кеш эксплорера? Поподробнее пожалуйста .

88. Khaliff, 03.07.2007 03:54
Проблема с IE: где-то сидит прокси, не дает просматривать страницы, кроме https, т.к. одну страницу https (своего провайдера) я вижу, на другие IE не может зайти. Пару раз мелькало где-то перед глазами 127.0.0.1, после чего искал в настройках браузера - ничего нет похожего, но видимо сидит незваный прокси. Теперь загрузил Оперу, в ней есть возможность отключить прокси, только с помощью этого попал на этот форум, чтобы помогли убрать заразу (вероятно, зараза попала в систему после скачки ActiveX, который мне нужен был для интернет-камеры). DrWeb молчит.

код:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 5:42:00, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\Program Files\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Samsung\DisplayManager\DisplayManager.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\ABBYY Lingvo 9.0 English-Russian Dictionary Corporate\Lvagent.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\Program Files\Samsung\DisplayManager\dmhkcore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\Install\Install_Utils\HijackThis2\HiJackThis_v2\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.unhsolutions.com/?UNHCmp=GFS
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Starter] C:\WINDOWS\System32\Starter.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Program Files\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Program Files\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 English-Russian Dictionary Corporate\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [QIP2005] C:\Prog_user\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: My Provider - C:\Program Files\My Provider\Traffic_checker\check_type.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Создание Избранного на мобильном устройстве - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Создать Избранное на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Pictures - {C7486E80-B111-4768-995E-23CF307346FC} - C:\Program Files\UnH Solutions\Flash and Pics Control\FPCButton.dll (HKCU)
O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} (Gif89 Lite Class) - http://183.67.216.153/xplugDL.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{475F54B4-9590-47E7-A7D2-0748AAF212B6}: NameServer = 195.58.27.158 195.58.1.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{7793D214-9D3E-43E3-8011-C6DEEB17E85E}: NameServer = 217.24.176.230,217.24.177.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9267 bytes


После удаления строки содержащей 127.0.0.1 и перезагрузки ПК, эта строка снова обнаружена программой HijackThis.

Горыныч
Постоянно выскакивает окошко сеанса связи по модему. Т.е. работаешь, работаешь и выскакивает стандартное виндозное приглашение запустить дозвон по модему
Такой симптом у меня тоже наблюдается!!!

После скачивания AdAwareFree он просит указать серийный номер, хоть он и называется free. Уже когда стал выключать ПК, нажал Cancel, и тогда программа запустилась.

89. Усатый, 03.07.2007 15:24
Пару дней назад, на главной странице одного сайта заверещал докторВеб, говорит мол заражена страница и всё такое. После этого, началась такая фигня: Примерно каждые 10 минут generic host process запрашивает исходящее соединение с elitwarez.ru , хочет зараза чего то загрузить. Как бороться с этим безобразием? Заранее спасибо.

Лог HijackThis:

код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:10:02, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
E:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe
E:\Program Files\DrWeb\SpiderNT.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\khooker.exe
E:\WINDOWS\system32\pctspk.exe
E:\PROGRA~1\DrWeb\spidernt.exe
E:\PROGRA~1\DrWeb\spiderml.exe
E:\Program Files\A4Tech\Mouse\Amoumain.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Documents and Settings\Komarov\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [SiS KHooker] E:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Outpost Firewall] E:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SpIDerNT] E:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "E:\PROGRA~1\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [WheelMouse] E:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - E:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - E:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .3gp: E:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pdf: E:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F37896C5-F82F-442C-BBA6-4CA2322060FE}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - E:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - E:\Program Files\DrWeb\SpiderNT.exe

--
End of file - 3374 bytes

90. Khaliff, 03.07.2007 17:47
вот эти строки бы протестить:
E:\WINDOWS\system32\khooker.exe
E:\WINDOWS\system32\pctspk.exe

---

а моя борьба с нечистью, кажется (тфу-тфу-тфу 3 раза), увенчалась успехом: сейчас уже листаю этот форум через IE. Поудалял все строки R0 и R1, и еще некоторые. Больше всего помог HijackThis, мне так кажется. А вот AdAware ничего особенного не нашел, но я всё же удалил и те строки, которые он показал. Всем удачи!

91. Усатый, 03.07.2007 19:58
цитата:
вот эти строки бы протестить:
E:\WINDOWS\system32\khooker.exe
E:\WINDOWS\system32\pctspk.exe

Нет это драйвера, какие не помню уже, но совершенно точно к делу не относятся.

92. Биомеханик, 03.07.2007 21:45
Description: khooker.exe is installed alongside hardware drivers for the SIS Control Console

Description: pctspk.exe is a process installed alongside PCTEL Communications hardware

93. Усатый, 03.07.2007 22:23
Биомеханик
Ну я и говорю ничего подозрительного, khooker.exe это дрова sis'ки, а pctspk.exe это драйвер модема.
А что за зараза у меня на elitwarez.ru ломится?

К этой теме 04.07.2007 09:58 split подклеил тему "Как запретить изменение домашней страницы в Ie7 ?" (автор: Mars2001)

95. Mars2001, 02.07.2007 18:12
Достала уже эта www.apeha.ru . Как вирус прописывается при первом запуске диска ..

96. Joshua5, 02.07.2007 18:40
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д. (http://forum.ixbt.com/topic.cgi?id=24:38093)

97. Mars2001, 02.07.2007 19:34
Joshua5

Там ничего нет ..
Поиск по словам Home , домашн ничего не дал ..
Плюс у меня седьмая версия ..

98. Joshua5, 02.07.2007 21:23
Mars2001

Да, действительно. Значит, это было в предыдущей (http://forum.ixbt.com/post.cgi?text=apeha.ru&user=&date=&date_days=2137&date1_d=26&date1_m=8&date1_y=2001&date2_d=27&date2_m=12&date2_y=2006&posts=&pages=&color=1&id=print%3A69%3A000133) версии. В любом случае, нужно выполнить действия, указанные в объявлении темы - т.е., воспользоваться специализированными программами для чистки. Проблема эта известная.

99. Mixa1024, 02.07.2007 22:48
Mars2001
Апеха восстанавливается с помощью установки своего Browser Helper Object. Убить всё, ссылки на что есть в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects.

Если лениво копаться в реестре, то её видит и убивает AD-Aware 1.06 и старше.

100. Mars2001, 03.07.2007 07:27
Проблема в том , что при автозапуске диска некое приложение изменяет параметр Start Page в HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main..

Решить её можно , наверное ,
1. запретить вообще изменение этого параметра в реестре.
2.заблокировать само приложение , которое изменяет реестр ..

Вопрос остается открытым , как запретить изменение Start Page ?

101. Mixa1024, 03.07.2007 12:44
Mars2001
Отнять у текущего пользователя права на изменение ветки.

102. Mars2001, 03.07.2007 14:18
Mixa1024

Кого , кого ты пользователем назвал ..
Я админ ...Своего компьютера правда ..
Единоличный владелец .. Сам у себя права отнять не могу ..


Проблема я так понимаю серьезная ( неразрешимая цивилизованными методами ) , потому как микрософтовцы не позаботились об этом ..

103. Joshua5, 03.07.2007 15:23
Mars2001

Если комп личный и ты админ, то все это настраивается через Административные шаблоны политики безопасности.

104. Mars2001, 03.07.2007 15:36
Joshua5

Поподробней можно ? Что это ?
Вариант запретить все возможные изменения в реестре мне не подходит ..И уж тем более входить с ограниченными правами в систему ..

Нужен точечный удар по указанной выше строчке реестра , чтобы остальных программ это не касалось ..

105. Joshua5, 03.07.2007 15:49
Mars2001

Я, к сожалению, сейчас не могу сказать, т.к. сам сижу не за своим компом с ограниченнымиправами и не могу добраться до этих настроек. Так что если только вечером или кто-то другой подскажет.

Посмотри вот эту ссылку

http://support.microsoft.com/kb/255802

Там сказано, как добраться до настроек через консоль, ну и поищи там - я не помню точный путь.

106. Mars2001, 03.07.2007 15:55
Joshua5

И что я там укажу ? Чего мне запрещать ?
Запуск конкретной игры ? Или запуск программ с указанной директории ?

Я ж говорю , рубить топором все подряд , меня не устраивает ..

107. Joshua5, 03.07.2007 15:56
Mars2001

Епрст, ну ты хоть посмотрел бы сначала... Там есть специальная настройка конкретно для домашней страницы IE!

108. Mars2001, 03.07.2007 16:01
Joshua5

Посмотри на влож.рисунок , это там ?

К сообщению приложены файлы: 1.gif, 696x493, 28Кb

109. Joshua5, 03.07.2007 16:10
Mars2001

Управление политикой безопасности, скорее всего, если нет что-нибудь типа групповой политики.

110. Mars2001, 03.07.2007 17:02
добавил редактор групповой политики ..

Отрыл IE ...

Поиски нужного параметра , пока не увенчались успехом ..

Блин , что нельзя было поиск сделать ..

К сообщению приложены файлы: 1.gif, 451x484, 14Кb, 2.gif, 737x416, 20Кb

111. Joshua5, 03.07.2007 18:14
Mars2001

Посмотри то же самое, но не в Конфигурации компьютера, а в Конфигурации пользователя. Либо жди, пока я до дома доеду

112. Mars2001, 03.07.2007 18:20
Joshua5

Лучше подожду , а то я уже

113. Joshua5, 03.07.2007 20:33
Вот.

К сообщению приложены файлы: 1.gif, 559x275, 11Кb

114. Mars2001, 04.07.2007 03:02
Joshua5

Спасибо ..Все сработало ..

Добавление от 04.07.2007 13:54:

Подитожим , как запретить изменение домашней страницы ( Home page , start page ) на www.apeha.ru и тп

Пуск-Выполнить mmc - Консоль- Добавить или удалить оснастку -Добавить-Редактор объекта групповой политики

Политика "Локальный компьютер" -Конфигурация пользователя - Административные шаблоны-Windows Components-Internet Explorer- Disable changing home page setting - включен

115. Усатый, 04.07.2007 17:44
А мне то, помогите пожалуйста, люди добрые!

116. bopUK, 04.07.2007 18:09
Усатый
Вот как у тебя будет запрос на закачку чего то с элитвареза - тогда и сканерни HijackThis.
Или посмотри в аутпосте какой файл ломится на этот сайт.

117. Усатый, 05.07.2007 12:17
Сканерил во время запроса, ничего подозрительного

118. bopUK, 05.07.2007 12:38
Вот и я ничего подозрительного не нашел.
Может конечно файлы системные поменялись. Но в логах этого не увидеть. Надо смотреть конкретно на машине.
Еще бывает, что меняют буквы в названии файла-заразы типа svchost на svсhost (тут буква С - русская..). Судя по сайту-паразиту (.ru) такое может быть :)

119. Усатый, 05.07.2007 18:40
Проверил, кириллицы в названиях программ нет.

К этой теме 29.07.2007 15:32 moderator-Bio подклеил тему "Подцепил червя или шпиона. ZoneAlarm успешно его блокирует, однако хотелось бы разобраться ..." (автор: SunFire)

121. SunFire, 29.07.2007 12:45
Господа, впервые в жизни подцепил червя или шпиона (точно не знаю как это называется), который сильно накручивает траффик: либо на пустом месте начинает сильно что-то качать ко мне (а у меня это 1р. за Мегабайт :eek: ), либо огромный исходящий траффик.

Avast! и Ad-Aware SE не смогли с ним справиться.
Поставил ZoneAlarm, который успешно его бликирует.
Паразит - это всем известный svchost.exe, который видимо подхватил заразу и теперь постоянно лезет в сеть.

То что это он - сомнений нет, так как Файрволл постоянно плюётся именно на него, а до установки Файрволла команда "net stat -b" показывала именно сетевую активность этого файла. После удаления процесса svchost.exe с соответствующим PID, дикий траффик тут же прекращался, но минут через 5-10 начинался опять.

Вопрос: ZoneAlarm - это конечно хорошо, но истина дороже. Пожалуйста, подскажите, чем можно обнаружить эту заразу и навсегда вывести из компьютера ???

P.S. возможно, разместился не на том форуме ... Модератор, я думаю, перенесёт тему по необходимости.



Вот пример. И этот лог на самом деле намного больше !

ACCESS,2007/07/29,14:08:22 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.70 :port 4045).,N/A,N/A
ACCESS,2007/07/29,14:08:42 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.95 :port 1141).,N/A,N/A
ACCESS,2007/07/29,14:09:02 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.95 :port 1142).,N/A,N/A
ACCESS,2007/07/29,14:09:22 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.95 :port 1143).,N/A,N/A
ACCESS,2007/07/29,14:09:22 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.70 :port 4570).,N/A,N/A
ACCESS,2007/07/29,14:09:32 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.70 :port 4662).,N/A,N/A
ACCESS,2007/07/29,14:09:42 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.95 :port 1144).,N/A,N/A
ACCESS,2007/07/29,14:09:42 +4:00 GMT,Generic Host Process for Win32 Services was blocked from accepting a connection from the Internet (192.168.80.70 :port 4750).,N/A,N/A

122. Mixa1024, 29.07.2007 15:03
SunFire
svchost может находиться только в двух местах -- в \system32 и в \dllcache. Если Вы найдете его где-то еще, то это вирус. Да, и прогоните AVZ с последними базами -- с носителя, защищенного от записи.

123. SunFire, 29.07.2007 16:24
Mixa1024

svchost.exe только один - в system32.
похоже что это именно он болен и заразен.

А что такое AVZ ??? Её из-под Windows запускать ?

124. Биомеханик, 29.07.2007 16:29
SunFire
А что такое AVZ ?

http://www.z-oleg.com/secur/avz/

125. Юрий Z., 31.07.2007 21:15
SunFire
в ProcessExplorer в столбце Command Line видно как запущен svchost

126. DoSTR, 01.08.2007 15:31
цитата:
SunFire:
Господа, впервые в жизни подцепил червя или шпиона
Для того, что бы мы смогли Вам помощь - нам нужны три лога с Вашего компьютера, ниже по ссылке написано как их делать
Внимательно прочитать и аккуратно выполнить:
http://virusinfo.info/showthread.php?t=1235&referrerid=6060

127. moderator-Bio, 01.08.2007 19:28
DoSTR
Повнимательнее: http://forum.ixbt.com/post.cgi?id=annc:24:38093

128. eugvas, 04.08.2007 13:16
Господа, помогите разобраться в следующей странной ситуации: есть какой-то явный троян, который не ловится ничем, и "скрывается" из списка процессов. Поясняю: в Outpost наблюдается куча открытых соединений от приложения "n/a", которые он, соответственно, никак не может отфильтровать (не выдаёт запрос на создание правил). Проверил независимым способом: "netstat -a -o" - список открытых соединений, большая часть от процесса с неким PID (положим, 1000), затем "tasklist /v" - нет такого PID процесса!
При этом, что характерно, "легитимные" соединения Internet Explorer'a тоже идут под грифом "n/a" в аутпосте. Более того, они, кажется, не выглядят как нормальные соединения в netstat (положим, я скачиваю файл Internet Explorer'ом, так там нету соответствующего соединения на 80-й порт от нужного PID).
в HijackThis ничего подозрительного не видно.
код:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:06:11, on 04.08.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\SYSTEM32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Outpost Firewall\outpost.exe
C:\WINXP\System32\ctfmon.exe
C:\WINXP\System32\svchost.exe
c:\dsb\HiJackThis\HiJackThis_v2.exe
C:\Program Files\TOTALCMD\TOTALCMD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/document/Яndex.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINXP\System32\userinit.exe
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: The Bat!.LNK = C:\Program Files\The Bat!\thebat.exe
O4 - Startup: Ярлык для MSOFFICE.EXE.lnk = C:\Program Files\Microsoft Office\Office10\MSOFFICE.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partner/rus/kavwebscan_unicode.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\cct1.ALYA\Local Settings\Temp\EI40_\msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06A72B38-C05E-4011-A135-1667FDCB4B44}: NameServer = 212.188.4.10 195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{06A72B38-C05E-4011-A135-1667FDCB4B44}: NameServer = 212.188.4.10 195.34.32.116
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\System32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\System32\browseui.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINXP\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINXP\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINXP\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINXP\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINXP\system32\netdde.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINXP\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINXP\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINXP\System32\r_server.exe (file missing)
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINXP\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINXP\System32\tlntsvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINXP\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINXP\System32\wbem\wmiapsrv.exe

129. VMV, 04.08.2007 13:22
А кто знает, где прописать в реестре, чтобы при закрытии, вкладки по умолчанию открывались пр следующей загрузке, чтобы не ставить каждый раз галочку....

130. Юрий Z., 04.08.2007 14:26
eugvas
AVZ может показать кто перехватывает

FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #46 (http://forum.ixbt.com/topic.cgi?id=24:38093:46#46)

131. bopUK, 04.08.2007 20:38
eugvas
А n/a на какой IP хочет полезть?
У меня напр. n/a вот так лезет:

n/a UDP 255.255.255.255 BOOTPS локальное:любое BOOTPC Allow DHCP ВХОД 20:37:25 14 сек. 0 байт 984 байт 70 байт/с ---

n/a UDP 255.255.255.255 BOOTPS локальное:любое BOOTPC Allow DHCP ВХОД 20:38:13 04 сек. 0 байт 658 байт 164 байт/с ---

132. Mixa1024, 04.08.2007 23:59
bopUK
n/a UDP 255.255.255.255 BOOTPS локальное:любое BOOTPC Allow DHCP ВХОД 20:37:25 14 сек. 0 байт 984 байт 70 байт/с ---
Это DHCPOFFER бродкаст или Вы тонко издеваетесь?

133. eugvas, 05.08.2007 13:05
Thanx, AVZ - великая штука! действительно, угнездился rootkit под названием runtime2.sys (и сопровождающий его startdrv.exe, который, собственно, и являлся тем процессом, который все соединения осуществлял).

134. DJ Sich, 05.08.2007 15:02
Такая вот фигня - когдв копирую лбой текст начинающийся на Z R или E, то вставляются вот такие кошельки Z164832804670 R374589882185 E248409211150, видно что это кошели WebMoney, я смотрел через прогу WebMoney корреспондента, там написано что это Google Bot, что делать как избавится от этого?

135. bopUK, 05.08.2007 20:12
Mixa1024
Многих эти две непонятные буквы n/a вводят в стопор. А как же - что то куда то шлет, а что и куда не понятно.
А вот так шлепнуть на процессе правой клавишей мыши и скопировать и посмотреть не догадываются. Вот и надо было выяснить у eugvas. Вдруг у него что то похожее :)

136. eugvas, 05.08.2007 20:14
да не, широковещательные пакеты я бы отличил Там явно был спам-робот - основная долбёжка была по 25 порту, ну и ещё по некоторым другим

137. Furious Angel, 11.08.2007 15:55
Схватила по ходу дела троян Vundo, вроде все почистила xoftspy, касперским и руками из реестра удалила... Но вроде остались какие-то следы, правда теперь avp ругается на: потенциально опасное ПО Invader, Процесс: C:\WINDOWS\system32\winlogon.exe - каждую секунду этот процесс пытается куда-то вылезти, касперь его блокирует... Это страшно грузит касперя и всю систему. При открытии IE слетает explorer - пропадает нижняя панель и часто не появляется назад, пропадает рабочий стол. Посмотрите, плиз, мой лог hijack'a - что можно подчистить... Спасибо за помощь.

код:

Logfile of HijackThis v1.99.1
Scan saved at 15:30:34, on 11.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\kvsbnako.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\QIP\qip.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Julia\LOCALS~1\Temp\Rar$EX00.546\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.asus.com]http://www.asus.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E5D3E51-FC6B-456C-8CEA-F08E25F64027} - C:\WINDOWS\system32\vturq.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\vwvlgghv.dll
O2 - BHO: (no name) - {E9BD0828-1FD9-410C-A50F-43EBE65D310F} - C:\WINDOWS\system32\cbxyaax.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Julia\Application Data\Mail.Ru\Agent\MAgent.exe -CU
O4 - HKCU\..\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url=http://www.kaspersky.com/kos/russian/partner/rus/kavwebscan_unicode.cab]http://www.kaspersky.com/kos/russian/partner/rus/kav…bscan_unicode.cab[/url]
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - [url=http://www.cult3d.com/download/cult.cab]http://www.cult3d.com/download/cult.cab[/url]
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - [url=http://vkontakte.ru/uploader/ImageUploader4.cab]http://vkontakte.ru/uploader/ImageUploader4.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B658312-94C5-4138-A8DB-7F440581E9CF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B658312-94C5-4138-A8DB-7F440581E9CF}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbxyaax - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\kvsbnako.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

138. Юрий Z., 11.08.2007 23:28
подозрительно

O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll
O2 - BHO: (no name) - {2E5D3E51-FC6B-456C-8CEA-F08E25F64027} - C:\WINDOWS\system32\vturq.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\vwvlgghv.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\kvsbnako.exe


удалить остатки
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E9BD0828-1FD9-410C-A50F-43EBE65D310F} - C:\WINDOWS\system32\cbxyaax.dll (file missing)
O20 - Winlogon Notify: cbxyaax - C:\WINDOWS\

139. Furious Angel, 12.08.2007 00:02
Юрий Z.
O2 - BHO: (no name) - {2E5D3E51-FC6B-456C-8CEA-F08E25F64027} - C:\WINDOWS\system32\vturq.dll
Восстановился после перезагрузки:

O2 - BHO: (no name) - {6EA88283-8820-4DA3-BD91-037331FC050A} - C:\WINDOWS\system32\vturq.dll
дллку тоже может грохнуть руками? или это все же чего-то нужное?

Проблема с винлогоном не исчезла. Лезет куда-то... (Процесс C:\WINDOWS\system32\winlogon.exe (PID: 844): попытка внедрения в другой процесс заблокирована.) Может это тоже нормальное поведение этого файла и у касперя (а заодно и у меня) просто паранойя?

140. Биомеханик, 12.08.2007 00:09
Furious Angel
или это все же чего-то нужное?

Virus helper process. Run win32res.exe - trojan worm

141. Юрий Z., 12.08.2007 00:38
если восстановился после перезагрузки - однозначно троян

142. Morfius, 12.08.2007 11:49
Вместо ряда страниц открывается puh.ru, а вместо ряда других - какой-то непонятный сайт, моделирующий запрос к пустому домену, с припиской "Этот домен возможно продается"

пробовал лечить: ad-adware, spybot, nod.
В реестре puh.ru не ищется.

IEradicator2001 тоже использовал.

код:

Logfile of HijackThis v1.99.1
Scan saved at 11:42:31, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
D:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Program Files\Mail.Ru\Agent\MAgent.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\Snake\Desktop\Anthill.exe
C:\totalcmd\TOTALCMD.EXE
D:\Documents and Settings\Snake\Desktop\antivir\avz4\avz.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Snake\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vijnyana.ru/parking.php4?task=search&s=29c529b487e03ac451e6&tb=0&a_id=3&language=ru&pxy_t=0&start=1&add_c=611025122ee267921827d94ef0d3f9cc&pgt=&category=Aaoiiiaeee&keyword=%D0%9A%D1%80%D0%B5%D0%B4%D0%B8%D1%82%D1%8B&sub=1&pos=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.2 voodoo.org darkside.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - D:\Program Files\system101\system101.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [IEU01] regsvr32.exe /u /s D:\WINDOWS\system32\msrating.dll
O4 - HKLM\..\RunOnce: [IEU02] regsvr32.exe /u /s D:\WINDOWS\system32\ASCTRLS.OCX
O4 - HKLM\..\RunOnce: [IEU03] regsvr32.exe /u /s D:\WINDOWS\system32\TDC.OCX
O4 - HKLM\..\RunOnce: [IEU05] regsvr32.exe /u /s D:\WINDOWS\system32\INETCFG.DLL
O4 - HKLM\..\RunOnce: [IEU06] regsvr32.exe /u /s D:\WINDOWS\system32\PLUGIN.OCX
O4 - HKLM\..\RunOnce: [IEU07] regsvr32.exe /u /s D:\WINDOWS\system32\XENROLL.DLL
O4 - HKLM\..\RunOnce: [IEU08] regsvr32.exe /u /s D:\WINDOWS\system32\IEMENU.OCX
O4 - HKLM\..\RunOnce: [IEU12] regsvr32.exe /u /s D:\WINDOWS\system32\msieftp.DLL
O4 - HKLM\..\RunOnce: [IEU13] regsvr32.exe /u /s D:\WINDOWS\system32\MSJAVA.DLL
O4 - HKLM\..\RunOnce: [IEU14] regsvr32.exe /u /s D:\WINDOWS\system32\MSAWT.DLL
O4 - HKLM\..\RunOnce: [IEU15] regsvr32.exe /u /s D:\WINDOWS\system32\VMHELPER.DLL
O4 - HKLM\..\RunOnce: [IEU16] regsvr32.exe /u /s D:\WINDOWS\system32\javaprxy.dll
O4 - HKLM\..\RunOnce: [IEU17] regsvr32.exe /u /s D:\WINDOWS\system32\javacypt.dll
O4 - HKLM\..\RunOnce: [IEU18] regsvr32.exe /u /s D:\WINDOWS\system32\DX3J.DLL
O4 - HKLM\..\RunOnce: [IEU19] regsvr32.exe /u /s D:\WINDOWS\system32\scrobj.DLL
O4 - HKLM\..\RunOnce: [IEU20] regsvr32.exe /u /s D:\WINDOWS\system32\LICMGR10.DLL
O4 - HKLM\..\RunOnce: [IEU21] regsvr32.exe /u /s D:\WINDOWS\system32\ACTXPRXY.DLL
O4 - HKLM\..\RunOnce: [IEU22] regsvr32.exe /u /s D:\WINDOWS\system32\DISPEX.DLL
O4 - HKLM\..\RunOnce: [IEU23] regsvr32.exe /u /s D:\WINDOWS\system32\webcheck.dll
O4 - HKLM\..\RunOnce: [IEU25] regsvr32.exe /u /s D:\WINDOWS\system32\mobsync.dll
O4 - HKLM\..\RunOnce: [IEU27] regsvr32.exe /u /s \hmmapi.dll
O4 - HKLM\..\RunOnce: [IEU28] regsvr32.exe /u /s \Triedit\triedit.dll
O4 - HKLM\..\RunOnce: [IEU29] regsvr32.exe /u /s \Triedit\dhtmled.ocx
O4 - HKLM\..\RunOnce: [IEU30] regsvr32.exe /u /s D:\WINDOWS\system32\mmefxe.ocx
O4 - HKLM\..\RunOnce: [IEU31] regsvr32.exe /u /s D:\WINDOWS\system32\mstime.dll
O4 - HKLM\..\RunOnce: [IEU34] D:\WINDOWS\system32\mshta.exe /unregister
O4 - HKLM\..\RunOnce: [IEU36] regsvr32.exe /u /s D:\WINDOWS\system32\occache.dll
O4 - HKLM\..\RunOnce: [IEU37] regsvr32.exe /u /s D:\WINDOWS\system32\imgutil.dll
O4 - HKLM\..\RunOnce: [IEU38] regsvr32.exe /u /s D:\WINDOWS\system32\pngfilt.dll
O4 - HKLM\..\RunOnce: [IEU50] regsvr32.exe /u /s D:\WINDOWS\system32\corpol.dll
O4 - HKLM\..\RunOnce: [IEU51] regsvr32.exe /u /s D:\WINDOWS\system32\cryptdlg.dll
O4 - HKLM\..\RunOnce: [IEU52] regsvr32.exe /u /s D:\WINDOWS\system32\cryptext.dll
O4 - HKLM\..\RunOnce: [Step_2] RunDll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\IErad2.inf,Step_2
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AuthClient] D:\Documents and Settings\Snake\Desktop\Anthill.exe
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D13719B3-451E-4171-8430-839B9A7FD6F9}: NameServer = 89.108.89.184,10.4.4.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 89.108.89.184,10.4.4.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 89.108.89.184,10.4.4.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\WINDOWS\system32\perfc000.dat
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - D:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MySQL - Unknown owner - D:\Program.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

В чём может быть проблема?

143. bopUK, 12.08.2007 15:38
Morfius
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=158331

144. Morfius, 12.08.2007 18:08
bopUK
Как узнать как называется процесс бекдора и программа его создавшая?

145. Furious Angel, 12.08.2007 22:43
Пробовала через safe mode войти и удалить dll-ки вручную - не загружается explorer, а когда вызываешь его из командной - выключается через пару секунд. Наверное тоже троян работает. Также пробовала разблокировать файлы и удалить так - вылетает в перезагруз система. Восстанавливаются каждый раз, чем ни удаляй. Касперь не лечит, только блокирует действие трояна, немного облегчая положение.
Как из комндной строки в сейф моде можно удалить файл? А то у меня склеоз кажется развивается... Так не хочу систему переставлять, ужас

146. Юрий Z., 13.08.2007 01:12
Furious Angel
самое надежное удалить с помощью recovery console

147. Furious Angel, 13.08.2007 10:03
Юрий Z.
recovery console
Поясните плиз для блондинки - какую команду ввести чтобы удалить

148. Биомеханик, 13.08.2007 10:06
Описание консоли восстановления Windows XP (http://support.microsoft.com/kb/314058/ru)

149. Furious Angel, 13.08.2007 10:09
Спасибо!

150. bopUK, 13.08.2007 10:11
Furious Angel
Или есть программа Unlocker.

151. Furious Angel, 13.08.2007 10:14
bopUK
Или есть программа Unlocker
Чуть выше я писала, что ее использование у меня на компе вызывает мгнорвенную перезагрузку системы - нажимаю "разблокировать файл", программа пару секунд работает, видимо пытаясь разблокировать, и вылетает. Скорее всего троян такое ее поведение вызывает.

152. Morfius, 13.08.2007 21:39
Я удалил касперским perfc000.dat, но puh.ru и второй сайт продолжают открываться.

код:

Logfile of HijackThis v1.99.1
Scan saved at 21:36:50, on 13.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Program Files\Mail.Ru\Agent\MAgent.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\Documents and Settings\Snake\Desktop\Anthill.exe
D:\Documents and Settings\Snake\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://forum.ixbt.com/topic.cgi?id=24:38093-8#142
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.2 voodoo.org darkside.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - D:\Program Files\system101\system101.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AuthClient] D:\Documents and Settings\Snake\Desktop\Anthill.exe
O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D13719B3-451E-4171-8430-839B9A7FD6F9}: NameServer = 89.108.89.184,10.4.4.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 89.108.89.184,10.4.4.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 89.108.89.184,10.4.4.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - D:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - D:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

153. Mixa1024, 13.08.2007 22:48
Morfius
Убейте плагины к IE, насколько я помню, эта дрянь именно через них работает.

154. Юрий Z., 13.08.2007 22:49
видимо из-за этого
NameServer = 89.108.89.184

155. Mixa1024, 13.08.2007 22:55
Юрий Z.
цитата:
inetnum: 89.108.80.0 - 89.108.95.255
netname: AGAVACOMPANY
descr: Agava JSC
country: RU
admin-c: AN2353-RIPE
tech-c: AN2353-RIPE
status: ASSIGNED PA "status:" definitions
mnt-by: AGAVA-MNT
source: RIPE # Filtered
Я не думаю, что Агава будет подобным заниматься

156. Morfius, 13.08.2007 23:03
цитата:
Mixa1024:
Morfius
Убейте плагины к IE, насколько я помню, эта дрянь именно через них работает.
Какие именно и как это можно сделать?

157. Юрий Z., 13.08.2007 23:06
ну я так, на всякий случай...
http://www.google.ru/search?hl=ru&q=89.108.89.18…B2+Google&lr=

158. Mixa1024, 13.08.2007 23:16
Юрий Z.
ну я так, на всякий случай...
Аааа.
Тогда Вы правы, скорее всего, и это попытка завалить Агавовские сервера.

159. Morfius, 13.08.2007 23:29
Юрий Z.
Я установил автоматическое получение DNS и удалил и лога Хайджека эти адреса, но страница (pravidya.ru), на которой прежде был puh.ru теперь не показывается вообще,
пишет ошибку "The page cannot be displayed".

А сайт моделирующий запрос к пустому домену продолжает открываться и сейчас.


код:
Logfile of HijackThis v1.99.1
Scan saved at 23:27:37, on 13.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Program Files\Mail.Ru\Agent\MAgent.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\Snake\Desktop\Anthill.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\Apache Group\Apache\Apache.exe
C:\totalcmd\TOTALCMD.EXE
D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Snake\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pravidya.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.2 voodoo.org darkside.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - D:\Program Files\system101\system101.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AuthClient] D:\Documents and Settings\Snake\Desktop\Anthill.exe
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - D:\Program Files\system101\system101.dll (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - D:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - D:\Program.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

160. bopUK, 14.08.2007 09:57
А вот это что такое?

O1 - Hosts: 127.0.0.2 voodoo.org darkside.org


Или тут еще посмотри: http://www2.nag.ru/forum/lofiversion/index.php/t34029-50.html
Там про system101.dll пишут.

161. Биомеханик, 14.08.2007 10:13
bopUK
А вот это что такое?

O1 - Hosts: 127.0.0.2 voodoo.org darkside.org


Смотри внимательнее - у гражданина Apache крутится.

162. bopUK, 14.08.2007 10:28
Биомеханик
Я с Апачи ни разу не сталкивался. Не думал, что это для него.

163. Morfius, 15.08.2007 01:10
bopUK
Да, это апачь.

-----------------
Убрал Хайджеком упоминания system101.dll, ничего не изменилось.

код:

Logfile of HijackThis v1.99.1
Scan saved at 1:06:02, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Program Files\Mail.Ru\Agent\MAgent.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\Snake\Desktop\Anthill.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Apache Group\Apache\Apache.exe
D:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\Apache Group\Apache\Apache.exe
C:\totalcmd\TOTALCMD.EXE
D:\Documents and Settings\Snake\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://vkontakte.ru/profile.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.2 voodoo.org darkside.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AuthClient] D:\Documents and Settings\Snake\Desktop\Anthill.exe
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - D:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - D:\Program.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

164. Юрий Z., 15.08.2007 02:46
а есть какие-нибудь новые файлы в system32 ?

165. Furious Angel, 15.08.2007 09:43
Ребята, спасибо вам огромное - удалось вчера консолью восстановления удалить противную dll-ку трояна, теперь вроде все в порядке!

166. bopUK, 15.08.2007 10:23
Morfius
А вот это нужно?

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://vkontakte.ru/profile.php

или это то же аппач?

167. Биомеханик, 15.08.2007 11:15
bopUK
или это то же апач?

Нет, это больше похоже на стартовую страницу при первом запуске браузера.

168. bopUK, 15.08.2007 12:10
ну тогда ой.
Остается подмена системных файлов вирусами или внедрение в системные файлы вирусов.
sfc /scan now

169. Горыныч., 17.08.2007 09:23
Нередко после того как посидишь в интернете возникает запрос (то ли на вызов браузера то ли на установление dial-up связи) в котором фигурирует имя сайта (например www.samie_luchshie_mobili.ru). Т.е. какая то рекламная фигня, которая навязчиво вемя от времени всплывает на экран. Как убрать? Касперский такие штуки не убирает. Где копать?

170. Биомеханик, 17.08.2007 09:51
Горыныч.
http://forum.ixbt.com/post.cgi?id=annc:24:38093 !!!

171. Горыныч., 17.08.2007 09:59
Биомеханик

Да в том то и дело что это судя по всему какая то простая фигня. а не вирус и прочее что нужно было уничтожать подобным инструментарием. Бывает только что обновленным касперским все почистишь, реестр руками почистишь, все подозрительное уберешь а окошко все равно лезет. Т.е. комп чистый, а эта ерунда появляется. У меня просто возникло ощущение что это какая то стандартная фича виндозы (типа как планировщик заданий) и надо просто что-то убрать в реестре.

Ладно через AVZ еще посмотрю (хорошая прога).

172. A-Gugu, 17.08.2007 23:39
Уважаемая, у меня такая проблема. Если интернет отключён, то при загрузке компютера касперский сообшает что C:\windows\system32\svchost.exe cannot connect to IP 8.255.161.254

У меня в автозагрузке никаких програм заходяших в инет нету. Также этот ип какой-то левак, трейсом не доходит до него, зацикливается.
4
Ессно, компютер всячески проверен всякими антивирусами (NAV, DRWEB, AVP, AVR, AVZ, KAV, NOD32, AVAST), адаварями, анти руткитами (Ad-aware, autoruns, hijackthis, avira anti-rootkit) и и прочее. Единственное подозрительное icesword - сказал что у меня два ИП (10.0.0.7 которым я к роутеру конечкусь, и 169.254.178.3) и на втором запушен вебсервер (которого я не запускал разумеется, icesword говорит что вебсервер запушен NT OS kernel), и также по второму ип мониторятся порты 135-139. вебсервер действительно работает если набрать этот адрес в броузере, получаю 404 ошибку, т.е. сервер действительно работает!

Всё это я обнаружил случаянно - клавиатура стала лагать в играх.

Что делать?

173. Биомеханик, 18.08.2007 00:34
http://www.nic.ru/whois/?query=8.255.161.254

174. A-Gugu, 18.08.2007 00:40
Биомеханик

Дык это я посмотрел в первую очередь.

левел3 - огромная компания предоставляюшая доступ по разным каналам.

175. Юрий Z., 18.08.2007 01:23
netstat -a -b

176. A-Gugu, 18.08.2007 02:10
Юрий Z.

приведённая мною инфа содержит результаты такой команды.

Да, еше IceSword сказал (выделил красным) что подозрительно что csrss.exe запустил cmd.exe. Я оттуда-же убил csrss.exe. Комп ушёл в рестарт.

177. Юрий Z., 18.08.2007 02:37
тогда можно с помощью processexplorer посмотреть

да, cmd под explorer должен быть

178. A-Gugu, 18.08.2007 02:56
А что конкретно смотреть то?

179. vsMsf, 19.08.2007 15:13
У меня сломался интернетэксплорер IE6 из WinXP32 sp2. Вываливается с ошибкой на сайтах liveinternet. и livejournal. и еще на некоторых (таких очень мало). Что это за идиотизм с ним случился и как с этим бороться?

180. PSVIC, 21.08.2007 17:20
Вначале той недели на всех компах в сети, где стоят Windows 2000 и Windows 98 (есть и такие еще ) перестал работать Internet Exporer 5. Тупо вылетает с ошибкой и все, причем при попытке лезть на любой адрес в интернете. Ставлю Opera - работает. Проверка на вирусы на этих компах ничего не показывает, типа чисто все.
Очень похоже на вирусную эпидемию, причем на машинах с XP вирусы действительно нашлись (не на всех), но там-то как раз все работает. Все, что нашел - почистил. Не знаю, что и думать...

181. Юрий Z., 21.08.2007 22:49
A-Gugu
кто вебсервер

это скорее всего в Threads у процесса, слушающего 80ый порт

182. A-Gugu, 23.08.2007 02:27
Еше глюк. Очень часто, в этой конфе, когда кликаешь по нику участника, чтобы вставить в пост, iexplore.exe падает с ошибкой в ntdll.dll .

183. Mixa1024, 23.08.2007 07:11
A-Gugu
цитата:
Уважаемая, у меня такая проблема. Если интернет отключён, то при загрузке компютера касперский сообшает что C:\windows\system32\svchost.exe cannot connect to IP 8.255.161.254
Уж не глюк ли это Касперыча?

184. samid, 23.08.2007 13:51
Существуют ли в IE6 встроенные методы борьбы со всплывающими окнами?

185. Биомеханик, 23.08.2007 14:03
samid
Существуют ли в IE6 встроенные методы борьбы со всплывающими окнами?

http://www.google.com/search?client=opera&rls=en…tf-8&oe=utf-8

186. samid, 24.08.2007 13:00
Биомеханик
виноват, забыл сказать, что у меня не XP, а Windows 2000. в IE6 SP1 popup blockera нет

187. avk-04, 06.09.2007 15:44
Гопода что делать у меня после запуска компа в темповских файлах обнаруживаю файл и каждый раз его убиваю: File C:\WINDOWS\Temp\startdrv.exe is infected with trojan Win32/Rootkit.Agent.EY. The file can be deleted. It is strongly recommended that you back up any crucial data before you proceed.

И нашел еще 3 файла taskman.exe по адресам:
1.С:\Windows размер этого файла 15360 на диске 16384
2.С:\Windows\system32 размер этого файла 15360 к на диске 16384
3.С:\Windows\system32\dllcache размер этого файла 15360 к на диске 12288

Что делать с этим всем добром? Помогите. Заранее спасибо.

188. Биомеханик, 06.09.2007 16:32
avk-04
http://forum.ixbt.com/post.cgi?id=annc:24:38093

189. Bazru, 06.09.2007 20:00
Кто скажет что это за хрень - Win32 TrojanPWS LdPinch
Периодически ее антивирус ловит - удаляю - потом опять появляется, насколько опасная вещь?

190. Биомеханик, 06.09.2007 20:16
Bazru
http://www.yandex.ru/yandsearch?text=Win32+TrojanPWS…inch&numdoc=0

http://www.google.com/search?client=opera&rls=en…tf-8&oe=utf-8

191. Mixa1024, 06.09.2007 20:33
Bazru
Кто скажет что это за хрень - Win32 TrojanPWS LdPinch
Я скажу. Это означает, что Вы попали, причем довольно прилично. LdPinch -- исключительно трудноудаляемая и мерзкая штука, которой выходит чуть ле не по 2 модификации в месяц. Основная цель -- кража паролей от всего, что есть в системе. Кардинальный выход -- переустановка ОС начисто, если будете лечить -- ОЧЕНЬ ВНИМАТЕЛЬНО прочитайте сначала про конкретно подхваченную модификацию Пинча, они сильно различаются порой по производимым действиям.

PS. Умеет обходить файерволл Windows.

Добавление от 06.09.2007 20:33:

Пароли свои поменяйте срочно, конечно же..

Добавление от 06.09.2007 20:36:

Х-хххыы
Ссылка на Google, данная Биомехаником, находит ВАШ ЖЕ постинг

192. Bazru, 06.09.2007 23:24
Mixa1024
Читал уже про нее - одни пишут, что это просто ошибки Lavasoft в распозновании вируса, у кого установлен агент MAİL.RU, то многоие жалуются на эту хрень, у меня антивирус с фаерболом от F-SECURE, за год еще не одного вируса не пропустил, а это стало появлятся после того, как я установил агент майл.ру, счас снес его посмотрим будет ли опять вылазить....
Спасибо всем за ссылки... читаю

193. Mixa1024, 07.09.2007 01:04
Bazru
у кого установлен агент MAİL.RU
Ранние версии оного определялись как троян, но я сейчас не могу вспомнить, каким антивирусом.
Но упоминание про LdPinch не может быть связано с MRA, иначе взвыло бы уже очень много людей, а потом бы взвыл мейлру.

у меня антивирус с фаерболом
Вы с ним аккуратнее. Тут один товарищ лет пару назад тоже откуда-то спер шаровую молнию (Fireball), так мы от него до сих пор аккумуляторы заряжаем


после того, как я установил агент майл.ру
Позвольте, а откуда Вы его (агент) скачали? По сети шляется огромная куча затрояненных версий MRA.

194. Bazru, 07.09.2007 08:19
Mixa1024
Скачал с сайта mail.ru, вчера вечером снес его, пока все тихо, будем смотреть что будет дальше....

Добавление от 07.09.2007 21:22:

Вот опять вылезла эта гадость, просмотрите плиз лог HiJack:
Logfile of HijackThis v1.99.1
Scan saved at 21:44:39, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\IDU\awServ.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\Anti-Virus\fsrw.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\Intel\IDU\iptray.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Media Key\MagicKey.exe
C:\Program Files\Media Key\OSD.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
E:\Antivirus\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Metamail IEPlugin - {C09C9904-FD44-11D6-A711-00105AC8F168} - C:\PROGRA~1\METAMA~1\METAMA~1\IE\IEPlugIn.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: PROMT - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - C:\Program Files\PRMT8\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Media Key.lnk = C:\Program Files\Media Key\MagicKey.exe
O8 - Extra context menu item: &Block this popup - C:\Program Files\F-Secure\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Online-словари - C:\Program Files\PRMT8\PRMTIE\oda.htm
O8 - Extra context menu item: Автоматически определить шаблон тематики - C:\Program Files\PRMT8\PRMTIE\aot.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Настроить параметры перевода - C:\Program Files\PRMT8\PRMTIE\options.htm
O8 - Extra context menu item: Незнакомые слова - C:\Program Files\PRMT8\PRMTIE\infopanel.htm
O8 - Extra context menu item: Открыть словарную статью - C:\Program Files\PRMT8\PRMTIE\addentry.htm
O8 - Extra context menu item: Перевести - C:\Program Files\PRMT8\PRMTIE\translat.htm
O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT8\PRMTIE\page.htm
O8 - Extra context menu item: Поиск в Интернете - C:\Program Files\PRMT8\PRMTIE\search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настроить параметры перевода - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://83.239.130.195/VatDec.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V…cab?1181405440515
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FB327C9-2E77-453E-BF8F-CB1417DE1F15}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Что тут есть нехорошего?

195. Q&Q, 10.09.2007 11:11
Стоит только открыть любую страницу, как модем начинает что-то активно качать и продолжает что-то закачивать, даже после закрытия браузера. При этом сильно падает скорость, а модем.

Подскажите, из-за чего так.

код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:56, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Voron\Рабочий стол\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

196. bopUK, 10.09.2007 16:45
Q&Q
Что бы не гадать что и где качает - поставьте firewall и посмотрите что и куда ломиться в это время.
У вас может вот это качать:
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
По-моему эта штука связана с SB Live.
Ну или Firefox чего то качает, напр. список неблагонадежных инет сайтов или обновления расширений....

Добавление от 10.09.2007 16:46:

Или может WinUpdate чего то докачивает или антивирус (его кстати неплохо бы поставить, а то у вас машина незащищенная совсем)......

197. Mixa1024, 11.09.2007 09:05
C:\WINDOWS\vsnpstd3.exe
У Вас есть вебкамера от MSI? Иначе троян.

198. Bazru, 11.09.2007 12:24
Mixa1024
Вебкамера есть, но не от MSI.... похоже на троян?

199. bopUK, 11.09.2007 12:45
Bazru
http://www.processlibrary.com/directory/files/vsnpstd3
цитата:
vsnpstd3.exe is a process associated with CameraMonitor Application from Sonix. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.

Author: Sonix
Part of: CameraMonitor Application
Common Path(s): %windir%\vsnpstd3.exe

и тут
http://www.fbmsoftware.com/spyware-net/process/vsnpstd3_exe/2885/

200. Андрей Синицын, 11.09.2007 13:27
Помогите! Не могу нормально работать!
Симтомы:
1. Постоянно закрываются окна IE.
2. Все страшно тормозит, особенно в интернете. С огромным трудом, ожидая по 5-10 минут открытия каждой страницы, часто

при невозможности пользоваться прокруткой и глюков с ссылками, с 9-ти утра до часа дня, осилил 7 страниц этой ветки.
3. Постоянно мигает огонек использования HDD. Как будто я на него чего-то пишу. И с интернетом, и без.
4. В интернете загрузка процессора иногда доходит до 100 процентов. Это при том, что ничего, кроме чтения вот этой вот

ветки я не делал, а процессор хоть и старый, но пока держится - P IY 2,4 и один гиг оперативки.


Так как IE примерно каждые две -три минуты "захлопывается" - применил военную хитрость - пишу в блокноте, а затем

попытаюсь вставить готовый текст в пост
Итак, по сути - Что сделал за последие часы:

1. Проверка Касперским ничего не дала - все, по его мнению, чисто. По крайней мере на системном диске. Проверку остановил,

так как он запланировал проверяться до вечера
2 При попытке восстановить систему прохожу выбор точки восстановления, выбираю ее ... дохожу до нажатия "далее".
И вот именно далее и начинаются чудеса с этой кнопкой "далее". Она послушно нажимается, но ... ничего не происходит.
Какую бы точку я не выбирал и сколько бы не ждал
3. Про Адваре. Коротко - обнаружил 34 критических обьекта и все на этом. Их уничтожение ничего не дало.
4. Создал ветку "Постоянно закрываются страницы IE", но по каким-то причинам ее закрыли. Хотя ни решения проблемы, ни

аналогичных тем поиском по конфе найдено не было .
5. Скачена программа hijackthis. Лог которой привожу:
[ code ]
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:42:19, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\WINDOWS\System\Inst.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Program Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\FlashGet\flashget.exe
C:\Downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.ixbt.com/?id=userposts
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\7z.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\magent.exe -LM
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe HideIcon
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ANDY_W~1\LOCALS~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3FC603E-F9DD-4E7D-BE79-4E298790FC8E}: NameServer = 212.48.193.38 212.48.193.36
O21 - SSODL: MSN Messenger - {280A7B65-8F00-438F-3E5A-1F039433FE60} - C:\WINDOWS\system32\dssdll32.dll
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - C:\WINDOWS\system32\wmldap.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6965 bytes

[ /code ],

Пожалуйста не ругайте меня, если где-то среди оставшихся, недочитанных страниц этой ветки уже подробно описывалось решение

аналогичной проблемы. Поверьте, искать эту инфу в моей ситуации очень сложно. Страница постоянно закрывается, потом по

полчаса грузится, потом по полчаса по ней ползешь так как все жутко тормозит, а то и вообще бездействует.
Создавать повторно новую тему с названием именно этой, конкретной разновидностью бага IE не решаюсь, чтобы не вызвать гнев

нашего модератора. Хотя остаюсь при своем мнении - при постоянно "захлопывающихся" страницах эксплорера людям удобнее

искать ответ в ветке с названием именно этой проблемы, а не искать по полдня в многостраничном и общем FAQ по IE.
Заранее благодарен за ЛЮБУЮ идею, так как работа горит, а открывать рабочую программу считаю (возможно ошибочно) делом

рискованным - при попытке открыть Неру она выдала что-то типа: "Файл был изменен и Нера загрузиться не может. Проверьте на

вирусы и переустановите программу".
Мне переустанавливать свою программу будет проблематично, так что не рискую ее запускать.

201. Mixa1024, 11.09.2007 13:40
Андрей Синицын
C:\WINDOWS\System\Inst.exe

PWSteal.Tarno.k (http://en.securitylab.ru/notification/238261.php)
цитата:
Registers IEHelper.dll as a browser help object, so that it executes every time Internet Explorer starts.
Вот он у Вас и закрывается, болезный

202. bopUK, 11.09.2007 14:12
код:
C:\WINDOWS\System\Inst.exe

засланец.

код:
UserInit=C:\WINDOWS\system32\userinit.exe,[b]C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\7z.exe[/b]

не понятно что там делают файлы c++.exe и 7z.exe

И вот это то же.
код:
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install

203. Mixa1024, 11.09.2007 14:37
bopUK
не понятно что там делают файлы c++.exe и 7z.exe
И вот это то же.

Как что?

Agent.OH
TrojanDownloader.Small.EQN
Nuwar.Gen

204. Андрей Синицын, 11.09.2007 14:40
Mixa1024
Спасибо!
Сходил по ссылке, почитал...
Нашел у себя Inst.exe
Так как на странице, указанной Вами, способов удаления вируса не было, переименовал Inst.exe в old_Inst.exe.
Пока не помогло... Может, надо перезагрузиться?
Остальных симптомов, описанных по ссылке:
%system%\IEHelper.dll
и записей в регистре - не нашел

205. Mixa1024, 11.09.2007 14:50
переименовал Inst.exe в old_Inst.exe.
Если бы троянцы так легко удалялись, простым переименованием

Почитайте обьявления к этой теме, там есть список ПО для борьбы.

206. Андрей Синицын, 11.09.2007 15:03
bopUK

Спасибо за c++.exe и 7z.exe!
Тоже их переименовал, но, как понял из поста Mixa1024
- это- мертвому припарка
Так что полез в рубрику "Программы для борьбы:"

PS/Кстати, это трояны не могут мне загубить exeшник моей рабочей программы? Если я буду в оффлайне?
А то очень нужно данные забросить

PPS/ Кстати, оба файла появились в системе одновременно, в 9-45 утра...
Что я делал в это время?
Да вроде как - ничего... Открыл письмо на маил.ру недавно. С рекламой. Но никаких файлов в самом письме не открывал. Просто оно было отправлено от одного однофамильца - знакомого. Открыл - смотрю реклама какая-то - и закрыл опять...
Да... еще в начале сентября искал песню MP3 одну. Лазил по всяким сайтам... может, там чего "подцепил"...

207. bopUK, 11.09.2007 15:12
Андрей Синицын
Читать (http://forum.ixbt.com/post.cgi?id=annc:24:38093) внимательно и лечить. Переименовывать не нужно, только глобальная чистка и естессно или в SafeMode или подцепив хард к рабочей системе.

208. Андрей Синицын, 12.09.2007 11:31
Прочел. Не знаю, насколько внимательно. Наверное, настолько, что понял - гадость это порядочная.
Что сделал?
Скачал и проверил систему программой AVZ4.
Нашла кучу троянов, большую часть удалила.
Загрузился в безопасном режиме. Еще чего-то удалила.
Загрузился с другого харда. Еще удалила. Почему-то так и неудаленные (пару файлов переименоав, добавив old: old_ip6fw.sys и old_runtime2.sys.
Перезагрузился. И что же? Система все равно подтормаживает. Видеоредактор крейтит файлы раз в пять медленнее, а при прьевью зачастую заикается звук, чего ранее не было.
Опять запустил AVZ. Та ОПЯТЬ нашла какие-то трояны. Часть "успешно удалила", а часть, в том числе злополучные, переименованные файлы СНОВА попали в красный список! Несмотря на то, что теперь уже фигурирут в названиях с приставкой! old_runtime2.sys, наприер. Как он вообще мог запуститься, если переименован!
Потом... AVZ дало несколько советов. Типа - служба какая-то включена, а это нежелательно. Но найти, где это отключено - очень трудно. Одну отключил, а на второй - застрял, так и смог найти - где отключается разрешение вызывать помошника для удаленного доступа, например... Почему-то эти службы разбросаны все в разных местах... Но не суть, идем дальше
Поставил AVZ в режим Гард.
Посмотрел процессы. Winlogon был красным. Остановил процесс. Порты проверил. Некоторые были непонятными и, ИМХО, ненужными. Например, Ati зачем-то занимало порт. НО... отключить его не получилось - не нашел, как это сделать. Да и, думаю, закрыл бы один порт, Ati вылезла бы в другом. Надо что в ней самой менять...
Потом винты... Так и "похрустывают" постоянно помигивая красным огоньком!. Всегда ли так было? Не помню уже. Вот сейчас. Пишу пост. Чего там к винтам -то обращаться-то? Оперативки целый гиг!
Самое же ПЕЧАЛЬНОЕ было то, что не смог открыть ряд программ! Mail.ru Agent, The Bat!, Неру!!!
Некоторые сообщали, что-то типа Вам отказано в доступе, а некоторые (Нера) вообще сказала - нет такого файла и вообще предложила удалить ярлык из списка!
ВОПРОС - кто все это натрворил с Мышком, Нерой и т.д.? Вирус? Или сама программа AVZ?
РЕЗЮМЕ. Похоже, в лучшем случае придется каждый раз, при входе в систему, ее чистить
А в худшем - переустановить Винду...

209. Биомеханик, 12.09.2007 11:39
Андрей Синицын
Скачал и проверил систему программой AVZ4.
Нашла кучу троянов, большую часть удалила.
Загрузился в безопасном режиме. Еще чего-то удалила.


Понравилось слово "чего-то".

210. Андрей Синицын, 12.09.2007 11:58
Понял, кто лишал меня прав к доступу к Маил.ру Агенту и Мышке! AVZ Гард! Отключил его и смог спкойно проверить почту
Да, и еще хорошая новость! Страницы вроде как перестали сами собой закрываться!
Очевидно, спасибо надо сказать Mixa1024!
Это он надоумил меня переименовать Inst.exe в old_Inst.exe. Видимо, после этого самопроизвольное захлопывание страниц и пропало ...

Биомеханик
Сорри... думал, по наивности : "Сейчас тут почищу все и забуду о проблеме, как о страшном сне! Чего тут запоминать названия всех этих троянов!"
Сейчас понял - был не прав. Забыть не удасться. Придется знакомиться основательно, а имена - записывать. Для начала

211. Андрей Синицын, 13.09.2007 12:15
Все! Доисправлялся!
Полез в настройки AVZ4, в автозапуск.
Убил там запуск Inst.exe и...
Винда перестала запускаться!
Доходит до Вход - нажимаю - и... перезагрузка!
Попробовал сейфмоде - тоже самое, только к юзеру добавился "Администратор". Но все равно, при нажатии на него - перезагрузка!
Сейчас вощел в другой конфигурации, которая у меня на другом винчестере...
Но и тут, как оказалось, проблемы!
Компьютер сам, примерно через минут пять работы, перезагружается. Включается счетчик одной минуты - и...
Поставил обновление WindowsXP-KB929969-x86-RUS.exe.
Не помогло...
В службах, свойства службы RPC заменил "ничего не предпринимать" на
"повторный запуск службы при появлении ошибки"
В свойства Windows (My Computer) вкладка дополнительно
(Advanced) кнопка установки (Setting) в реазделе Startup and
recovery убрал галочку - перегрузка в случаке ошибки
Не помогло....
Поискал по Ремлеру тект сообщения - НИЧЕГО НЕТ!
На Яху кое-что нашел:
Какой-то вроде новый червь от май 2007-го, W32-VB-DQY
Советуют купить программу Sophos, чтобы его уничтожить...
Вопросы знатокам:
1. Мог ли этот червяк "перелезть" с одной конфигурации на другую, если Винды стоят на раз"

Добавление от 13.09.2007 12:16:

Сорри ... комп опять перезагружался, зараза!
на разных винтах?
2 вопрос

Добавление от 13.09.2007 12:19:

Сообщение выдает: "Система завершает работу. "C:\WINDOWS\system32\services.exe"
с кодом состояния -1073741819".
Может, кто уже сталкивался с этим?

212. mwz, 18.09.2007 21:09
Андрей Синицын
Сорри ... комп опять перезагружался, зараза!

Положите на Рабочий Стол ярлык с командной строкой:

shutdown -a

и запускайте его когда система захочет перезагрузиться.

После чего анализируйте систему в более спокойной обстановке. Хоть и под управлением трояна.

213. Андрей Синицын, 18.09.2007 22:10
mwz

Спасибо за совет!
Жаль, что немного поздновато - уже переставил Винду
Правда... вылазят теперь такие вещи, что....
Раз Вы так хорошо в этом разбираетесь, не могли бы заглянуть в соседнюю тему :
Может ли файл мгновенно после загрузки с инета изменить свои свойства? (http://forum.ixbt.com/topic.cgi?id=7:31609#l)
А то уже не только я, а уже и несколько моих друзей ломаем голову - неужели у всех одинаковый вирус?

214. mwz, 19.09.2007 01:14
Андрей Синицын
вылазят теперь такие вещи, что....

Учительница задала написать сочинение, где было бы немного о Боге, немного о королеве, немного любви и немного загадочного. Первое сочинение было сдано через 5 минут:

"-- Боже мой!, -- воскликнула королева. -- Я, кажется, беременна! От кого бы это?"


Загадочно... Но навевает мысли о том, что не мешало бы проверить как память, так и винчестер.

215. Mixa1024, 19.09.2007 01:53
Андрей Синицын
Да нормальное это явление, нормальное. Нет у вас с друзьями вируса {сейчас}...

mwz
Гы

216. dmention, 16.10.2007 18:45
К сожалению нет времени читать предыдущие страницы.

Комп подхватил какую-то заразу. При подключении к инету начинает качать трафик. Причем трафик уходит с моего компа десятками мегабайт. Раньше находил троянцев Касперским. Но перестал. Проверил Kaspersky Internet Security 7.0. Тоже ничего не находит.

Скачал HiJackThis, привожу код. Если кто-то в этом понимает, подскажите, пожалуйста. Буду признателен.

код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:34, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\Mam2Pan.Exe
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\KASPER~1\KASPER~2\KASPER~3\OESpamTest.ExE
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eka-net.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.ekanet.ru:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Mam2Pan] Mam2Pan.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~2\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\RunServicesOnce: [InstallFont1] explorer.exe "C:\WINDOWS\Fonts\"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BitWare Print Monitor.lnk = C:\BITWARE\NT\bwprnmon.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Добавить в существующий PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Добавить выделенное в существующий PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Добавить выделенные ссылки в существующий PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Добавить целевую ссылку в существующий PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Преобразовать в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Преобразовать выбранные ссылки в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Преобразовать выделенную область в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Преобразовать целевую ссылку в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://www.samsung.com/plugin/vmpinstaller/installer/components/MTSInstallers/MetaStream3.cab?url=http://www.samsung.com/Products/Monitor/LCD_Digital/web3d/940BX/page_940t.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FBFB540-EF17-414C-B91B-B58E3198A0B3}: NameServer = 85.249.39.1 85.249.32.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB6B8F0B-10E6-4ECE-9F17-8EBF1599E32E}: NameServer = 10.0.10.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Корпорация Майкрософт - (no file)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: DiRT Drivers Auto Removal (pr2amd6b) (pr2amd6b) - Buka - C:\WINDOWS\system32\pr2amd6b.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - http://video.eka-net.ru/css/images/bg-body.jpg

--
End of file - 10644 bytes

217. bopUK, 16.10.2007 20:56
C:\WINDOWS\system32\Mam2Pan.Exe
O4 - HKLM\..\Run: [Mam2Pan] Mam2Pan.Exe

218. dmention, 16.10.2007 21:02
bopUK
C:\WINDOWS\system32\Mam2Pan.Exe
O4 - HKLM\..\Run: [Mam2Pan] Mam2Pan.Exe


Убить и то и другое?

219. bopUK, 16.10.2007 21:12
для начала посмотреть что это такое. Может что то полезное.

220. Mixa1024, 16.10.2007 23:59
C:\WINDOWS\mHotkey.exe
Есть мультимедийная клавиатура Chicony? Иначе Trojan.PWStealer.LdPinch .

221. mwz, 17.10.2007 02:21
c4
Как минимум -- O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll

"Троян-флудильщик"
Смотреть хотя бы http://www.sarov.ws/forum/lofiversion/index.php/t1510.html

222. bopUK, 17.10.2007 10:18
во, его то я пропустил.
Однозначно в мусор
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
самое любимое место стало у троянов в винлогон прописываться.

223. dmention, 17.10.2007 22:42
Как от этого грамотно избавиться?

224. Mixa1024, 17.10.2007 22:49
dmention
Как от этого грамотно избавиться?
http://forum.ixbt.com/post.cgi?id=annc:24:38093

225. Офицер, 21.10.2007 11:57
IE не грузит страницы. Работает только Опера.
Скачал прогу HiJack This , вот код:


код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:53:24, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Mail.Ru\Agent\MAgent.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Opera\Opera.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.google.ru
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.ru
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.google.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.mail.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Documents and Settings\Admin.OLEG-0FL45BTYV8\Application Data\Mra\Update\mrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)
O1 - Hosts: auto.search.msn.com 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\WINDOWS\TEMP\pft81A6~TMP\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Program Files\GetRight\xx2gr.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - D:\Program Files\E-Book Systems\FlipAlbum 5 Pro\FpLaunch.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-71766C641316} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {C1EA1782-8E6E-4ea4-9800-B68DE41F1A26} - (no file)
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O3 - Toolbar: (no name) - {954F618B-0DEC-4D1A-9317-E0FC96F87865} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Global Startup: CTFMON.lnk = D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &GigaBar Serach - res://D:\Documents and Settings\Admin.OLEG-0FL45BTYV8\Рабочий стол\gigasoft.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Добавить страницу в URL-Album - D:\Program Files\URL-Album\ua.htm
O8 - Extra context menu item: Найти с помощью Рамблера - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
O8 - Extra context menu item: Опубликовать в Дневнике - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
O8 - Extra context menu item: Поиск@Mail.Ru - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM
O8 - Extra context menu item: Словари@Mail.Ru - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Добавить страницу в URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75053} - D:\Program Files\URL-Album\ua.htm (HKCU)
O9 - Extra button: (no name) - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O9 - Extra 'Tools' menuitem: Открыть URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O13 - WWW Prefix: http://www.
O13 - Home Prefix: http://www.google.ru
O13 - Mosaic Prefix: http://www.google.ru
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.ru/s/v/24.16/uploader2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2959E0BF-3013-4776-872F-6FCF010BA7E1}: NameServer = 82.200.130.10 212.19.149.226
O20 - AppInit_DLLs: d:\windows\system32\d3dfac.dll D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll,D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: iexplore - ZBow5.dll (file missing)
O21 - SSODL: eplrr - {DD3C19EF-3470-4764-BE5C-A91B36F73579} - (no file)
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Sysctl Desktop Handler - {12345678-0000-0010-8000-00AAFF6D2EA4} - (no file)
O22 - SharedTaskScheduler: DDE Module - {DABB03E9-AC0D-3740-E3E5-4B37C80837E5} - (no file)
O22 - SharedTaskScheduler: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - (no file)
O22 - SharedTaskScheduler: (no name) - {C569B8DA-D929-4c57-9ADD-C071C13C1FAD} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - Unknown owner - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE (file missing)
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ScsiAccess - Unknown owner - D:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: Speed Disk service - Unknown owner - D:\Program Files\Speed Disk\nopdb.exe (file missing)
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 11047 bytes

226. mwz, 21.10.2007 23:42
c1
AppInit_DLLs: d:\windows\system32\d3dfac.dll -- что-то непонятное. Я бы отключил, и проверил бы, что это за зверь -- d3dfac.dll. Ну а в этой же строке стоящий Agnitum\OUTPOST возможно и не нужен, если в качестве брандмауэра работает Касперский: иначе получается дублирование, которое в ряде случаев приводит к нежелательным эффектам.

O1 - Hosts: auto.search.msn.com 127.0.0.1
Кто-то через файл %windir%\system32\drivers\etc\hosts замкнул Поиск по сайту MS на собственно данный компьютер.

O20 - Winlogon Notify: iexplore - ZBow5.dll (file missing)
Останки трояна. Это, и все что с пометкой "(no file)" -- удалить из Реестра (похоже что вы некорректно деинсталлировали ряд программ -- и они не прибрали за собой Реестр; да и другие останки троянов возможны).

O13 - WWW Prefix: http://www.
O13 - Home Prefix: http://www.google.ru
O13 - Mosaic Prefix: http://www.google.ru


Абсолютно не то, что должно быть. Во всех трёх (там в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes ещё несколько -- видимо правильных ключей) позициях должно быть просто
http://

Ну и масса дополнительных панелей (toolbars), которые устойчивости IE не добавляют.

227. dmention, 24.10.2007 10:25
Mixa1024
dmention
Как от этого грамотно избавиться?
http://forum.ixbt.com/post.cgi?id=annc:24:38093


Скачал AVZ. Обновил базы.

Выставляю все настройки на максимум проверки. Начинает проверять и через некоторое время комп уходит на перезагрузку. Запускал пару раз. Одно и тоже.

Ничего видимо не почистил, т.к. проблема осталась. Зато перестал работать один из очень нужных виртуальных синтезаторов. Даже и не знаю как и кого за это благодарить! ))

228. Биомеханик, 24.10.2007 10:40
dmention
Начинает проверять и через некоторое время комп уходит на перезагрузку.

В безопасном режиме - аналогичная ситуация?

229. dmention, 25.10.2007 09:49
Биомеханик
dmention
Начинает проверять и через некоторое время комп уходит на перезагрузку.

В безопасном режиме - аналогичная ситуация?


Пока не пробовал.

Вчера в безопасном проверил Касперским Internet Security 7.0. Нашел три троянские программы, файлы *.sys и *.dll в папках C:\Windows\System32 и C:\Windows\System32\Drivers. Предлагает удалить, удаляю. По одному (C:\WINDOWS\SYSTEM32\sysfldr.dll) пишет, что будет удален при перезагрузке, по остальным ноль эмоций. При перезагрузке снова выдает сообщение, что остались не обработанные объекты. Делаю лечить все, снова удаляю, та же история. В указанных папках я вчера этих файлов не нашел (скрытые и системные показывает).
Поставил на ночь снова проверять комп. Результат пока не знаю.

230. Tsuname, 01.11.2007 17:35
Подскажите плз в чем может быть проблема. Часто замечаю что в трее висят непонятные iexplore.exe, хотя на самом деле все IE закрыты. Cкорость интернета упала. Ни один из антивирей - DrWeb, Norton Antivirus, Outpost Anti-Spyware, Ad Aware не находит ничего кроме Tracking Cookie. Вот лог HijackThis. Может ктото сможет помочь...

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:29:44 AM, on 11/1/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\XP\System32\smss.exe
C:\XP\system32\csrss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\System32\svchost.exe
C:\XP\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Outpost\outpost.exe
C:\XP\Explorer.EXE
C:\XP\System32\CAPRPCSK.EXE
C:\Program Files\Miranda\miranda32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Download Master\dmaster.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Temp\Rar$EX00.141\HiJackThis_v2.exe
C:\XP\system32\NOTEPAD.EXE
C:\XP\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Nnueee
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: 64.95.71.183 testweb.mblast.com
O1 - Hosts: 216.240.129.100 moxdev.moxme.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Outpost\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Outpost\feedback.exe /dump s_startup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\XP\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\XP\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XP\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A493A45-3635-4FE4-B7E4-40D43E88C590}: NameServer = 195.5.46.12 195.5.46.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: reset5 - C:\XP\SYSTEM32\reset5.dll
O22 - SharedTaskScheduler: I?aacaa?oc?ee Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\XP\System32\browseui.dll
O22 - SharedTaskScheduler: Aaiii eyoa eaoaai?ee eiiiiiaioia - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\XP\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ?o?iae niauoee (Eventlog) - Корпорация Майкрософт - C:\XP\system32\services.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Outpost\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\XP\system32\services.exe
O23 - Service: Oaiaaia eiie?iaaiea oiia (VSS) - Корпорация Майкрософт - C:\XP\System32\vssvc.exe

--
End of file - 5504 bytes

231. bopUK, 01.11.2007 17:46
Tsuname
Лог скопируй сюда : http://www.hijackthis.de/en
и по пунктам смотри.
Видимо стоит начать с SP1 -> SP2

Только если грохнуть
O20 - Winlogon Notify: reset5 - C:\XP\SYSTEM32\reset5.dll
то винда то же канет в лета.
Или винды чистые?

232. МАКСИМ, 09.12.2007 00:14
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:03:27, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Downloads\qip8010\qip.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\PROGRA~1\FLASHGET\flashget.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MAKSIM~1.MAK\LOCALS~1\Temp\Rar$EX00.422\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Maksim.MAKSIM\Application Data\Mra\Update\mrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {3AAC4C68-AFC8-11DB-80EF-8AF955D89593} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: (no name) - {f015f320-ab08-11db-abbd-0800200c9a66} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [QIP2005] C:\Downloads\qip8010\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM
O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195415838656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195416502578
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5525440-01AC-47D5-B8C0-334A6F113176}: NameServer = 195.54.2.1 212.57.145.253
O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6852 bytes

Может кто-то сможет что-нибудь определенное сказать; я ничего криминального не нашел

233. bopUK, 09.12.2007 19:17
O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll

http://virusinfo.info/showthread.php?t=14339

234. МАКСИМ, 09.12.2007 20:22
bopUK
Спасибо, а ведь я его недавно отключал из загрузки

235. Anrie, 12.12.2007 03:30
Не охото плодить темы.....
У меня при загрузке системы выбрасывает окно с надписью...."Windows не удалось найти “C\WINDOWS\eksplorasi.exe”. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопочку «Пуск», а за тем выберите команду «Найти».".......
что бы это могло значить??? Может из-за какого-то вируса????

Добавление от 12.12.2007 03:49:

И ещё как-то воспользовался одним антивирусником, который сдесь мне подсказали... помогло буквально на 3-4 дня не больше.... теперь все заново..... при входе на локальные диски предлогает выбрать программу для открытия......и так на протяжении 2-х недель.....
Может кто-то подсказать в чем дело..... это не АВТОРУН однозначно........ Через нод определил что это какой-то троянчик......

236. Биомеханик, 12.12.2007 09:44
Anrie
У меня при загрузке системы выбрасывает окно с надписью...."Windows не удалось найти “C\WINDOWS\eksplorasi.exe”

цитата (http://katesgasis.com/2006/11/20/removing-eksplorasiexe-from-winxp/):
AVG Anti-Virus and Anti-Spy together with Spybot S&D didn’t remove W32/Brontok. Sophos did (http://www.sophos.com/support/disinfection/brontok.html) .

Может кто-то подсказать в чем дело..... это не АВТОРУН однозначно........

Вот там вот спрашиваем: Не открываются логические диски (http://forum.ixbt.com/topic.cgi?id=22:67332)

237. Anrie, 12.12.2007 13:55
Спасибо конечно, но у меня в школы был немецкий, поэтому ничго не могу понять....

238. Биомеханик, 12.12.2007 14:25
цитата:
BRONTGUI is a disinfector for standalone Windows computers
open BRONTGUI (http://www.sophos.com/support/cleaners/brontgui.com)
run it
then click GO.
Скачал, запустил, нажал GO

239. dosvidos, 21.12.2007 20:40
код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:16:04, on 21.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\VideoMate\ComproScheduler.exe
C:\Program Files\Common Files\VideoMate\ComproRemote.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Downloads\Программы\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.rambler.ru/]http://www.rambler.ru/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 [url=http://www.alcohol-soft.com]www.alcohol-soft.com[/url]
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] "C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TweakYC.lnk = C:\Program Files\VideoMate\ComproPVR 2\TweakYC.exe
O4 - Global Startup: ComproScheduler.lnk = C:\Program Files\Common Files\VideoMate\ComproScheduler.exe
O4 - Global Startup: ComproRemote.lnk = C:\Program Files\Common Files\VideoMate\ComproRemote.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191149030405]http://www.update.microsoft.com/windowsupdate/v6/V5C…cab?1191149030405[/url]
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Вот что пишет касперский:
1 Приложение C:\WINDOWS\system32\winlogon.exe (PID:844)
2 Значение C:\Documents and Settings\Postman\Local Settings\Application Data\Microsoft\Windows\TempClassesHive.da
3 Ключ \REGISTRY\USER\S-1-5-21-789336058-1770027372-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
При запуске игр,к примеру WoW(в других ситуациях пока не проявлялся) касперский выдает это сообщение, причем несколько раз.

240. kaktus, 04.01.2008 14:32
подскажите
у меня была проблема - залез какой-то червь, поселился в svchost.exe и постоянно лез на адреса 208.72.169.*
из фаерволов только atguard - он детектировал постоянно исходящие соединения на эти адреса (на разные) - в итоге создал правило для блокировки и забыл на время
немного позже, установив касперского 6.0.621 проверил систему и благополучно вылечил все эту заразу
цитата:
вылечено: троянская программа Trojan.Win32.Patched.bh Файл: C:\WINDOWS\system32\svchost.exe
ну и еще немного всякой фигни
затем в atguard удалил правило блокировки (чтоб проверить, не лезет-ли чего-нибудь наружу) - никаких исходящих соединений замечено небыло
НО в статистике активных подключений atguard'a одно из этих соединений осталось висеть (если посмотреть через netstat или tcpview) - то оно находится в состоянии CLOSE_WAIT
что это значит? троян до сих пор присутствует? (но сетевой активности не производит)
или на это соединение не стоит обращать внимание?
спасибо

241. Биомеханик, 04.01.2008 15:24
kaktus
НО в статистике активных подключений atguard'a одно из этих соединений осталось висеть

Ограбление музеев - статья.

PS. http://support.microsoft.com/kb/314056/ru

242. kaktus, 04.01.2008 20:52
Биомеханик
что atguard - древняя прога - это понятно
но все-таки - конкретный ответ есть?
или все-таки есть повод для беспокойства
и что все-таки значит CLOSE_WAIT

243. Mixa1024, 04.01.2008 20:59
kaktus
и что все-таки значит CLOSE_WAIT
Означает, что система ждет либо каких-то данных, которые не получила, либо сигнал на закрытие сокета удаленной стороной.

244. kaktus, 04.01.2008 21:10
Mixa1024 спасибо
а как бы это сокет самому закрыть (просто если делать в tcpview - terminate connection - соединение все равно остается (возобновляется))

245. LegaTT, 09.01.2008 10:48
помогите убрать рамблер с домашн.страницы!
пробовал удалять все куки,временн.файлы также кокнул,пробовал гугл и т.д. установить в качестве дом.стр ни фига не получается рамблер стоит как стоял
ад сварэ время отвремени останавливает куки рамблера ....
нод32 стоял бдил

246. Биомеханик, 09.01.2008 10:52
LegaTT
ни фига не получается рамблер стоит как стоял

Rambler-ICQ установлена?

247. LegaTT, 09.01.2008 10:55
не помню ася есть но с рамблера ли ...(работаю ща)

248. Kaizer, 09.01.2008 21:15
Привет,
возникла проблема с IE7 под Вистой. ИЕ сначала просто закрывался, а теперь выкидывает ошибку вот такого типа
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: iexplore.exe
Версия приложения: 7.0.6000.16575
Штамп времени приложения: 470c3339
Имя модуля с ошибкой: StackHash_d6aa
Версия модуля с ошибкой: 0.0.0.0
Штамп времени модуля с ошибкой: 00000000
Код исключения: c0000005
Смещение исключения: 00000000
Версия ОС: 6.0.6000.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: d6aa
Дополнительные сведения 2: 550813108d42c370043e28bb37aac5af
Дополнительные сведения 3: d6aa
Дополнительные сведения 4: 550813108d42c370043e28bb37aac5af

В связи с этой проблемой (сначала IE просто сам закрывался) проверил систему Avira AntiVir PE Classic с последними базами. Потом проверил Windows Защитником, т.к. результатов видимых не получил. Антивирус нашел след. вирус, который есть у меня в карантине: HEUR/Exploit.HTML (в виде файла "47f50023.qua")
Что сделать еще - не знаю. Подскажите кто знает, пожалуйста! Система на ноуте, оч. не хочется переставлять...

Добавление от 09.01.2008 21:29:

Хотел добавить, что закрывается не от всех подряд страниц. Пока заметил только Софт.Маил.ру и МоиСервисы у Яндекса...

Добавление от 09.01.2008 21:34:

Меньше вылетать стало когда почистил КЕШ. Но самое обидное, что вирусня умудрилась таки заполсти на систему, где стоят все заплатки и обновления, хочется найти этого вирмейкера и оторвать ему кое-что

249. Kaizer, 10.01.2008 18:36
Ура!!!!! Проблему решил! Просканил ноут бесплатным сканером от Dr.Web - CureIt! . Он нашел одну adware, точно названия не помню, как-то ad.bit, че-то такое, название файла - ConnectionServices.dll . Хотя вроде бы это утилита с сайта летитбит.ру (халявный сервак типа рапидшары), но после удаления длл-ки Ослик перестал вылетать с вышеуказанных страниц.
Счас поставил Панду Антивирус 2008 (чисто поприкалываться), но она опять что-то нашла и вылечила. Т.к. проверка пока не завершена, то сказать не могу, что это...
Спасибо кто помог

250. ZanZag, 10.01.2008 19:33
Биомеханик, вот мой списочек... подробности я уж в асе писал.
из злобного но не упомянутого - сейчас еще и синхро с КПК через эктивСинк не работает... запускается начинает анализировать, потом просто идет ругня и подвисание эктивСинка...
Если важно - могу еще раз все подробности в асю изложить.

- 25 Лет, клянусь богом, профессор, ничего подобного. (ц)

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:10, on 10.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Download Master\dmaster.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Opera9\Opera.exe
C:\Program Files\The Bat!\thebat.exe
C:\Program Files\Far\Far.exe
C:\Program Files\Far\Plugins\DragnDrop\HOLDER.DND
C:\APP\MirandaIM-0.6\miranda32.exe
D:\Distr\HijackThis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.237.99:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\ia64kd.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Создание Избранного на мобильном устройстве - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Создать Избранное на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FAR Background Copy Service (FARBCopy) - Unknown owner - C:\Program Files\Far\Plugins\bcopy_1_2_54\bcsvc.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 7993 bytes

251. Биомеханик, 10.01.2008 20:02
ZanZag
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\ia64kd.exe,

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21780706

252. Юрий Z., 11.01.2008 01:35
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe - дополнительный поток в svchost.exe

253. schturmvogel, 11.01.2008 16:31
А есть ли горячая клавиша, для создания копии текущей страницы в новой вкладке (Ctl + N открывает новое окно)?

254. Биомеханик, 11.01.2008 17:47
schturmvogel, ты о чём вообще?

255. Seregaaa, 17.01.2008 03:10
такая трабла:
при запуске эксплорера он стартует с xbash.ru чё только не делал. прогнал адварой, АВЗ и каспером. нашёл несколько троянов но xbash.ru никуда не пропадает.
вся Фишка в том что походу из за этой траблы не работает печать из эксплорера, то есть при нажатии контрл-Р появляется ошибка при печати"ошибка при выполнении этой операции". всё остальное в винде работает
код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:54:37, on 17.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\bank_win\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\install\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = google.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Антивирус Касперского.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {884DFC1F-0E2A-48ED-8A93-FF60C0BF76B1} (AXToolsX Control) - [url=https://dbo.uralsib.ru/cab520/bssural.cab]https://dbo.uralsib.ru/cab520/bssural.cab[/url]
O16 - DPF: {FB80FA57-8C28-4E02-BE2D-42C08E69A2E1} (InstLib) - [url=https://dbo.uralsib.ru/cab520/InstLib.cab]https://dbo.uralsib.ru/cab520/InstLib.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{005D3A9D-4D6F-45DC-8877-FA70FBF78AE5}: NameServer = 192.168.30.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C248A8A4-2379-49B8-932B-7BB073652E6C}: NameServer = 192.168.30.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{005D3A9D-4D6F-45DC-8877-FA70FBF78AE5}: NameServer = 192.168.30.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{005D3A9D-4D6F-45DC-8877-FA70FBF78AE5}: NameServer = 192.168.30.1
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O21 - SSODL: ExEng - {9D98B9E2-FD19-4F21-AE98-08B32A9049BE} - C:\WINDOWS\system32\search32.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySql - Unknown owner - c:\bank_win\mysql\bin\mysqld-nt.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - [url=http://www.daler.ru/pictures/animals/dogs/jelqyn34z7n082ume9kj27h3m267v4cm_2.jpg]http://www.daler.ru/pictures/animals/dogs/jelqyn34z7…7h3m267v4cm_2.jpg[/url]

256. bopUK, 17.01.2008 10:20
Не понятно что это:
020 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O21 - SSODL: ExEng - {9D98B9E2-FD19-4F21-AE98-08B32A9049BE} - C:\WINDOWS\system32\search32.dll
скорее всего троян.


И вот эти вам нужны (это какие то терминальные клиенты банка)?
O16 - DPF: {884DFC1F-0E2A-48ED-8A93-FF60C0BF76B1} (AXToolsX Control) - https://dbo.uralsib.ru/cab520/bssural.cab
O16 - DPF: {FB80FA57-8C28-4E02-BE2D-42C08E69A2E1} (InstLib) - https://dbo.uralsib.ru/cab520/InstLib.cab

257. ArcticCat, 18.01.2008 15:08
Кошмар...
При установке Logitech SetPoint 4.24 (http://www.logitech.com/index.cfm/428/130&cl=ru,ru) (в Vista Ultimate 32-bit) забыл снять галку с дополнительной гадости, которую этот SetPoint в итоге установил. Теперь постоянно выскакивает вот такое (http://farm3.static.flickr.com/2406/2200956139_cd0da16767.jpg) окно поиска, приходится его постоянно закрывать по многу раз. Снос этого SetPoint (корректный, через Установку и удаление программ) ничего не изменил - это popup окно с неким поиском попрежнему выскакивает. Никогда бы не подумал, что родные драйвера от Logitech могут устроить такое западло. Либо дело может быть не в них, просто совпадение?
Антивирус стоит NOD32 2.70.39 - но он ничего такого не обнаружил, по крайней мере его монитор резидентный ни слова ни сказал...
Как от него избавиться?

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:36:05, on 18.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\mobsync.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ABBYY Lingvo 12\LvAgent.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\ACD Systems\RU\DevDetect.exe
C:\Program Files\PRMT8\PRMTED\EDLauncher.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\PRMT8\PRMTED\prmedsvr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NeroGadgetCMServer.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\PRMT8\PrmtSvr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Помощник по входу в Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PROMT - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - C:\Program Files\PRMT8\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /F "C:\Windows\TEMP\E_SD29C.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [EDLauncher] C:\Program Files\PRMT8\PRMTED\EDLauncher.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Online-словари - C:\Program Files\PRMT8\PRMTIE\oda.htm
O8 - Extra context menu item: Автоматически определить шаблон тематики - C:\Program Files\PRMT8\PRMTIE\aot.htm
O8 - Extra context menu item: Добавить в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Добавить выделенное в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Добавить выделенные ссылки в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Добавить целевую ссылку в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Настроить параметры перевода - C:\Program Files\PRMT8\PRMTIE\options.htm
O8 - Extra context menu item: Незнакомые слова - C:\Program Files\PRMT8\PRMTIE\infopanel.htm
O8 - Extra context menu item: Открыть словарную статью - C:\Program Files\PRMT8\PRMTIE\addentry.htm
O8 - Extra context menu item: Перевести - C:\Program Files\PRMT8\PRMTIE\translat.htm
O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT8\PRMTIE\page.htm
O8 - Extra context menu item: Поиск в Интернете - C:\Program Files\PRMT8\PRMTIE\search.htm
O8 - Extra context menu item: Преобразовать в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Преобразовать выбранные ссылки в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Преобразовать выделенную область в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Преобразовать целевую ссылку в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Отправка в блог - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Отправка в блог Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настроить параметры перевода - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldru-ru.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-37b421c6758dfb94.spaces.live.com/PhotoUpload/VistaMsnPUpldru-ru.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE11C7D-15AC-4A50-88C2-FE1104C9A7B8}: NameServer = 195.54.192.33 195.54.192.39
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe
--
End of file - 14498 bytes

258. y_wiktor, 20.01.2008 17:47
Подскажите, плз.

Касперский начал ругаться при входе в Internet Explorer. Пишет про внедрение в процесс. Настроек не менял, в чем проблема?

Нашел описание своей проблемы на 7-8 страницы этой темы:

Furious Angel
Но вроде остались какие-то следы, правда теперь avp ругается на: потенциально опасное ПО Invader, Процесс: C:\WINDOWS\system32\winlogon.exe - каждую секунду этот процесс пытается куда-то вылезти, касперь его блокирует...
Furious Angel
(Процесс C:\WINDOWS\system32\winlogon.exe (PID: 844): попытка внедрения в другой процесс заблокирована.)

На 8 странице есть решение, но я не как не пойму, что мне нужно подчистить у себя.


код:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:32:38, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\brss01a.exe
D:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Program Files\NetUP\UTM5_wintray\utm5_wintray.exe
D:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
D:\WINDOWS\system32\Brmfrmps.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\tcpsvcs.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Documents and Settings\Виктор\Рабочий стол\антивирус\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.rambler.ru/]http://www.rambler.ru/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 [url=http://www.custom]www.custom[/url]
O1 - Hosts: 127.0.0.2 custom
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - D:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] D:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NVRTCLK] D:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] D:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [MMReminderService] D:\Program Files\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ETraffic] D:\Program Files\ETraffic 2.0.5\ETraffic.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "D:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [utm5_wintray] C:\Program Files\NetUP\UTM5_wintray\utm5_wintray.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yupdate!] "D:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = D:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Анализ результатов поиска - [url=http://www.be1.ru/stat/serp-analiz.html]http://www.be1.ru/stat/serp-analiz.html[/url]
O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: Найти с помощью Рамблера - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
O8 - Extra context menu item: Опубликовать в Дневнике - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A88D04B-BAFA-4ACE-A07B-9F6CF4139C0C}: NameServer = 192.168.128.197
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D34B3C7-C561-4B83-A1F5-1302E7D7C26D}: NameServer = 192.168.128.197,192.168.128.199
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - D:\PROGRA~1\Solo9\SoloRes.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O20 - Winlogon Notify: crypt32set - D:\WINDOWS\Media\fuwarxyus.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - D:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9327 bytes

259. Юрий Z., 21.01.2008 01:33
fuwarxyus.dll в папке Media - интересно...

260. y_wiktor, 21.01.2008 14:12
Юрий Z.
fuwarxyus.dll в папке Media - интересно...

Юрий Z. спасибо большое, это именно этот файл (dr.Web показал что это троян).
fuwarxyus.dll - удалил.

Проблема активности пропала, но появилась новая: после удаления зашел в интернет, и через пару минут появилось предупреждение, что некоторые файлы у WINDOWS заменены, и появился вход на какой-то игровой сервис.

Ни касперский, ни др.веб, ни нод32 ничего подозрительного сейчас не находят.
Пару подозрительных файлов, которые нашел AVZ, отправил им на анализ, жду ответа.

Что-нибудь еще подозрительное из лога видно? Подскажите, пожалуйста.

261. ArcticCat, 27.01.2008 17:48
В продолжение вопроса (http://forum.ixbt.com/topic.cgi?id=24:38093:257#257) по некоему выскакивающему окну поиска...
Забыл написать, что это Vista Ultimate 32-bit.
Отцы, что это за окно поиска выскакивает я так и не выяснил пока... Никто с таким не сталкивался?
Точно такое же окно стало выскакивать и на ноутбуке, который цепляли по сети к этому компу... Зараза размножается.

262. serjmin, 28.01.2008 01:27
Всем привет.Проблема у меня вот какая: где-то месяц назад страницы интернета стали плохо открываться.Во первых очень медленно, во вторых где-то в 80 % могу открыть только refresh-om . После restarta- лучше,но скоро опять то же самое.Скорость нета у меня хорошая.ESET молчит. Может кто знает что проиcходит? Заранее говорю спасибо.

263. Kaizer, 28.01.2008 02:01
serjmin
проскань CureIt! от Др.Веб. У меня тоже была проблема с Осликом, т.к. он не открывал некоторые сайты, точнее он закрывался на них с ошибкой, а Др.Веб нашел заразу и удалил, стало всё работать. До этого кстати тоже был ESET

264. pantel, 31.01.2008 07:32
Процессы svchost и winlogon (иногда порознь, иногда вместе) ломятся на разные адреса по http и smtp портам.
Прогнал все рекомендованное, но проблема не ушла.
Может кто наметанным глазом найдет врага?

код:

Logfile of HijackThis v1.99.1
Scan saved at 9:18:47, on 31.01.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Common Files\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\STacSV.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Dfsr.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\VMware\VMware Workstation\hqtray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\FTPSRV~1\ftpserv.exe
C:\Program Files\Punto Switcher\ps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\panteleev\Desktop\sysinternals\Tcpview.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINDOWS\system32\mstsc.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [FTP Server] C:\FTPSRV~1\ftpserv.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = C:\Program Files\Miranda IM\miranda32.exe
O4 - Startup: Вырезка экрана и программа запуска для OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\2007\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: LanWhoIs - {F96A9D15-8486-414D-9ACE-312197E3364F} - C:\PROGRA~1\LANTRI~1\LanWhoIs\lanwhois.htm
O9 - Extra 'Tools' menuitem: LanWhoIs - {F96A9D15-8486-414D-9ACE-312197E3364F} - C:\PROGRA~1\LANTRI~1\LanWhoIs\lanwhois.htm
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted IP range: http://192.168.100.53
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190092674368
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190092654461
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - http://192.168.100.53/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://192.168.100.53/plugin/h263ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ons.net
O17 - HKLM\Software\..\Telephony: DomainName = ons.net
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: znetm32 - C:\WINDOWS\SYSTEM32\znetm32.dll
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Program Files\Common Files\Acronis\Agent\agent.exe
O23 - Service: Acronis Backup Server Service (AcronisBackupServerService) - Unknown owner - C:\Program Files\Acronis\BackupServer\backupserver.exe (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Acronis Group Server (GroupServer) - Acronis - C:\Program Files\Acronis\GroupServer\GroupServer.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Intel Alert Handler - LANDesk Software Ltd. - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - LANDesk Software Ltd. - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - LANDesk Software Ltd. - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Auto-upgrade Agent (Smcinst) - Unknown owner - C:\Program Files\Symantec AntiVirus\SmcLU\Setup\smcinst.exe (file missing)
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


265. bopUK, 31.01.2008 10:31
O20 - Winlogon Notify: znetm32 - C:\WINDOWS\SYSTEM32\znetm32.dll
вот это не понятно что.

266. pantel, 31.01.2008 11:09
bopUK
похоже вы правы..
убрал, пока тихо
не нашел только, что же это за хрень

267. Биомеханик, 31.01.2008 11:11
O20 - Winlogon Notify: znetm32 - C:\WINDOWS\SYSTEM32\znetm32.dll

http://www.tek-tips.com/viewthread.cfm?qid=1399541&page=5

268. saga, 03.03.2008 11:51
Здравствуйте!
Помогите! На ноутбуке WinXP Prof подцепил трояна (сам в этом не разбираюсь).

Поведение - после загрузки и входа в систему через некоторое время начинает рассылать письма по smtp во все концы света.
По нетстат показывает, что слушает порты 5421 (возможно, порты меняются).
Лог от симантека (вот, зараза, проглядел он это дело) показывает, что всякие челы ломятся по tcp, что и вынуждает комп делать рассылки.
Поставил блокировку всех входящих tcp connections, рассылка остановилась, но перестали работать некоторые программы.

Касперский нашел в одном из архивов Trojan-Dropper.Win32.KGen.di но где и какое лекарство от этого дела?
Да, возможно, что рассылкой занимается и какой-то другой троян!

Памагите!

код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:40, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Realtek\Rtl8180\RtlWake.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccLgView.exe
C:\TEMP\DOWNLOADS\PROCESSEXPLORER_11.02__WWW.SOFTLANDER.RU_\PROCESS EXPLORER V. 11 .02\PROCEXP.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: Ярлык для MobileBalance.lnk = C:\Temp\Downloads\MobileBalance\MobileBalance.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: glmf - C:\WINDOWS\SYSTEM32\glmf.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 14406 bytes


269. bopUK, 03.03.2008 12:17
O20 - Winlogon Notify: glmf - C:\WINDOWS\SYSTEM32\glmf.dll

270. saga, 03.03.2008 23:16
bopUK

O20 - это что - бэкдор? И что с этим делать?

271. bopUK, 04.03.2008 09:39
это рассыльщик писем.
Надо галочку поставить в HijackThis на нём и почистить.

272. Lil' Shaq, 19.03.2008 01:20
Друзья, у меня есть проблема с IE7 - он отображает flash анимацию (баннеры), что больно бьёт по карману, когда серьёзно расходуется GPRS-трафик...

В настройках удалось избавиться только картинок, но флэш-вставки остаются (mail.ru, одноклассники итд). Подскажите, как отключаются flash элементы? (adobe flash player не установлен вообще).

273. Юрий Z., 22.03.2008 02:11
в сторону ActiveX объектов нужно смотреть

274. Litp, 22.03.2008 09:51
Доброго времени суток. У меня проблема такого плана: подцепил неизвестную заразу, активность которой проявляется следующим образом: при открытии какой либо папки, файла, программы, новой страницы интернета вылетает псевдосистемное ругательство на английском языке, которое сообщает о том, что мой комп заразился неизвестным трояном, действия которого могут нанести непоправимый вред моим данным. И предлагает скачать некую программу - якобы лечилку, чтобы почистить мою систему. Пару раз нажимал кнопку ОК, в результате чего открывалась некая вебстраница с симулированием сканера системы, в итоге работы которой в моей системе якобы было обнаружено что-то около десятка "страшных и ужасных троянов и вирусов". Проверка системы avg и outpost'ом результатов не дала. avg не обнаружил ровным счетом ничего, outpost не смог открыть несколько десятков папок и файлов. Заранее благодарен любым комментариям и ругательствам в мой адрес.
Прилагаю лог проверки системы программой hijack this.
код:
Logfile of Trend Micro HijackThis 

v2.0.0 (BETA)
Scan saved at 12:43:46, on 21.03.2008
Platform: Windows Vista (WinNT

6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program

Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program

Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BenQ\Q-

HotkeyMgr\HotkeySensor.exe
C:\Program Files\ABBYY Lingvo 12

\LvAgent.exe
C:\Program Files\Grisoft\AVG7

\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-

Spyware 7.5\avgas.exe
C:\Program Files\Microsoft

Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_04

\bin\jusched.exe
C:\Program Files\Agnitum\Outpost

Firewall Pro\op_mon.exe
C:\Program Files\Siber Systems\AI

RoboForm\robotaskbaricon.exe
C:\Program Files\Windows Media

Player\wmpnscfg.exe
C:\Program Files\Microsoft

Office\Office12\ONENOTEM.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\ABBYY Lingvo 12

\Lingvo.exe
C:\Program Files\Grisoft\AVG7

\avgwb.dat
C:\Windows\explorer.exe
C:\Program Files\Internet

Explorer\IEUser.exe
C:\Program Files\Internet

Explorer\iexplore.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\system32

\Macromed\Flash\FlashUtil9b.exe
D:\instalation\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?

LinkId=54896
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

http://www.benq.com
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?

LinkId=54896
R0 - HKLM\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?

LinkId=69157
R0 - HKLM\Software\Microsoft\Internet

Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet

Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Program Files\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) -

{22BF413B-C6D2-4d91-82A9-A0F997BA588C}

- C:\Program

Files\Skype\Toolbars\Internet

Explorer\SkypeIEPlugin.dll
O2 - BHO: Media Player Classic -

{486D0362-657B-4771-B56D-AE29AA31B78B}

- C:\Windows\ausctv32a.dll
O2 - BHO: (no name) - {724d43a9-0d85-

11d4-9908-00400523e39a} - C:\Program

Files\Siber Systems\AI

RoboForm\roboform.dll
O2 - BHO: Groove GFS Browser Helper -

{72853161-30C5-4D22-B7F9-0BBC1D38A37E}

- C:\PROGRA~1\MICROS~2\Office12

\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB

-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Program Files\Java\jre1.6.0_04

\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download

Master - {9961627E-4059-41B4-8E0E-

A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1

\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50

-42A9-983C-D22ABC2EED3C} - C:\Program

Files\Download Master\dmbar.dll
O3 - Toolbar: &RoboForm - {724d43a0-

0d85-11d4-9908-00400523e39a} -

C:\Program Files\Siber Systems\AI

RoboForm\roboform.dll
O4 - HKLM\..\Run: [Windows Defender]

%ProgramFiles%\Windows

Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Unattend0000000001

{FABF7ECC-A462-4210-AFD9-

7BE89478CE8E}] wscript.exe

c:\windows\winbom.vbs
O4 - HKLM\..\Run: [S3Trayp]

S3trayp.exe
O4 - HKLM\..\Run: [RtHDVCpl]

RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh]

C:\Program

Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl]

"C:\Program

Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut]

"C:\Program

Files\CyberLink\PowerDVD\Language\Lang

uage.exe"
O4 - HKLM\..\Run: [NeroFilterCheck]

C:\Program Files\Common

Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Unattend0000000001

{7B2B01FD-7A4F-4A38-B777-

DDB468796437}] wscript.exe

c:\windows\winbom.vbs
O4 - HKLM\..\Run: [Q-HotkeyMgr]

"C:\Program Files\BenQ\Q-

HotkeyMgr\HotkeySensor.exe"
O4 - HKLM\..\Run: [Q-MediaBar]

"C:\Program Files\BenQ\Q-

MediaBar\QBar.exe" /stop
O4 - HKLM\..\Run: [Lingvo Launcher]

"C:\Program Files\ABBYY Lingvo 12

\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC]

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

/STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware]

"C:\Program Files\Grisoft\AVG Anti-

Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Program

Files\QuickTime\QTTask.exe" -

atboottime
O4 - HKLM\..\Run: [GrooveMonitor]

"C:\Program Files\Microsoft

Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Program Files\Java\jre1.6.0_04

\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostFeedBack]

"C:\Program Files\Agnitum\Outpost

Firewall Pro\feedback.exe"

/dump:os_startup
O4 - HKLM\..\Run: [outpost_uninst]

C:\Users\7B9C~1

\AppData\Local\Temp\_uninstop.exe /u
O4 - HKLM\..\Run: [MSConfig]

"C:\Windows\system32\msconfig.exe"

/auto
O4 - HKLM\..\Run: [OutpostMonitor]

C:\PROGRA~1\Agnitum\OUTPOS~2

\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [Sidebar] C:\Program

Files\Windows Sidebar\sidebar.exe

/autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program

Files\Skype\Phone\Skype.exe" /nosplash

/minimized
O4 - HKCU\..\Run: [RoboForm]

"C:\Program Files\Siber Systems\AI

RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [WMPNSCFG]

C:\Program Files\Windows Media

Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar]

%ProgramFiles%\Windows

Sidebar\Sidebar.exe /detectMem (User

'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run:

[WindowsWelcomeCenter] rundll32.exe

oobefldr.dll,ShowWelcomeCenter (User

'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run]

C:\PROGRA~1\Grisoft\AVG7\avgw.exe

/RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar]

%ProgramFiles%\Windows

Sidebar\Sidebar.exe /detectMem (User

'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run]

C:\PROGRA~1\Grisoft\AVG7\avgw.exe

/RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run]

C:\PROGRA~1\Grisoft\AVG7\avgw.exe

/RUNONCE (User 'Default user')
O4 - Startup: Installation Monitor.lnk

= C:\Program Files\Ashampoo\Ashampoo

UnInstaller Platinum 2\UIWatcher.exe
O4 - Startup: Вырезка экрана и

программа запуска для OneNote 2007.lnk

= C:\Program Files\Microsoft

Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Ускоренный запуск

Adobe Reader.lnk = C:\Program

Files\Adobe\Acrobat 7.0

\Reader\reader_sl.exe
O8 - Extra context menu item:

&Перевести с помощью ABBYY Lingvo... -

res://C:\Program Files\ABBYY Lingvo

12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт

в Microsoft Excel - res://C:\PROGRA~1

\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать

ВСЕ при помощи Download Master -

C:\Program Files\Download

Master\dmieall.htm
O8 - Extra context menu item: Закачать

при помощи Download Master -

C:\Program Files\Download

Master\dmie.htm
O8 - Extra context menu item:

Заполнить формы - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item:

Настроить Меню - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComCustomizeIEMenu.ht

ml
O8 - Extra context menu item:

Сохранить формы - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Тулбар

RoboForm - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}

- C:\Program Files\Java\jre1.6.0_04

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java

Console - {08B0E5C0-4FCB-11CF-AAA5-

00401C608501} - C:\Program

Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Отправка в блог -

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}

- C:\Program Files\Windows

Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Отправка

в блог Windows Live Writer -

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}

- C:\Program Files\Windows

Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Отправить в OneNote

- {2670000A-7350-4f3c-8081-

5663EE0C6C49} - C:\PROGRA~1\MICROS~2

\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem:

&Отправить в OneNote - {2670000A-7350

-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12

\ONBttnIE.dll
O9 - Extra button: Заполнить -

{320AF880-6646-11D3-ABEE-C5DBF3571F46}

- file://C:\Program Files\Siber

Systems\AI

RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Заполнить

формы - {320AF880-6646-11D3-ABEE-

C5DBF3571F46} - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComFillForms.html
O9 - Extra button: Сохранить -

{320AF880-6646-11D3-ABEE-C5DBF3571F49}

- file://C:\Program Files\Siber

Systems\AI

RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Сохранить

формы - {320AF880-6646-11D3-ABEE-

C5DBF3571F49} - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm -

{724d43aa-0d85-11d4-9908-00400523e39a}

- file://C:\Program Files\Siber

Systems\AI

RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Тулбар

RoboForm - {724d43aa-0d85-11d4-9908-

00400523e39a} - file://C:\Program

Files\Siber Systems\AI

RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Skype - {77BF5300-

1474-4EC7-9980-D32B190E9B07} -

C:\Program

Files\Skype\Toolbars\Internet

Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master -

{8DAE90AD-4583-4977-9DD4-4360F7A45C74}

- C:\Program Files\Download

Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download

Master - {8DAE90AD-4583-4977-9DD4-

4360F7A45C74} - C:\Program

Files\Download Master\dmaster.exe
O9 - Extra button: Research -

{92780B25-18CC-41C8-B9BE-3C9C571A8263}

- C:\PROGRA~1\MICROS~2\Office12

\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS -

{88FED34C-F0CA-4636-A375-3CB6248B04CD}

- C:\PROGRA~1\MICROS~2\Office12

\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962

-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\COMMON~1

\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1

\agnitum\outpos~2\wl_hook.dll
O20 - Winlogon Notify: avgwlntf -

C:\Windows\SYSTEM32\avgwlntf.dll
O22 - SharedTaskScheduler: Component

Categories cache daemon - {8C7461EF-

2B13-11d2-BE35-3078302C2030} -

C:\Windows\system32\browseui.dll
O23 - Service: Agnitum Client Security

Service (acssrv) - Agnitum Ltd. -

C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: AVG Anti-Spyware Guard

- GRISOFT s.r.o. - C:\Program

Files\Grisoft\AVG Anti-Spyware 7.5

\guard.exe
O23 - Service: AVG7 Alert Manager

Server (Avg7Alrt) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service

(Avg7UpdSvc) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield

Service (AvgCoreSvc) - GRISOFT, s.r.o.

- C:\PROGRA~1\Grisoft\AVG7

\avgrssvc.exe
O23 - Service: NMIndexingService -

Nero AG - C:\Program Files\Common

Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo

Service(CRVS) (RichVideo) - Unknown

owner - C:\Program

Files\CyberLink\Shared

Files\RichVideo.exe
O23 - Service: @%systemroot%\system32

\SearchIndexer.exe,-103 (WSearch) -

Корпорация Майкрософт -

C:\Windows\system32\SearchIndexer.exe
O23 - Service: XAudioService -

Conexant Systems, Inc. -

C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11306 bytes

275. GiantBB, 22.03.2008 18:52
Доброго времени суток. Несколько дней назад комп подцепил какую-то заразу. Симптомы: блокирован диспетчер задач, в браузере открывается множество окон с адресом "http://s3.cookingluck.com/?pid=6082&v=18".
С помощью антивирусов и антишпионских программ (Symantec, CureIt, Kaspersky portable и др.), а также вручную (по подозрению Process Expl.) был удален ряд зараженных файлов, сейчас они ничего не находят, однако проблема осталась.
Подскажите что это и чем можно победить заразу, работать уже совершенно невозможно.
Лог прилагается
код:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:34, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Ideazon\ZEngine\Zboard.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Screen Calendar\scrcal.exe
C:\PROGRA~1\AVANTB~1\avant.exe
C:\Program Files\Download Master\dmaster.exe
E:\Programs\Antivirus\hijackthis\hijackthis_1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: WRL Advisor - {B50BD3D8-04AA-4A1A-9F8F-3CB46ECE6453} - C:\WINDOWS\drnpfdxdlm.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Zboard] C:\Program Files\Ideazon\ZEngine\Zboard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Screen Calendar] "C:\Program Files\Screen Calendar\scrcal.exe" -m
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Загрузить ссылку при помощи Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O10 - Broken Internet access because of LSP provider 'worsock.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{14356946-CE76-4F44-94B4-EA5F774BDCA2}: NameServer = 192.168.128.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B8592E3-92AB-4AAB-AA01-D65520A620FD}: NameServer = 213.132.64.82 213.132.67.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{14356946-CE76-4F44-94B4-EA5F774BDCA2}: NameServer = 192.168.128.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{14356946-CE76-4F44-94B4-EA5F774BDCA2}: NameServer = 192.168.128.200
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O21 - SSODL: RamWin - {913731c0-ec5c-4595-96b5-8a76c26e3f5c} - C:\WINDOWS\Installer\{913731c0-ec5c-4595-96b5-8a76c26e3f5c}\RamWin.dll
O21 - SSODL: zip - {0110a0d0-0ddb-44f2-b843-b58f5bf5a14a} - C:\WINDOWS\Installer\{0110a0d0-0ddb-44f2-b843-b58f5bf5a14a}\zip.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Монитор описаний Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE NetDDEAlerter (NetDDEAlerter) - Unknown owner - C:\WINDOWS\system32\gqd437.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

276. Юрий Z., 24.03.2008 00:16
не установлен ли стиль оформления страниц?

277. bopUK, 24.03.2008 12:08
GiantBB
У тебя целый зоопарк :)
Быстрее будет - скинь лог в http://www.hijackthis.de/en и читай комменты (особенно обрати внимание на красные кретики и желтые знаки вопроса и крестики).


Litp
а у тебя лог побитый какой то. Трудно по нему что то определить.

278. Litp, 25.03.2008 01:05
bopUK
Litp
а у тебя лог побитый какой то. Трудно по нему что то определить.

Поясните пожалуйста, что именно не так и как сие исправить.

279. Биомеханик, 25.03.2008 09:58
Litp
Поясните пожалуйста, что именно не так и как сие исправить.

Возьми не бету HiJackThis, а релиз.

280. Litp, 25.03.2008 12:11
Биомеханик
Возьми не бету HiJackThis, а релиз
Брал по ссылке, расположенной на первой странице топика. Там только бета.

281. bopUK, 25.03.2008 16:12
http://download.hijackthis.eu/hijackthis_199.zip

282. Nevermore, 05.05.2008 01:07
у меня какая-то странная ерунда происходит довольно давно в ИЕ и в МуИЕ + навископ --- при открытии некоторых сайтов (на вскидку припоминаю всего 2) регулярно кидает на сайт asia.ru, все остальные сайты открываются нормально. что это может быть?

283. Биомеханик, 05.05.2008 09:37
Может у тебя в Naviscope что прописалось?

284. Горыныч., 05.05.2008 15:34
У меня почему то появилась следующая проблема. Не работает открытие окошек браузера по нажатию <Shift>+<Левый клик мышью>. Так же не работают любые вплывающие окна. Нельзя из виндозного Проводника открыть окошко поиска (правый клик по диску, выбираем "Поиск...", ничего...). Во всех случаях всегда идет кратковременный подвис окошка (браузера или Проводника) на полминуты потом окно снова становится кликабельным. Связываю четко с интернетом. Касперский (с самыми последними базами) нашел вирусняк в интернет-кэше и удалил его. После удаления симптомы остались. В систем32 ничего не нашло.
AVZ не запускается.
Где надо копать?

285. Nevermore, 05.05.2008 16:55
Биомеханик
типа в DNS Cache?

286. Биомеханик, 05.05.2008 19:26
Nevermore, типа того.

287. Nevermore, 05.05.2008 20:24
Биомеханик
выключил я его, но все равно

288. Curiousman, 07.05.2008 20:55
В последнее время несколько раз Каспер удалял троянов, но всё равно IE как-то стал не так работать (глюковато). Вот лог, что там лишнего в системе?

код:
Logfile of HijackThis v1.99.1
Scan saved at 20:37:06, on 07.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\TechnoTrend\TT-budget\DVBData.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\SlonAx менеджер\SManager.exe
C:\Program Files\SlonAx менеджер\Progs\slnx_client.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://philka.ru]http://philka.ru[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://philka.ru/forum]http://philka.ru/forum[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://assv.ru]http://assv.ru[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.yahoo.com]http://www.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.yahoo.com]http://www.yahoo.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FLASHGET\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FLASHGET\jc_link.htm
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{03596A6D-6A85-4C9E-917C-B8C6C7D4529A}: NameServer = 217.150.34.129 212.44.130.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{03596A6D-6A85-4C9E-917C-B8C6C7D4529A}: NameServer = 217.150.34.129 212.44.130.6
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe


Были сомнения насчёт svehost.exe. Не помню раньше такого процесса. Я его удалил из System32, перестал грузиться, но вроде ничего не изменилось. IE тормозит, подвисает, вываливается с ошибкой. Сейчас в сети через Maxthon, он вроде получше IE.

289. Nevermore, 07.05.2008 22:57
svehost.exe маскировка под svсhost.exe

290. Горыныч., 16.05.2008 22:47
Мда, посидел какое то время без фаервола...

Регулярно стал падать svchost. Стали пересылаться большие объемы данных налево. После установки Касперского Internet Security, засекли подозрительные действия svchost-а (видимо из-за этого он падал) и winlogon-а. Последний открывает исходящие TCP соединения по различным интернет адресам (уже заблокировано). А svchost открывает без перерыва кучу портов подряд (4997, 4998, 4999 и т.д.).
Антивир Касперского с последними базами никаких вирусов не находит, значит системные файлы не повреждены. Что делать?

Хочется удалить заразу и снять Kaspersky Internet Security (и поставить Outpost). Уж больно тормозит...

291. bopUK, 17.05.2008 10:14
Горыныч.
HijackThis

292. Lazialle, 01.06.2008 14:40
Такая проблема (цитирую):
меня вот стряслась такая беда - после заседания за компьютером моего брата (ещё на программиста учится, блин) на компьютере обнаружил 5 троянов (Касперский). Брат их по неизвестным мне причинам отклонил в удалении. Как я всё это дело обнаружил, решил зайти к вам на сайт и вдруг в моём браузере (IE 5) выплывает реклама с... гхм... порнографическим содержанием, причём ладно там, в интернете, но и у вас на форуме, сайте, даже в локальной сети! Я с IE 5 перешёл на IE 7, но всё равно реклама прёт изо всех щелей. Помогите, пожалуйста, советами. Что сотворить такого, чтобы убрать эту рекламу (советы "перейди с Касперского на нод" или "смени браузер на Оперу или Мозиллу" не принимаю). Серьёзно!

293. Юрий Z., 01.06.2008 15:12
читайте предыдущее сообщение
и это http://forum.ixbt.com/post.cgi?id=annc:24:38093

294. Dmitry8, 27.06.2008 10:07
Последнее время каспер после загрузки постоянно лечит и удаляет какие то трояны, полная проверка компа на вирусы ничего не находит. Помогите справится с этой нечистью.
код:

Logfile of HijackThis v1.99.1
Scan saved at 10:45:41, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe
C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Distr\netams-client\nac_v1_2_0_0\nac.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\D-Link\Программное обеспечение Bluetooth\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Distr\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NeTAMS client] D:\Distr\netams-client\nac_v1_2_0_0\nac.exe /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\D-Link\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SKSAMARA.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SKSAMARA.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SKSAMARA.LOCAL
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SKSAMARA.LOCAL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kaspersky Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe


295. bopUK, 27.06.2008 10:16
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Видимо это.

296. Dmitry8, 27.06.2008 10:47
как лечить?

297. bopUK, 27.06.2008 12:38
http://virusinfo.info/showthread.php?t=4491

298. SLADE 007, 14.07.2008 02:03
Друзья, подскажите плиз, что делать? Сегодня в очередной раз обновил свой Symantec AntiVirus он ничего не нашёл ну и дальше как обычно обновил и прошёлся Ad-Aware SE Personal, последнее время давно ничего не ловил а тут сразу:

WIN32.TROJANDOWNLOADER.NEWMEDIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Файл : E:\WINDOWS\system32\dllcache\calc.exe
obj[1]=Файл : E:\WINDOWS\system32\calc.exe

WIN32.TROJAN.BAT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Файл : E:\Program Files\Total Commander\Plugins\wcx\MultiArc\Uha.exe

OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=Файл : E:\WINDOWS\prefetch\CALC.EXE-027E1228.pf

WIN32.TROJANDOWNLOADER.NEWMEDIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Файл : E:\System Volume Information\_restore{F6EF5E3E-6223-47E9-8608-CA4180E9B420}\RP427\A0058939.exe
obj[1]=Файл : E:\System Volume Information\_restore{F6EF5E3E-6223-47E9-8608-CA4180E9B420}\RP427\A0058940.exe

WIN32.TROJAN.BAT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Файл : E:\System Volume Information\_restore{F6EF5E3E-6223-47E9-8608-CA4180E9B420}\RP427\A0058941.exe

Ну и ест. я всё разом прихлопнул, как обычно, потом винды запросили диск, чтобы там файлы изменить, диск на работе, короче выбрал восстановление системы, а теперь калькулятор не работает это так на всидку, может и ещё чего и что теперь делать, выпускать из карантина E:\WINDOWS\system32\dllcache\calc.exe и E:\WINDOWS\system32\calc.exe и почему Ad-Aware определил, что это трояны? Ну с System Volume Information это вроде понятно, там частенько троянчики пасутся? Посоветуйте плиз, что в данном случае сделать. Заранее спасибо.

299. Zont.ukr, 23.08.2008 11:29
Начинающий.
1. На панеле инструментов, после сноса-установки драйвера тачпада, постоянно присутствует окно C/Прогр.файлы/Apoint2K/Apntex.exe. Вхожу-темнота, мигающий курсор и моя полная беспомощность.
2. На ноутбуке, при работе с CD/DVD приводом, загнул вверх привод. Теперь, бывает, не вылезает. Но главное- ничего не видит. В свойствах, разных диагностиках показывает, что работает нормально.
Подскажите действия спецы. Zont.ukr@gmail.com

300. Мутный, 26.08.2008 15:17
please delete post

301. valery_sev, 01.09.2008 00:43
Почитал и решил поделиться своим методом.
После очередной переустановки оси с нуля :
1) Установил нужные надстройки (флэш, Д-мастер и т.п.)
2) пуск\выполнить\gpedit.msc\конфигурация компьютера\административные шаблоны\компоненты Windows\Internet Explorer\отключить автоматическую установку компонентов IE\правый клик\свойства\пометить пункт "вкл"\применить\ОК
3) пуск\выпонить\gpedit.msc\конф. компьютера\админ. шаблоны\комп. Win\Int. Explorer\не разрешать пользователям включать и отключать надстройки\правый клик\свойства\пометить пункт "вкл"\применить\ОК

Ну и прописное :
Не сидите в сети под "админской" учёткой - создайте ограниченную на каждый день.
(Тогда этот пункт будет первым) Не столь велик дополнительный геморрой с учётками, чтобы пренебрегать этими возможностями.
Предвидя возражения замечу :
это имхо, но не мной придуманное. Я воспользовался и доволен.

302. Alex_krog, 12.09.2008 15:21
Кто может помочь пожалуста помогите!!!!!!!!!!!!!!!!!!

Открываю какой нибудь сайт и сразу выскакивает: "Плагин бесплатного доступа на сайт". На пол экрана, ни закрыть, ни передвинуть, ни хрена нельзя. Надо отправить смс на какой-то номер, ага ХРЕН им... Плагин как всегда на порнушный сайт. Задолбали эти гомосеки долбаные!!!!!!!

Короче, как убрать его без последствий. Установил оперу, такой проблемы нету!!! Пытаюсь переустановить IE7, нифига, пытаюсь зайти на Майкрософт и обновится, нифига, тупо пустую страницу открывает...

Стоит Каспер 2009 - лицензионный, 1 млн. 200 тыс баз, проверил, комп чистый, Винда тоже лицензионная, постоянно тянит обновления, всё работает чётко кроме этого Експлорэра.

Оч привык к этому браузеру и ни хочу другой. Как быть???????????

303. bopUK, 12.09.2008 20:28
Alex_krog
http://download.hijackthis.eu/HJTInstall.exe
скачать, установить, запустить, лог сюда в тегах [code]

304. Alex_krog, 13.09.2008 10:53
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:46:43, on 13.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\ReGet Software\ReGet Deluxe 5.2\ReGetDx.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: LexlibPlugin - {1094613F-84B6-4131-AEC1-71DF88291044} - C:\WINDOWS\system32\pllib.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGet Software\ReGet Deluxe 5.2\IEBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CDSlow] C:\Program Files\CDSlow\cdslow.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ReGet Deluxe.lnk = C:\Program Files\ReGet Software\ReGet Deluxe 5.2\ReGetDx.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB616B80-8BA4-4E2A-8FA6-461C940582E1}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

305. bopUK, 13.09.2008 11:23
O2 - BHO: LexlibPlugin - {1094613F-84B6-4131-AEC1-71DF88291044} - C:\WINDOWS\system32\pllib.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

306. Alex_krog, 13.09.2008 12:29
О, большое спасибо!!!!!!!!!!!!!!

А как, если не секрет, это всё определяется??? Что лишнее, а что нет!!! Просто всякое бывает, а опыта не сильно много(((((((

307. bopUK, 13.09.2008 13:12
Alex_krog
Если время много - руками и глазами (это моё хобби :).
А если времени нет - лог от программы копирую в http://www.hijackthis.de/en и смотрю чего напишут там .
Твой лог пропущен через сайт :)

308. Masterok13, 19.09.2008 11:30
bopUK
Cпасибо за разъяснение. По Вашим рекомендациям победил всплывающий эротический баннер

309. Faifere, 19.09.2008 14:58
Masterok13
bopUK

Помогите!У меня та же проблема,вчера подцепила всплывающий эротический баннер .... Как от него избавиться?
Что делать?

310. bopUK, 19.09.2008 16:34
Faifere
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #303 (http://forum.ixbt.com/topic.cgi?id=24:38093:303#303)
+ затем
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #307 (http://forum.ixbt.com/topic.cgi?id=24:38093:307#307)

311. Гладиус, 20.09.2008 08:22
Здравствуйте. У меня тоже появился эротический информер. помогите пожалуйста его удалить. Только прошу объяснить все пошагово. т.к. для меня это темный лес.
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:03:52, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Genius\ioCentre\gTaskBar.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
C:\Genius\ioCentre\gKbStatus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.yandex.ru/]http://www.yandex.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.yandex.ru/?clid=27130]http://www.yandex.ru/?clid=27130[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.yandex.ru/?clid=27130]http://www.yandex.ru/?clid=27130[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Мячики\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: xhvlibP - {076DB3D2-E5BF-474A-9A22-391ED310E525} - C:\WINDOWS\system32\xhvlib.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Мячики\Application Data\Mail.Ru\Agent\MAgent.exe -CU
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Найти на &AG.ru - [url=http://www.ag.ru/searcher_new.htm]http://www.ag.ru/searcher_new.htm[/url]
O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM
O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Мячики\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Мячики\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: [url=http://s9.travian.ru]http://s9.travian.ru[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A76507-218F-4A7B-AC30-ED56BD3E6A43}: NameServer = 195.34.32.116 212.188.4.10
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10426 bytes



добавление: немного подумал все получилось. от информера избавился благодаря информации полученной на этом форуме. Спасибо

312. Андрей77, 20.09.2008 12:12
добрый день поставил программу лог получил через сайт не получаеться проверить информер недает помагите найти информер в логе спасибо
Logfile of HijackThis v1.99.1
Scan saved at 11:53:05, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\program files\punto switcher\ps.exe
C:\program files\VolumeControl\volume.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\uphclean.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.timezero.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Admin\Application Data\Mra\Update\mrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: tyxlibP - {195100DF-4A15-4E01-B2DF-40EC81BC0538} - C:\WINDOWS\system32\tyxlib.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Punto Switcher] C:\program files\punto switcher\ps.exe
O4 - HKLM\..\Run: [VolumeControl] C:\program files\VolumeControl\volume.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/SEARCH.HTM
O8 - Extra context menu item: Словари@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientCo…cab?1219157984703
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V…cab?1219157842468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V…cab?1219157821406
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D67C3B3-1186-4ABE-8168-701A377F0EC0}: NameServer = 213.145.34.37 213.145.47.147
O17 - HKLM\System\CCS\Services\Tcpip\..\{60B3A3C2-86B9-4644-8B21-D9D766262FF1}: NameServer = 10.0.0.4
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

313. motomaniya, 20.09.2008 12:58
Здравствуйте! Очень з....л информер эро содержания......как его удалить? вот лог из вашей программы
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42:35, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAR.EXE
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mtelibP - {10D70351-EB4F-4C6C-B42C-46E5C2505C8A} - C:\WINDOWS\system32\mtelib.dll
O2 - BHO: ybylibP - {737A68E9-003D-480F-9697-604B7492BF59} - C:\WINDOWS\system32\ybylib.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\WEB\US11.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus CX4300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAR.EXE /FU "C:\WINDOWS\TEMP\E_SA9.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [SpriteService] "C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe"
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Создание избранного на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BE12CD9-8BB5-4989-BB47-98A28FCC4C8C}: NameServer = 80.237.7.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7912 bytes

обЪяснитн только плиз что и как удалять? начинающий (

314. Deadpool, 21.09.2008 10:57
Добрый день.
Как и в вышеперечисленных случаях, попал на машину информер. Вот лог.
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22:17, on 20.09.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\QIP\qip.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\QIP\Users\369270885\RcvdFiles\865215_SoulReaver\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: eoylibP - {0AFB4DBB-B2AF-4B41-AE22-295B49A9805F} - C:\WINDOWS\System32\eoylib.dll
O2 - BHO: ogqlibP - {23CF3B95-A646-4988-8793-7D4DAAE62251} - C:\WINDOWS\System32\ogqlib.dll
O2 - BHO: jrolibP - {94572B8D-9329-4EF0-BD49-F108ADEAE834} - C:\WINDOWS\System32\jrolib.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Groupware] C:\PROGRA~1\ICQCorp\ICQCorp.exe -minimize
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219938485185
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219938599185
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AD7A9CA-185B-470B-9276-A59D28046C11}: NameServer = 77.50.0.3 77.50.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{6AD7A9CA-185B-470B-9276-A59D28046C11}: NameServer = 77.50.0.3 77.50.1.3
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 6049 bytes


Если я правильно понимаю, удалению подлежат вот эти дллки:
C:\WINDOWS\System32\eoylib.dll
C:\WINDOWS\System32\ogqlib.dll
C:\WINDOWS\System32\jrolib.dll

или что-то еще?

315. Alekto, 21.09.2008 20:11
Всем добрый вечер!
Прочитала всю тему сначала, 80 процентов конечно не поняла, ибо чайник, но вот последние несколько сообщений подряд вогнали в ступор - это эпидемия, что ли У меня та же хрень - информер эротического видео, и конечно только в Эксплорере, в Опере порядок пока... КАК избавиться??? ХЕЛП!!!
Воспользовалась приведенной программой, получила отчет , вот он:

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:06, on 21.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\NetUP\UTM5_wintray\utm5_wintray.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: qrslibP - {F996A520-3396-446B-9102-753014514416} - C:\WINDOWS\system32\qrslib.dll
O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\TEMP\WUUR.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [utm5_wintray] C:\Program Files\NetUP\UTM5_wintray\utm5_wintray.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A2F98DF-11AB-45D6-BD9A-1AFB0CBF3FC0}: NameServer = 82.138.35.7 87.245.178.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A2F98DF-11AB-45D6-BD9A-1AFB0CBF3FC0}: NameServer = 82.138.35.7 87.245.178.130
O17 - HKLM\System\CS3\Services\Tcpip\..\{0A2F98DF-11AB-45D6-BD9A-1AFB0CBF3FC0}: NameServer = 82.138.35.7 87.245.178.130
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7849 bytes

===================================
Разумеется, не понимаю, что здесь лишнего... Помогите, пожалуйста!!!
И вот если там что ненужно-вражеское - как это лечить? Касперский регулярно находит каких-то троянчиков, основную массу лечит, а вот некоторые почему-то "откладывает" - и как от них избавляться?

Очень жду и надеюсь на помощь, спасибо!

316. bopUK, 21.09.2008 22:48
информер почти всегда:
C:\WINDOWS\system32\*lib.dll
где * - 3 произвольные буквы.

напр. у предыдущих жертв информера:

O2 - BHO: qrslibP - {F996A520-3396-446B-9102-753014514416} - C:\WINDOWS\system32\qrslib.dll
====
O2 - BHO: eoylibP - {0AFB4DBB-B2AF-4B41-AE22-295B49A9805F} - C:\WINDOWS\System32\eoylib.dll
O2 - BHO: ogqlibP - {23CF3B95-A646-4988-8793-7D4DAAE62251} - C:\WINDOWS\System32\ogqlib.dll
O2 - BHO: jrolibP - {94572B8D-9329-4EF0-BD49-F108ADEAE834} - C:\WINDOWS\System32\jrolib.dll
====
O2 - BHO: mtelibP - {10D70351-EB4F-4C6C-B42C-46E5C2505C8A} - C:\WINDOWS\system32\mtelib.dll
O2 - BHO: ybylibP - {737A68E9-003D-480F-9697-604B7492BF59} - C:\WINDOWS\system32\ybylib.dll
====
O2 - BHO: tyxlibP - {195100DF-4A15-4E01-B2DF-40EC81BC0538} - C:\WINDOWS\system32\tyxlib.dll
====
O2 - BHO: xhvlibP - {076DB3D2-E5BF-474A-9A22-391ED310E525} - C:\WINDOWS\system32\xhvlib.dll

и т.д.

317. Alekto, 21.09.2008 23:34
Глазам не верю - я просто его удалила, и проклятый информер сгинул!
ОГРОМНОЕ ВАМ СПАСИБО!!!

318. Иван, 23.09.2008 04:14
Помогите пожалуста удалить злосчастный информер, а то я сам не могу ладу дать. Коды ввожу не помагает (если можно что делать поэтапно)

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:28, on 2008-09-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Chameleon Clock\ChamClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Олег\Desktop\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.rambler.ru/]http://www.rambler.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://ru.intl.acer.yahoo.com]http://ru.intl.acer.yahoo.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url=http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com]http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*…tp://uk.yahoo.com[/url]
R3 - URLSearchHook: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: waylibP - {485A47AD-3CC1-4A0B-B895-34413A68BFDD} - C:\WINDOWS\system32\waylib.dll
O2 - BHO: tcglibP - {7ADC4362-8421-4C7C-BB48-6CF8C8C3DAE8} - C:\WINDOWS\system32\tcglib.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Rambler-Закладки - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/zakladki.htm
O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - [url=http://216.32.89.203/activex/vogweb29.cab]http://216.32.89.203/activex/vogweb29.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1396F6BC-87D5-4CF3-ABF7-954B09AB46AB}: NameServer = 82.151.98.154 82.151.104.80
O17 - HKLM\System\CCS\Services\Tcpip\..\{18C0A011-01F8-4695-89BD-99B27677C6C7}: NameServer = 82.151.98.154,82.151.104.80
O17 - HKLM\System\CS1\Services\Tcpip\..\{1396F6BC-87D5-4CF3-ABF7-954B09AB46AB}: NameServer = 82.151.98.154 82.151.104.80
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 13939 bytes

319. Alekto, 23.09.2008 09:43
Иван
По-моему, Вам надо удалить вот эти файлы - насколько я поняла из предыдущего совета.

bopUK
информер почти всегда:
C:\WINDOWS\system32\*lib.dll
где * - 3 произвольные буквы.


У вас их вроде два:

O2 - BHO: waylibP - {485A47AD-3CC1-4A0B-B895-34413A68BFDD} - C:\WINDOWS\system32\waylib.dll
O2 - BHO: tcglibP - {7ADC4362-8421-4C7C-BB48-6CF8C8C3DAE8} - C:\WINDOWS\system32\tcglib.dll

320. Magguz, 23.09.2008 14:58
Иван
Я бы вот что точно удалил (хотя там и ещё много непонятного):
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) * нафиг засорять реестр, если всё равно "no file"
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe (http://www.bleepingcomputer.com/startups/MediaAccK.exe-7591.html)
Также убить и удалить некое RtkBtMnt.exe в C:\Temp
И непонятно, что делает IE на рабочем столе (не ярлык, а сама программа): C:\Documents and Settings\Олег\Desktop\iexplore.exe - не вирус ли?
P.S. MAgent и Rambler-Ассистент я бы тоже снёс, но тебе виднее...

Кстати, есть такая замечательная бесплатная программка для однократного лечения вирусов, не требующая инсталяции - CureIt! (http://www.freedrweb.com/) . Было бы неплохо внести её в справочник в первом посте!

321. tvc, 24.09.2008 09:18
Как запретить появление в домашней странице адреса сайта, apeha в частности. После установки игр и игры там прописывается. Пробовал вручную вписывать запрещение сайта, не помогает.

322. Andy777, 24.09.2008 10:01
При недоступности какой-либо интернет страницы стало появляться окно с рекламой (скрин во вложении)
Windows 2000, IE6
Как можно исправить?

К сообщению приложены файлы: 1.jpg, 785x539, 57Кb

323. bopUK, 24.09.2008 12:09
tvc
Andy777
см. http://forum.ixbt.com/post.cgi?id=annc:24:38093 красными буквами.

324. tvc, 24.09.2008 13:51
bopUK
Не, у меня синии буквы. Там какие то непонятные ссылки не знаю для чего.

Добавление от 24.09.2008 13:54:

Andy777
Типа у меня тоже, когда деньги кончаются. Только страница локального сервера.

325. Биомеханик, 24.09.2008 14:01
tvc
Там какие то непонятные ссылки не знаю для чего.

Не умеете читать? Не понимаете русский язык?

326. Andy777, 24.09.2008 14:16
bopUK
см. http://forum.ixbt.com/post.cgi?id=annc:24:38093 красными буквами.
извините, но у меня при открытии ссылок с HiJackThis и сервера для закачек выходит то самое противное окошко "сервер не найден" с рекламой

327. Биомеханик, 24.09.2008 14:25
Andy777
И что? Не найти (http://yandex.ru/yandsearch?text=HiJackThis&yasoft=barff) где-нибудь ещё?

328. bopUK, 24.09.2008 14:46
Andy777
http://download.hijackthis.eu/HJTInstall.exe

329. Andy777, 24.09.2008 15:03
Биомеханик, это юмор был
bopUK,
код:

Logfile of HijackThis v1.99.1
Scan saved at 16:56:23, on 24.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
c:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Administration Kit\Nagent\klnagent.exe
D:\sonymp3\SsAAD.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\WebSynchronizer\WebSynchronizer.exe
C:\WINNT\system32\internat.exe
C:\Program Files\FlashSwitch\FlashSw.exe
C:\Program Files\UserGate\UserGate.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 83.69.224.215:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MyBHO Class - {46B9D770-1B7D-45D1-81B4-AC07B2F127EF} - C:\PROGRA~1\FLASHS~1\FlashBHO.dll
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Таймс-Терминал] C:\Program Files\Т-Тарификатор 1.4\T_Term\t_term.exe
O4 - HKLM\..\Run: [SsAAD.exe] D:\sonymp3\SsAAD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [WebSynchronizer] C:\Program Files\WebSynchronizer\WebSynchronizer.exe hidden
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: FlashSwitch.lnk = C:\Program Files\FlashSwitch\FlashSw.exe
O4 - Startup: UserGate.lnk = C:\Program Files\UserGate\UserGate.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: &Translate - http://lingvo.yandex.ru/ie5trans.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yandex &Search - http://lingvo.yandex.ru/ie5search.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222248160414
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = valeronew.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5442123-CD23-45A8-8984-75C95603740F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D489D32C-3DA1-43EC-82ED-B921EFE8017F}: NameServer = 192.168.1.1,192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = valeronew.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = valeronew.ru
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 1C:Архив 3.0. Сервер (1CADSERVER) - Unknown owner - C:\Program Files\1C Archive Server DEMO\1Cadsrv.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" -r (file missing)
O23 - Service: Kaspersky Administration Server (CSAdminServer) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Administration Kit\klserver.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: ftext_service - Unknown owner - C:\Program Files\1C Archive Server DEMO\ftext\ftext_service.exe (file missing)
O23 - Service: Kaspersky Network Agent (KLNagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Administration Kit\Nagent\klnagent.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Still Image Service (StiSvc) - Корпорация Майкрософт - C:\WINNT\system32\stisvc.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

При недоступности какой-либо интернет страницы стало появляться окно с рекламой (скрин во вложении)

P.S. проблему устранена с удалением этого:
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL

а вот это: O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
так и должно быть?

К сообщению приложены файлы: 1.jpg, 785x539, 57Кb

330. bopUK, 24.09.2008 15:38
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL

Добавление от 24.09.2008 15:39:

=============================================
Этот не стирай
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
это нормальный файл.

За это сообщение сказали спасибо: Andy777

331. tvc, 24.09.2008 19:23
Биомеханик

Программы для борьбы, ясень пень. Хотелось бы без, напрямую, путём формат С:
Что эти гады, для чего настройки встраивают в виндовс, чтобы любая апеха могла их игнорировать.

332. DavidxZooMx, 25.09.2008 20:10
помогите удалить порно информер плиз!!!
ато я не чего в этом не понимаю наверное я удалил 2 файла а информер остался((
помогите плиз


код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:10, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launchy\Launchy.exe
C:\program files\VolumeControl\volume.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.rambler.ru/]http://www.rambler.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url=http://www.kornet.ru/]http://www.kornet.ru/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: lqslibP - {7F511F0A-6D69-483C-A3F7-29419D0B07C1} - C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$DI00.500\lqslib.dll
O2 - BHO: rrylibP - {935C8FB5-7E5A-4931-A753-A2B9F012546E} - C:\WINDOWS\system32\rrylib.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Program Files\Google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll
O4 - HKLM\..\Run: [Launchy] C:\Program Files\Launchy\Launchy.exe
O4 - HKLM\..\Run: [VolumeControl] C:\program files\VolumeControl\volume.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\ereg.ini"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/search.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/dic.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - [url=http://download.divx.com/player/DivXBrowserPlugin.cab]http://download.divx.com/player/DivXBrowserPlugin.cab[/url]
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - [url=http://upload.vkontakte.ru/uploader/ImageUploader4.cab]http://upload.vkontakte.ru/uploader/ImageUploader4.cab[/url]
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9673 bytes

333. bopUK, 25.09.2008 22:21
DavidxZooMx
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #316 (http://forum.ixbt.com/topic.cgi?id=24:38093:316#316)

Добавление от 25.09.2008 22:25:

а Remote Admn
C:\WINDOWS\System32\r_server.exe
вы ставили?

335. mwz, 31.10.2008 12:58
DavidxZooMx
Я его уже на нескольких машинах удалял -- причём дистанционно: советовал скачать и запустить CureIt с сайта DrWeb. Только из-за этого банера пострадавшим приходилось уменьшать окно IE, чтобы добраться до ссылки и кнопки "Скачать".

Очень странные:
O2 - BHO: lqslibP - {7F511F0A-6D69-483C-A3F7-29419D0B07C1} - C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$DI00.500\lqslib.dll
O2 - BHO: rrylibP - {935C8FB5-7E5A-4931-A753-A2B9F012546E} - C:\WINDOWS\system32\rrylib.dll

И по ходу дела:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Program Files\Google\googletoolbar1.dll
и
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll

Вы как, пользуетесь обоими -- или обоими не пользуетесь? Если каким-то не пользуетесь -- лучше удалить (Установка/Удаление Программ).

К этой теме 31.10.2008 16:21 moderator-Bio подклеил тему ""Поселился" информер" (автор: shoont)

337. shoont, 31.10.2008 16:18
Зашел на порносайт и после выхода практически на всех открывающихся страницах (на некоторых почему-то нет) открывается информер во всю ширину экрана и в высоту 20% от экрана. Там, конечно, благодарят за "установку" этого информера и если я хочу от него "избавиться" предлагают послать СМС. Т.е. , что называется "попал". Цена вопроса не называется. Как избавиться, не подскажете? Если нетрудно поподробнее, а то я "несильный" пользователь. У меня эксплорер 6

338. mwz, 31.10.2008 18:07
shoont
Одно сообщение выше, первый абзац.

339. Dameon2, 02.11.2008 11:37
Просьба к знатокам движков зайти на сайт http://www.echo.msk.ru/ и объяснить мне, почему этот сайт так жестоко подвешивает IE7? Особенно те страницы, где много комментов. В FF и Опере я такой страшной картины не наблюдаю.
Может настройки какие подкрутить?

340. Magguz, 02.11.2008 23:29
Dameon2
Может настройки какие подкрутить?
Отключить выполенение JavaScript и ActiveX и забыть о вирусах и подвисаниях навсегда. ;)

Если серьёзно, занесите этот узел в список ограниченных и не мучайтесь - я там не увидел ничего требующего особых прав.

341. Dameon2, 04.11.2008 18:12
А никто случайно не знает, как отучить IE7 сбрасывать себя в файл подкачки при долгом неиспользовании? Я обычно вечером сворачиваю IE7, а утром при разворачивании страшный своп начинается. Я так полагаю, при долгом нахождении в свернутом виде он себя из оперативки в файл подкачки кидает.
Можно это как-то исправить? У FF такой болячки нет, например.

342. mwz, 04.11.2008 20:09
Dameon2
Вы хотите, чтобы вам дали рекомендацию в соответствии с темой? Тогда поставьте трончика, который бы взаимодействовал с IE, или программку-генератор всплывающих окон. И тот всегда будет активен.

343. Dameon2, 04.11.2008 20:47
mwz
Вы хотите, чтобы вам дали рекомендацию в соответствии с темой?
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д.
Тогда поставьте трончика, который бы взаимодействовал с IE, или программку-генератор всплывающих окон. И тот всегда будет активен.
смешно

344. bopUK, 04.11.2008 21:53
Dameon2
Вы просто не так поняли название темы. Тут не обсуждаются подобные вопросы.

345. mwz, 04.11.2008 22:46
...а обсуждаются автозагрузка, домашняя страница, трояны, всплывающие окна и т.д. (и т.д. == прочая пакость [которая проявляется при работе IE]).

346. Dameon2, 05.11.2008 14:38
bopUK
mwz
спасибо

347. MaKoUr, 06.11.2008 01:57
Известна уже точная дата релиза IE 8.0?

348. Kif62, 10.11.2008 14:40
Проблема следующая, после запуска системы в диспетчере появляется IEXPLORE.EXE от имени SYSTEM и начинает бродить по с виду безобидным сайтам типа printing.ru, dgvr.ru и т.п. Если его убить в процессах, то все работает нормально до перезагрузки. До этого были отловлены и прибиты несколько вирусов: Goldun NDP, BHO NJI, Agent AMJJ. Видимо наследие от них осталось. HijackThis вроде ничего подозрительного не находит, Cureit, AVZ и Касперский тоже, автозагрузка чистая. Где еще посмотреть эту автозагрузку IE 6?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:37, on 10.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Total Commander\Totalcmd.exe
c:\Documents and Settings\Администратор\Мои документы\Общие\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8CF9043D-68DD-49E7-BE1D-AF21A3188EF2} (FilialRemoteMonitoring Class) - https://connect.raiffeisen.ru/rmc/FilialRCon.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBECC94-5BB6-4754-8F33-DB2DB17D4277}: NameServer = 192.168.3.115
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 3692 bytes

349. bopUK, 10.11.2008 14:50
да всё чисто.

350. mwz, 10.11.2008 16:49
Kif62
Где еще посмотреть <...> автозагрузку

Autoruns из состава SysinternalsSuite (http://download.sysinternals.com/Files/SysinternalsSuite.zip)
или
Osam Autorun Manager (http://www.online-solutions.ru/files/ru/osam_autorun_manager.msi)

HijackThis -- очень полезная, однако лишь экспресс-проверка на наиболее явные гадости. Приведённые же программы обеспечивают значительно более глубокий поиск того, что запускается само -- но и требуют более квалифицированного анализа их результатов.

351. Kif62, 11.11.2008 09:06
Проблема решена с помощью RootkitRevealer и Trojan Remover

352. eugvas, 13.11.2008 16:50
Вопрос не по вирусам и троянам, а о домашней странице. Я давно использую в качестве таковой html-файл, лежащий на локальном диске, в котором, в частности, есть javascript-сценарии. Так вот Internet Explorer начиная с XP SP2 ругается на "активное содержимое" и запрещает сценарии (точнее, требует подтверждения для их разрешения, причём запомнить выбор не даёт). Не пойму, как его отучить от этого - если обычный файл со сценариями живёт в Internet, то его он не пугает, а на локальном диске - да. (к сожалению, локальные ресурсы нельзя добавить и в зону "доверенные узлы"). Как быть?

353. bopUK, 13.11.2008 18:01
eugvas
А в этой теме только про напасти-вирусы в IE пишут.

354. Magguz, 19.11.2008 12:53
Снова лечу вирус, который прописывается в userinit (WinCtrl32.dll, twext.exe). Только эта модификация какая-то хитрая. При каждом старте системы вирус произвольно загружает процессор от имени разных приложений поочерёдно. Через минуту монитор Symantec Antivirus его "отлавливает", при этом не может определить ни месторасположение, ни имя. Twext.exe прописан в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon: Userinit=... Самого файла twext.exe нет, но после удаления его пути из автозагрузки какой-то процесс прописывает его туда снова. В прежней модификации в system32 создавался неприметный файл с неисполняемым расширением, который нельзя было удалить, хотя после колдовства с unlocker'ом и убиения задачи winlogon (который, видимо, его и держала запущенным) его-таки удавалось стереть, после чего никакой вирусной активности уже не наблюдалось. Но в этот раз никаких новых подозрительных файлов я не вижу, Symantec ничего не находит, CureIt! - тоже.
Что посоветуете сделать?

355. mwz, 19.11.2008 13:39
Magguz

Вы про AVZ не забыли? Может он справится.

Иначе самым быстрым может быть загрузка с компакта на базе BartPE (http://yandex.ru/yandsearch?rpt=rad&text=bartpe) , и проведение лечения оттуда: коли twext.exe прописан в Userinit -- после выключения компа он должен садиться на винчестере именно с таким именем (возможно что при выключении троян запускает задачу по копированию сюда какого-то файла, или по извлечению twext.exe из файла-спутника).

Реестр больной системы в этом случае правится подключением [как кустов (hives); в ключ HKLM] файлов DEFAULT, SYSTEM и SOFTWARE из каталога %windir%\system32\config, а также файлов ntuser.dat из всех каталогов %userprofile%, т.е. всех пользователей.

Кустам даются индивидуальные имена (такие, чтобы не запутаться и в то же время зрительно выделить их; можно например как #DEFAULT, #SYSTEM, #SOFTWARE, #VasyaPupkin, #MaximGalkin, #DefaultUser) показывающие, откуда этот куст растёт. И здесь производится поиск и правка подозрительных включений (например, HKLM\#software\microsoft\windows\currentversion\run -- это ветвь HKLM\software\microsoft\windows\currentversion\run больной установки).

По завершении правки не забыть выгрузить все кусты (Unload hives) поочерёдно.

Файл twext.exe ищется по имени (когда найдёте -- сохраните его на флэшке, и проверьте в online на сайте Касперского; если будет признан чистым -- отправьте на newvirus[собачечка]kaspersky.com), а также прогоняете CureIt.

Хотя в большинстве случаев лечение возможно и изнутри заражённой системы, но это требует некоторой практики использования AVZ, ProcessExplorer и, реже, других системных утилит, а также умения более-менее правильно интерпретировать полученные результаты.

Добавление от 19.11.2008 13:52:

Ну и не забываем, что мы не одиноки на свете, и пользуемся результатами и методами, которые разгневанные пострадавшие уже опубликовали:

http://www.google.com/search?query=WinCtrl32.dll&num=10
http://www.google.com/search?query=twext.exe&num=10

356. Биомеханик, 19.11.2008 14:32
Magguz
Снова лечу вирус, который прописывается в userinit (WinCtrl32.dll, twext.exe).

Пфффф. Знакомая штучка. У Касперского в Конференции было описано как лечить. Судя по всему, это "Trojan-Downloader.Win32.Mutant.aim"

357. Magguz, 19.11.2008 15:34
mwz
В общем, вроде, удалось излечить. Сложность оказалась в том, что через оболочку (explorer.exe) в "проводнике Windows" twext.exe не был виден (разумется, показ скрытых и системных файлов в свойствах папки был включен), я и думал, что файла нет. Впервые с таким сталкиваюсь!
Заметил только удалённо просматривая файлы на больной машине со здоровой, тогда и принял меры. А точнее (вдруг кому-то пригодится): файл не был в списке задач, но был занят; по опыту я уже знал, что занят наверняка процессом winlogon.exe. Пришлось "убить" процесс winlogon.exe, затем убрать файл twext.exe. Без winlogon, разумеется, пришлось перезагружать систему через reset. После перезагрузки вирус больше не проявился, путь к нему в реестре я успешно стёр.
Видимая часть вируса, которая, тем не менее, ничем не распозналась (и которую я прибил сразу, как только увидел) - mssrv32.exe.
SAV определял вирус как SecurityRisk.URLRedir с неизвестным размещением.

358. mwz, 19.11.2008 15:59
Magguz
в "проводнике Windows" twext.exe не был виден (разумется, показ скрытых и системных файлов в свойствах папки был включен)

Ээээ... Я думал вы знаете... Через Проводник вообще такие вещи не делаются. Только через сторонние диспетчеры файлов (FAR, TotalCmd; да и тот же WinRAR хотя бы, который может быть использован с этой целью как и многое другое).

Ну а ProcessExplorer, который я упомянул, помог бы найти его в списке процессов, указать на каталог откуда тот запущен, и помочь перед удалением файла убить либо сам этот процесс, либо непосредственно его родителя: возможно что уровень был бы ниже уровня Winlogon (но хотя может быть и тот же Winlogon).

А WinCtrl32 тоже нашли?

359. Биомеханик, 19.11.2008 16:32
А WinCtrl32 тоже нашли?

Должен быть в Windows/System32.

360. Pepsi, 20.11.2008 19:59
У знакомого, любителя порно, появилось окно, наполовину окна броузера, там текст...отправьте смс на номер ххх и мы скажем как отключить это. Проверили антивирусом, посмотрели процессы, службы - результат ноль. Тут решил посмотреть что у нас в Управление надстройками в ИЕ...и ....там выловили эту гадость. Отключили надстройку - все ок.

361. grignet, 21.11.2008 23:43
После запуска IE, окно появляется через 15-20 сек., хотя в процессах IEXPLORE.EXE появляется сразу.
Micro HijackThis v2.0.2 выдает это, помогите!

Scan saved at 22:40:01, on 21.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\AVG\guard.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\AVG\avgas.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\PROGRA~1\DrWeb\spidernt.exe
E:\Мои Игры\Different\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Tray Tools\atitray.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Download\Antivir AVZ\avz4.30\avz4\avz.exe
C:\Program Files\AVerTV\AVerTV.exe
C:\WINDOWS\system32\taskmgr.exe
c:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CodecPlugin Class - {10153FD1-4750-4156-8DAD-9B43DE0D157F} - C:\WINDOWS\system32\CodecBHO.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Program Files\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{054BC333-B438-4700-8A2B-0D5C35D9C01D}: NameServer = 212.98.160.50 212.98.160.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBED226-1386-40F7-BD7E-6DB3B632BD5A}: NameServer = 212.98.160.50,212.98.160.65
O20 - AppInit_DLLs: C:\PROGRA~1\COMMON~1\Avest\AVESTC~1\AvSSPc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\WINDOWS\
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8367 bytes

362. mwz, 22.11.2008 00:01
grignet
А в дополнение к параллельно работающим AVZ, AVG и DrWeb не желаете ещё SAV и NOD32 установить? Тогда и полчаса можно будет ждать.

И насколько вам нужно (и с чем встало):
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

(вроде бы и безопасное приложение, занимающееся отслеживанием устанавливаемых драйверов).

Добавление от 22.11.2008 00:07:

Ну и тоже немного может иметь отношение к делу с точки зрения задержек, причём не только для IE:

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe


вместе с

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

Я бы задал вопрос на засыпку: вы знаете, чем занимаются первые две программы? И вторые две?

363. grignet, 22.11.2008 00:54
mwz
Вот список процессов:
-------------------------------
Process PID CPU Description Company Name
System Idle Process 0 99.23
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 784 Диспетчер сеанса Windows NT Корпорация Майкрософт
csrss.exe 824 Client Server Runtime Process Microsoft Corporation
winlogon.exe 860 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 908 0.77 Приложение служб и контроллеров Корпорация Майкрософт
ati2evxx.exe 1168 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 1188 Generic Host Process for Win32 Services Microsoft Corporation
wmiprvse.exe 2664 WMI Microsoft Corporation
svchost.exe 1260 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1424 Generic Host Process for Win32 Services Microsoft Corporation
wuauclt.exe 3432 Windows Update Automatic Updates Microsoft Corporation
svchost.exe 1456 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1560 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1852 Spooler SubSystem App Microsoft Corporation
schedul2.exe 256 Acronis Scheduler 2 Acronis
guard.exe 384 AVG Anti-Spyware guard GRISOFT s.r.o.
RichVideo.exe 548 RichVideo Module
spidernt.exe 696 SpIDer Guard Service Doctor Web, Ltd.
StarWindService.exe 764 StarWind iSCSI Target (Alcohol Edition) Rocket Division Software
svchost.exe 1084 Generic Host Process for Win32 Services Microsoft Corporation
wdfmgr.exe 1344 Windows User Mode Driver Manager Microsoft Corporation
CALMAIN.exe 1664 Canon Camera Access Library 8 Canon Inc.
alg.exe 2604 Application Layer Gateway Service Microsoft Corporation
lsass.exe 920 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 1448 ATI External Event Utility EXE Module ATI Technologies Inc.
explorer.exe 1764 Проводник Корпорация Майкрософт
IntelAudioStudio.exe 2016 Intel(R) Audio Studio Intel Corporation
spiderui.exe 436 SpIDer Guard UI Agent Doctor Web, Ltd.
TrueImageMonitor.exe 452 TrueImage Acronis
TimounterMonitor.exe 576 Monitor for Acronis True Image Backup Archive Explorer Acronis
ctfmon.exe 1476 CTF Loader Microsoft Corporation
atitray.exe 1508 ATI Tray Tools Ray Adams
procexp.exe 2088 Sysinternals Process Explorer Sysinternals
HijackThis.exe 3256 HijackThis Trend Micro Inc.
--------------------------------------------------------------------------------------------------------------
А вот еще раз отчет от Hijack:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\AVG\guard.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\PROGRA~1\DrWeb\spidernt.exe
E:\Мои Игры\Different\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Tray Tools\atitray.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Documents and Settings\Home\Application Data\Microsoft\Internet Explorer\Quick Launch\procexp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CodecPlugin Class - {10153FD1-4750-4156-8DAD-9B43DE0D157F} - C:\WINDOWS\system32\CodecBHO.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Program Files\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{054BC333-B438-4700-8A2B-0D5C35D9C01D}: NameServer = 212.98.160.50 212.98.160.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBED226-1386-40F7-BD7E-6DB3B632BD5A}: NameServer = 212.98.160.50,212.98.160.65
O20 - AppInit_DLLs: C:\PROGRA~1\COMMON~1\Avest\AVESTC~1\AvSSPc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\WINDOWS\
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7759 bytes

Результат тот же - IE открывается через 15-20 сек.

364. mwz, 22.11.2008 01:18
grignet
Ну у вас всё равно два приложения одного класса:

guard.exe 384 AVG Anti-Spyware guard GRISOFT s.r.o.

и
spidernt.exe 696 SpIDer Guard Service Doctor Web, Ltd.
+
spiderui.exe 436 SpIDer Guard UI Agent Doctor Web, Ltd.

А O20 - AppInit_DLLs: C:\PROGRA~1\COMMON~1\Avest\AVESTC~1\AvSSPc.dll
-- это видимо клиент-банк?


И попробуйте запустить IE в "облегчённом" режиме -- как он себя поведёт:
"C:\Program Files\Internet Explorer\iexplore.exe" -extoff

365. grignet, 22.11.2008 02:19
mwz
Эти два приложения у меня установлены уже года 1.5 и никогда между собой не конфликтовали. А AVEST - это программа для формирования электронной подписи - тоже около года, как установлена. Запуск же по Вашей рекомендации IE в "облегченном" режиме привел к открытию через 30 сек. нового окна IE с адресом http://xtoff/ и стандартным сообщением "Невозможно отобразить страницу".

366. mwz, 22.11.2008 12:02
grignet

Ну про Avest я на всякий случай спросил, почему и мелким шрифтом...

к открытию через 30 сек. нового окна IE с адресом http://xtoff/

Т.е у вас не IE7, а IE6. Тогда попробуем другим образом то же самое: в Свойствах Обозревателя, можно через меню IE, отключите все надстройки, используемые IE6 (а не только активные на данный момент).

Изменилось ли поведение? Если да -- то ищем, включение какой надстройки (или надстроек) приводит к тормозам.

Ну и на всякий случай пройдитесь утилитой RootkitRevealer (http://download.sysinternals.com/Files/RootkitRevealer.zip) .

Однако мне сдаётся, что с троянами или руткитами поведение вашего IE всё же не связано.

367. grignet, 22.11.2008 12:39
mwz
В надстройках ничего нет -- пустое окно. А вот результат сканирования Вашей утилитой:

HKU\S-1-5-21-448539723-1409082233-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 27.09.2008 23:34 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-448539723-1409082233-839522115-1003\Software\SecuROM\License information* 19.10.2008 23:15 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 03.10.2007 13:29 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 03.10.2007 13:29 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 10.02.2008 13:18 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg 19.10.2008 21:31 0 bytes Access is denied.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher \cache 25.01.2008 16:15 0 bytes Hidden from Windows API.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher \logs 25.01.2008 16:15 0 bytes Hidden from Windows API.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher \settings 25.01.2008 16:15 0 bytes Hidden from Windows API.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher \temporary 25.01.2008 16:15 0 bytes Hidden from Windows API.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher\cache 25.01.2008 16:15 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher\logs 25.01.2008 16:15 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher\settings 25.01.2008 16:15 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Home\Application Data\Sports Interactive\Installer Launcher\temporary 25.01.2008 16:15 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{4C0E4F88-466C-44D9-A458-DD88FE5E6F8B}\RP535\A0090439.old 22.11.2008 10:26 3.18 KB Visible in directory index, but not Windows API or MFT.

Еще раз обращаю внимание на тот факт, что при запуске IE6, в процессах он появляется мгновенно, а вот само окно - через 20 сек. Что вызывает такую задерку?

368. mwz, 22.11.2008 15:17
grignet
Утилита не моя -- а Руссиновича.

Тут тоже всё вроде бы нормально...

В надстройках ничего нет -- пустое окно

К сожалению, у меня уже нигде под рукой нет IE6 (IE7 поудобнее для меня оказался) -- но там вроде бы как и в IE7 есть пункт "Сервис -- Управление надстройками -- Включение и отключение насдстроек", где надо в выпадающем списке заказать показ не "Надстройки, загруженные в IE", а "Надстройки, используемые IE".

Попробуйте также обновить Adobe FlashX -- Качаются ко мне из fpdownload2.macromedia.com десятки мегабайт в день, #1 (http://forum.ixbt.com/topic.cgi?id=4:99215:1#1)

Ну а дальше надо смотреть (хотя бы с помощью утилиты того же Руссиновича "Process Explorer"), каким процессам подчиняется, и что держит сам IE...

369. grignet, 22.11.2008 19:28
mwz
Adobe FlashX обновил. Вот скриншоты Надстроек, используемыех IE.

1. http://pic.ipicture.ru/uploads/081122/m3SWzpoOHW.jpg (541x270, 67,9Kb)
2. http://pic.ipicture.ru/uploads/081122/HwHVMQq5Uo.jpg (540x246, 71,4Kb)
3. http://pic.ipicture.ru/uploads/081122/xvVCmBt357.jpg (540x264, 68,6Kb)

370. mwz, 22.11.2008 20:07
grignet
скриншоты Надстроек

Ну вот их все и запретите временно. Как стало запускаться? Затем включайте группой, примерно равной половине отключённых. Если тормоза по сравнению с режимом, когда было отключено, появились -- отключаете половину, и так далее.

А можно сначала все не-микрософтовы отключить, и посмотреть результат, а затем, если нормально -- также включать по половине остатка, и если тормоза вновь появились -- анализировать, ЧТО в этой половине влияет.

371. grignet, 22.11.2008 21:31
mwz
Ну, что! Нашел-таки я эту заразу с помощью предложенного Вами метода! Это CodecPlugin Class, издатель TODO, Файл .../system32/CodecBHO.dll. Похоже, что это троян. Благодарю Вас, mwz, за внимание к моей проблеме и квалифицированную помощь в ее решении.

372. mwz, 22.11.2008 23:02
Ну что ж, это был один из трёх или четырёх подозрительных объектов... Причём встречается при поиске в интренете относительно много -- но конкретики никакой.

У вас Advanced JPEG compressor стоит? Это по поводу надстройки ExShell Control. Если да -- то нормально.

И непонятен Launch Control -- а на скриншот не попало, какой файл им заведует.

Добавление от 22.11.2008 23:05:

А, вот же ваш виновник, CodecBHO.dll: Trojan-Downloader.Win32.BHO.xn (http://www.threatexpert.com/files/codecbho.dll.html) в классификации Касперского. Да, значит в профильной теме вопрос был задан.

373. grignet, 22.11.2008 23:19

Да, Advanced JPEG compressor установлен. А процессом Launch Control заведует файл - launch.ocx

374. mwz, 23.11.2008 00:08
grignet
launch.ocx в основном встречается в контексте HP Pavillion. Если у вас комп другой -- я бы на всякий случай проанализировал его поглубже. Хотя при беглом просмотре ссылок явных указаний на возможную опсность я не увидел.

375. Чокки, 25.11.2008 16:07
Хотя проблема не в самом IE, но родственная - если никто не против, отпишусь именно тут.

Коллеги, мастер-ломастер лазания по сайтам с игрушками угробил ноутбук, настроенный мною для него, за какой-то месяц.

Симптомы:

1) Антивирус апдейтится, Windows Update работает без проблем - то есть соединение и так далее функционирует прекрасно.
2) Некоторые адреса, например http://mail.ru/ - открываются без проблем.
3) Большинство же - например, при вводе как полностью, так и сокращённо google.com - в момент, когда должна отобразиться загруженная страница - в строке состояния проскакивает поиск в поисковике этого адреса (как обычно бывает с несуществующим), после чего получаем "Невозможно отобразить страницу".
4) При вводе некоторых адресов после вышеуказанного процесса в строке адреса оказывается http:/// и получаем "Неправильный URL".
5) Поведение идентично в Internet Explorer, Firefox и так далее.

Восстановление настроек всего Internet Explorer 7 в настройки по умолчанию произведено (это как мёртвому припарки, как было выяснено с помощью Firefox), вирусы очищены AVG, Ad-Aware отработала, временные файлы очищены, автозагрузка в реестре руками проверена. Симптомы не меняются.

Коллеги, в морг, или есть возможность оживить? Ноутбук дома, проверять буду вечером...

Windows XP SP3, Internet Explorer 7 со всеми обновлениями (не ставился лишь "Поиск 4.0").

376. mwz, 25.11.2008 18:16
Чокки
4) При вводе некоторых адресов

Скопируйте в Блокнот всё что между линиями, сохраните как "url.reg" (именно в кавычках), запустите сохранённый файл. Скорее всего часть проблем снимет:
код:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@="http://"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"



3) Большинство же - например, при вводе как полностью, так и сокращённо google.com
Возможно что троян поменял файл HOSTS (без расширения) в каталоге WINDOWS\system32\drivers\etc

Содержимое стандартного файла (а английской версии):
код:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
#


И заодно возьмите у меня на http://mikhail-z.narod.ru и запустите лечащий файл GenericRepairReg.reg -- хуже от него не будет, а некоторые последствия может устранить.

377. Чокки, 26.11.2008 00:17
mwz
Спасибо за исчерпывающую консультацию!
Раздел реестра с префиксами был в порядке, но когда я дошёл до этого...

Возможно что троян поменял файл HOSTS (без расширения) в каталоге WINDOWS\system32\drivers\etc
Если без комментариев - держите (http://forum.ixbt.com/post.cgi?id=attach:24:38093:377:1) архив с содержимым HOSTS, такого количества ТАКИХ сопоставлений 127.0.0.1 (убиться веником) именам доменов я ещё не видел...

Всё исправлено, благодарю ещё раз.

Добавление от 26.11.2008 00:26:

Спасибо коллеге по форуму OverQuantum (http://forum.ixbt.com/users.cgi?id=info:OverQuantum) - как оказалось, в полном соответствии с классикой. (http://ithappens.ru/story/167)

К сообщению приложены файлы: 1.zip, 1 file(s), 1Кb

378. mwz, 26.11.2008 01:17
Чокки
архив с содержимым HOSTS

Еле уломал свой антивирус отдать мне его:

код:
Антивирус Касперского 6.0 для Windows Workstations

The requested URL http://forum.ixbt.com/post.cgi?id=attach:24:38093:377:1 is infected with Trojan.Win32.Qhost.kpo virus


Вируса-то в нём как такового нет -- но файлик лихоооой... Не зря Каспер его давит.

Добавление от 26.11.2008 17:00:

Хех... Сегодня обратился один юзер, что у него ZoneAlarm стал предупреждения слишком часто выкидывать... Захожу дистанционно -- и жуть... Идёт постоянная отправка ненаписанной почты, SAV орёт благим матом что письма не могут быть доставлены, т.к. сервера говорят что это спам...

Ладно, через несколько минут локализовал, остановил и прибил \windows\services.exe, \windows\system32\a.exe и ещё пару пакостей, которые SAV со свеженькими базами благодушно не замечал. Сетевая активность прекратилась, но какая-то гадость каждые несколько минут правит Hosts, добавляя под 300 строк в него -- и не заменяет сам файл, как в вашем случае, а именно дописывает. Практически все сайты блокируя, которые могут поспособствовать борьбе с заразой -- работая под защитой нормального процесса причём... Ну отклонить-то запись в hosts я отклонил, больше не сможет туда писать -- но теперь пытаюсь добраться до гада... Хорошо прячется... Ни AVZ, ни ДокторВебов свежайший AV-сканер ничего не показывают.

379. mwz, 01.12.2008 15:04
Ну вот, добрался-таки до заразы... Оказался тот самый twext.exe (WinCtrl32.dll тоже засветился в логах -- но SAV его прибил), упомянутый Magguz. Причём файл не был виден даже в Total Commander -- и только после того, как я окольными путями вышел на предполагаемого виновника (последнее недвусмысленное указание дал OSAM Autorun Manger), а затем нашёл и прибил через Process Explorer процесс с этим именем -- через несколько секунд SAV заорал что нашёл и убил сам файл. Однако в userinit он продолжал прописываться как ни в чём не бывало (причём файла mssrv32.exe не было: я его удалил в первые же минуты обнаружения трояна, как явно трояну принадлежащего, хотя материалов этой ветки под рукой не было). Загрузка в BartPE и удаление бяки из userinit -- и после нормальной загрузки следов троянской активности более не обнаруживается.

Хитрая штучка... Раз в 10 минут через "контейнер" Svchost обращается к самому большому из антивирусных файлов SAV (что он с этим файлом делает -- не проверял; там, где NAV/SAV не стоят, действие будет видимо другим), создаёт в каталоге Twain32 невидимые же файлы local.ds и user.ds, затем дописывает первым из них, содержащим блокировку практически всех AV-сайтов, файл Hosts (что делает со user.ds -- не анализировал) -- т.е. осуществляет тот самый URL redirect, о котором глухо сказано у Symantec.

380. Биомеханик, 01.12.2008 15:34
mwz
Был недавно вирус, который из-под установленной ОС невидим - надо грузиться из-под BartPE, чтобы его выгрызть.

381. mwz, 01.12.2008 15:47
Биомеханик
Руткиты... И поздновато я Rootkit Revealer запустил - когда SAV уже прибил гада, а то бы сразу мог засечь...

382. Leviafan, 01.12.2008 17:32
А что сиё такое, - full-antivirussscan2009.com Microsoft Antiviruss 2009 Web Scanner? И как от ентого избавиться?

383. mwz, 01.12.2008 17:38
Да этому фальшивому "антивирусу" уже больше месяца. Вроде бы все антивири его знают -- запустите для начала свеженький CureIt (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe) .

384. Leviafan, 01.12.2008 17:45
hmmm у меня Cel900 и 256 RAM, кроме того мой Firefox обрывает загрузку файлов где-то на 3Мб, это что др.Веб? дайте адрес пж-а? загружу через explorer

385. mwz, 01.12.2008 18:02
Да.
Прямая ссылка ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe прячется здесь же: вы могли кликнуть правой кнопкой по той, что я дал, и выбрать "Копировать ссылку". Её же вы получите на странице загрузок DrWeb (http://download.drweb.com/) , слева:

Бесплатные утилиты
Dr.Web CureIt!

386. Leviafan, 01.12.2008 20:21
mdя нашёл кучу чего- около 95 штук, Firefox для этой конфигурации всё-же предпочтительнее, чем explorer.
Большое спасибо. Сейчас Firefox кушает 160Мб оперативки и где-то 5-20% ЦПУ

Добавление от 01.12.2008 20:26:

Пардон, пардон... после очистки от всей этой нежити explorer кушает 144 Mb RAM и 2-7% CPU... To-to я думал чего все плюются на Firefox!!!

387. mwz, 01.12.2008 20:36
Leviafan
нашёл кучу чего- около 95 штук

Н-да... Видно что машина без антивируса -- да и ещё небось WinXP не обновляете (напр., отключили автообновление)? Хотя бы бесплатный ClamWin Free Antivirus (http://ru.clamwin.com/) поставьте...

Хотя он не мониторит файлы "на лету" -- а только сканирует систему или выбранные папки -- или вручную, или по расписанию -- в общем, примерно так, как и CureIt. Так что лучше что-то работающее с проверкой создаваемых файлов -- например, не пожалеть меньше 1000 рублей на год на того же Каспера.

388. Leviafan, 01.12.2008 21:13
Chto to u menja s Kaspirovskim ne slozhilos zhret uimu resursov i vse vrema prosit obnovlenija, okoshki takije simpotnije kidaet, posle volshebnij zaklinanij s kakim to 4istilshikom snes ego nahren, a mozhet vse eti trojani bili vinovati, hota chego on ih ne vilovil>? pardon za latinicu

389. mwz, 01.12.2008 23:41
Leviafan
pardon za latinicu

Ставим впереди тэг [rus], в конце закрываем его -- [/rus], и имеем:

автоперевод с транслита:
Что то у меня с Каспировским не сложилос жрет уиму ресурсов и все врема просит обновления, окошки такийе симпотнийе кидает, после волшебний заклинаний с каким то 4истилшиком снес его нахрен, а может все ети трояни били виновати, хота чего он их не виловил>? пардон за латиницу

Добавление от 01.12.2008 23:44:

Трояны могут препятсвовать установке антивируса. Антивирь надо ставить на чистую от вирусов машину.

Кроме того, ни один антивирь не отловит все трояны -- тем более "свежачок", которого нет в его о базах поскольку образчик ещё не попал в соответствующий AV-центр. Но легче бороться вручную с одним-двумя, чем с сотней.

390. а-р, 02.12.2008 12:49
Как выкинуть из IE6 ненужные "Панели инструментов" установленные по ошибке неизвестно когда : ICQ Toolbar и прочие - в прицепе картинка на том на чем нет галочек то и надо убрать.

И еще недавно - появилось внизу браузера рекламное окно ( см вторую картинку) Как ее найти и выкинуть совсем из браузера?

К сообщению приложены файлы: 1.gif, 461x289, 17Кb, 2.gif, 1199x144, 29Кb

391. mwz, 02.12.2008 14:47
Первое к теме отношения не имеет -- зайдите в Установку/Удаление Программ и удалите что не нужно.

Второе -- похоже на adware, и должно бы быть найдено (и удалено) программами, ссылка на которые дана в начале каждой страницы, красным цветом, под шапкой с названием темы:

Программы для борьбы:

392. Leviafan, 02.12.2008 15:17
Не а, чего-то не качается ClamWin Free Antivirus? Firefox по своей давней привычке обрывает его на 3Мб, а explorer вообще не хочет грузить, поблуждал там по разным предлагаемым местам скачивания, всё равно чой-то не хочет? А так всё шоколадно, до первых вирусов?

Добавление от 02.12.2008 16:05:

Скачал, обновления базы антивирусов выдаёт следующее:

ClamAV update process started at Tue Dec 02 15:12:22 2008
WARNING: Invalid DNS reply. Falling back to HTTP mode.
WARNING: Can't get information about database.clamav.net: Unknown error
WARNING: Can't download main.cvd from database.clamav.net

Trying again in 5 secs...

ClamAV update process started at Tue Dec 02 15:12:27 2008
WARNING: Invalid DNS reply. Falling back to HTTP mode.
WARNING: Can't get information about database.clamav.net: Unknown error
WARNING: Can't download main.cvd from database.clamav.net

Trying again in 5 secs...

ClamAV update process started at Tue Dec 02 15:12:32 2008
WARNING: Invalid DNS reply. Falling back to HTTP mode.
ERROR: Can't get information about database.clamav.net: Unknown error
ERROR: Can't download main.cvd from database.clamav.net

Giving up on database.clamav.net...
Update failed. Your network may be down or none of the mirrors listed in c:\docume~1\9335~1\locals~1\temp\tmpk_dn-l is working. Check http://www.clamav.net/support/mirror-problem for possible reasons.

LibClamAV Error: DNS Resolver: Can't query current.cvd.clamav.net
LibClamAV Error: DNS Resolver: Can't query current.cvd.clamav.net
LibClamAV Error: DNS Resolver: Can't query current.cvd.clamav.net

--------------------------------------

Completed

393. bopUK, 02.12.2008 16:23
Leviafan
цитата:
mwz
Трояны могут препятсвовать установке антивируса. Антивирь надо ставить на чистую от вирусов машину.

394. Leviafan, 02.12.2008 17:31
Ну так только что вычистил? cм. Leviafan написано 01.12.2008 20:21

395. mwz, 02.12.2008 17:33
Leviafan
WARNING: Invalid DNS reply

Откройте Блокнот, в нём -- Файл -- Открыть, и скопируйте в строку имени файла отсюда:

%windir%\system32\drivers\etc\hosts

Скопируйте из открытого файла последних строк пять-десять, и вставьте в свой ответ сюда.

396. Leviafan, 03.12.2008 20:05
Что, вот это?
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost
Хммм, последняя строчка это кто,

397. mwz, 04.12.2008 00:26
Leviafan

Всё нормально. Это стандартный внутренний адрес собственно машины (она же -- localhost).
Значит дело не в этом...

398. bopUK, 04.12.2008 10:01
Leviafan
Скинь сюда лог от программы HiJackThis.
Что то же глушит обновлялку антивируса. Можно конечно еще погрешить на то, что трой залез в TCP/IP стек. Ну или подсовывает "правильный" hosts файл.

399. Навигатор, 21.12.2008 22:48
Вобщем проявляется это уже где-то с месяц.WinXP SP2, IE7.По крайней мере,раньше не замечал.Открываю какую-то страничку,читаю и тд.При этом не порносайт,а,например, солидный автофорум .При этом отмечаю для себя,что почему-то через модем продолжается закачка чего-то(перед глазами модем стоит,лампочки мигают).Ладно закрываю страницу.И что вижу.Закрылась,а на ее месте осталась другая,которую я не "заказывал".Откуда взялась не знаю.Это при том,что до этого на панели задач было всего одно окно с моей страницей и сверху в закладках ничего другого открыто не было.Чудеса,думаю.Потом это регулярно(не всегда)повторяется.Чтобы конкретным быть,например start.fotostrana.ru появляется откуда ни возмись,хотя я его знать не знаю.И еще бывает другие сайты.У меня стоит DrWeb,Outpost 6.5
Что за фишка такая? Как лечить?Чего настраивать?

400. mwz, 21.12.2008 23:27
Навигатор
Что за фишка такая?

Так называемые "pop-under"-окна: окна с рекламой, всплывающие не поверх, а под рабочим окном. И пока вы смотрите основную страницу -- реклама уже подгрузилась, и вы волей-неволей видите при закрытии основного окна уже готовую загруженную рекламу. А рекламодателю идёт подтверждение, что его страничка была загружена полностью -- и тому, кто эту рекламу разместил, немного капает на его счёт от рекламодателя.

401. Навигатор, 23.12.2008 23:56
mwz
Спасибо за информацию.Но как бороться с этим чудом враждебной техники?

402. mwz, 24.12.2008 09:40
Навигатор

Меня они особо не достают, да и часть из них Касперский блокирует.

Ну а в общих чертах -- программамы-блокировщики рекламы, думаю, уже и с этим справляются. Правда, иногда при показе страницы отрезают не то что нужно, вплоть до того, что основная страница вообще не появляется -- но это не смертельно, и может быть подкорректировано в индивидуальных случаях.

403. Навигатор, 25.12.2008 00:16
То есть я так понял,что эти under - явление относительно новое,по сравнению с теми же pop-up?
Меня они тоже особо не достают,но люблю контролировать ситуацию.
Вобщем,поковыряться надо с Outpost,он выручит,а то без ведома можно и фильмы целые загрузить,а я не в курсе буду.

404. tvc, 29.12.2008 04:53
Какой то вирус или санкции:
появляется окошко с содержимым типа: Неожиданное отключение Widows через __сек
по запросу какого то файла Autoriz...ация - непомню точно.
На 2х несвязаных домашних компах. Никакие действия становятся невозможны.
На одном лечил восстановлением Widows sp2 в безопасном режиме по ранней отметке. Потом запускал lanch.
На другом отметок нет, стоит 3 системы. Востанавливал с диска, Widows SP1. Проверял антивирусом.
Сейчас при запуске ищется файл /Program, не включен диспетчер задач, в подключениях появляется строчка i-connect высокоскоростное с именем службы 000.
Надо сносить, ясно.

405. Mastodont, 29.12.2008 15:44
tvc
от Vladimir Martyanov - Virus Monitoring Service Doctor Web Ltd. <vms@drweb.com>
ответить vms@drweb.com
кому mastodont
дата 29 декабря 2008 г. 17:27
тема [drweb.com #743330] Обработано: SUBMITTED VIRUS
отправлено через rt.drweb.com
Уважаемый mastodont

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Dialer.Siggen.121.

Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

406. tvc, 29.12.2008 19:31
Я открыл 3 новогодние флеш-открытки, чего ещё обновление какое то флеш-проигрывателя. launch пока не берёт до конца, причём родное соединение обрывается через 5-10 сек.

407. Mastodont, 30.12.2008 06:57
tvc
сносите в процессах sdsd.ехе его же убиваете в Documents and Settings (В своей учетной записи). УБиваете соединение i-connect. Временно живете.

408. tvc, 01.01.2009 15:54
Вот кому тоже интересно, вирус там где то:

http://www.bosonogoe.ru/ вызывает http://www.videosvyaz.ru/happy_new_year.htm

http://de.trinixy.ru/pics2/20071228/hny.swf

файлы 933exe, 520.exe в темпе/локальные

\content.Je5\65j4dwny\c1234[1].exe
и ещё один

409. Sheppa, 12.01.2009 18:48
Здравствуйте! После "прогулки" по сайтам) в IE7 появилось окно с рекламой и предложением отправить смс и т.д и т.п. чтобы избавиться от этого окна((((( Окно на пол-страницы((( не убивается((((( Что посоветуете? Спасибо!

410. mwz, 12.01.2009 20:18
Sheppa
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #385 (http://forum.ixbt.com/topic.cgi?id=24:38093:385#385)
и более раннее в этой же теме, где было конкретно по вашим признакам.

411. Sheppa, 12.01.2009 20:27
mwz


Так вот я и ищу по своим признакам, но эта заставка не дает возможности прочитать страницу полностью, видно только низ, поэтому весь форум не прочитать(((((

412. mwz, 12.01.2009 20:48
Sheppa

Я дал ссылку на программу, котрая уже полгода как знает этого трояна, и удаляет его бесследно.
А вот если не поможет -- спрашиваем дальше.

413. Sheppa, 12.01.2009 20:57
mwz

По этой ссылке страница не открывается((( и с фтп не качает((((

414. mwz, 12.01.2009 21:03
Sheppa

Скачайте другим компьютером.

Или возьмите у меня с сайта http://mikhail-z.narod.ru reg-файл genericrepairreg.reg, запустите его, подтвердите внесение изменений в Реестр. Затем зайдите в каталог c:\WINDOWS\system32\drivers\etc и переименуйте файл (он без расширения) hosts как хотя бы #hosts (позже можете открыть его в Блокноте и дать содержимое сюда, заключив в тэги [code]...[/code]) -- скорее всего после этого у вас будет пять-десять минут на то, чтобы зацепить и скачать файл.

Ну а конкретно ваш случай в этой теме -- вроде бы FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #302 (http://forum.ixbt.com/topic.cgi?id=24:38093:302#302)

415. Sheppa, 12.01.2009 21:17
код:
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:07, on 12.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\AVerMedia\Service\CardBusService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ViewPower\Bin\UPSAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\ViewPower\Bin\AgentManager.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: IE7Pro - {00011268-e188-40df-a514-835fcd78b1bf} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: xaelibP - {757ff18e-494c-46ac-af9d-6a6012c315a3} - C:\Documents and Settings\All Users\Application Data\xaelib.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AgentManager] C:\Program Files\ViewPower\Bin\AgentManager.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O9 - Extra button: IE7Pro Preferences - {0026439f-a980-4f18-8c95-4f1cbbf9c1d8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439f-a980-4f18-8c95-4f1cbbf9c1d8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{16E7AE5F-54BF-440F-80AA-C59DD34B0245}: NameServer = 10.0.1.3 10.0.1.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (acrsch2svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CardBusService - Unknown owner - C:\Program Files\Common Files\AVerMedia\Service\CardBusService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Franson GpsGate 2.0 - Unknown owner - C:\Program Files\Franson\GpsGate 2.0\GpsGateService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: UProfessional Service - Unknown owner - C:\Program Files\ViewPower\Bin\UPSAgent.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9232 bytes

416. mwz, 13.01.2009 00:11
Sheppa
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

ntos.exe -- ищем в этой теме (он навряд ли связан с вашим баннером -- но бяка известная).

Метод борьбы: прекращаем этот процесс с помощью Process Explorer от Руссиновича, затем убиваем сам файл, затем (до перезагрузки!) корректируем Реестр (genericrepairreg.reg, лежащий у меня на сайте, эту правку вносит -- так что можно им, чтобы не вручную)

O2 - BHO: xaelibP - {757ff18e-494c-46ac-af9d-6a6012c315a3} - C:\Documents and Settings\All Users\Application Data\xaelib.dll

Это -- 99% что троян. Возможно что и ваш возмутитель спокойствия.

O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

Нечто странное... Поищите файл shell32 без расширения, т.е. не shell32.dll, и если найдёте -- убивать нещадно, как и запись в Реестре.

C:\Program Files\ViewPower: это у вас какая-то вами поставленная программа -- или проталкиватель рекламы?

417. Sheppa, 13.01.2009 21:05
mwz


Спасибо большое за помощь!!!!!! Нашел CureIt от 12,01,2009 с её помощью почистил комп. Проблема исчезла!!!! Огромное спасибо за информацию!!! Мои самые добрые пожелания Вам!!!!
C:\Program Files\ViewPower это у меня UPS Mustek стоит и эта прога - управления по USB)))

418. mwz, 13.01.2009 22:02
Sheppa

А как с файлом hosts?

Его содержание по умолчанию -- на предыдущей странице,
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #396 (http://forum.ixbt.com/topic.cgi?id=24:38093:396#396)

Если же у вас там ниже идут строчки с антивирусными сайтами -- удаляйте файл, и можете вновь создать в Блокноте, с тем текстом что по ссылке (ну а можете вообще ничего взамен не создавать). А то так и будете искать, где антивирусный сканер взять.

419. Sheppa, 13.01.2009 22:47
В том файле содержание по умолчанию))))) Спасибо за ликбез)))))) Успехов!!!

420. Zlatin, 14.01.2009 18:34
при включенном инете процесс ccsvchst.exe, запущенный от имени system кушает 50% проца и более 250 метров оперативы, cureit ничего не нашел

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:50, on 14.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\CPU-Control\CPU_Control.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\MSSQL7\binn\sqlservr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\MediaKey\OSD.EXE
C:\Program Files\MediaKey\Versato.exe
C:\QIP\qip.exe
C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\Nelya\Рабочий стол\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://philka.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: 172.16.2.54 sacknau.h3
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - H:\DOWNLO~1\dmiehlp.dll (file missing)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - H:\Download Master\dmbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Versato] "C:\Program Files\MediaKey\MagicRun.exe"
O4 - HKCU\..\Run: [CPU_Control] C:\Program Files\CPU-Control\CPU_Control.exe
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKCU\..\Run: [Download Master] H:\Download Master\dmaster.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - H:\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - H:\Download Master\dmie.htm
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - H:\Download Master\dmaster.exe (file missing)
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - H:\Download Master\dmaster.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://philka.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{0923620B-2E02-4AFB-A9DD-DC5718A07CA1}: NameServer = 193.178.34.7 193.178.34.46
O17 - HKLM\System\CCS\Services\Tcpip\..\{62B30AC4-E9C3-4E8C-80C9-590057CD05EF}: NameServer = 172.16.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB12A9B-FA25-4341-85C5-C933E978CB78}: NameServer = 172.16.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0923620B-2E02-4AFB-A9DD-DC5718A07CA1}: NameServer = 193.178.34.7 193.178.34.46
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PsViatau (PTsup5) - Trident Software - C:\Program Files\Trident Software\Pragma\ptsup5.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9606 bytes

421. mwz, 14.01.2009 20:05
Zlatin
ccSvcHst.exe -- часть нортоновского (Symantec) антивируса.

Ключи реестра

O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

Похоже остались от какого-то трояна после того, как он был удалён (антивирусом) -- я бы их удалил.

Страницей по умолчанию у вас филькин сайт -- ну если вы сами его ставили то ладно, но смущает строка:
O14 - IERESET.INF: START_PAGE_URL=http://philka.ru
которая вроде бы будет восстанавливать это умолчание даже если вы захотите изменить его вручную.

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

Остатки Яхового Компаньона -- спокойно можно удалить.

Ну а так вроде бы без особенностей... Так что пока остаётся открытым вопрос по антивирусу. Не слишком старая версия? А может сайты, которые вы посещаете, представляют для него "лакомый кусочек", и при анализе их работы ему хватает.

422. MD, 18.01.2009 00:11
Здравствуйте. Прописался порноинформер в Firefox. Аваст промолчал(и молчит). FF жутко стал тормозить и есть оперативки до 600 МВ. Я почистил настройки браузера, порноинформер свернулся в окошко-строчку. АВЗтул нашёл и удалил трояны Ransom.Win32.Hexzone.gob и Dropper.Win32.Agent.adhe. Но браузер по-прежнему тормозит и даже блокирует набор текста на сайте Касперского. На Maxthon информера нет, с него и работаю. Запустил предложенные мне на сайте Касперского скрипты, без изменений...
Почитал эту тему, нашел несколько подозрительных файлов. Но хочется не накосячить и услышать советы профессионалов.
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:55:58, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\program files\VolumeControl\volume.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VistaDriveIcon\VistaDrv.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\AusLogics BoostSpeed\BoostSpeed.exe
C:\Documents and Settings\Admin\Рабочий стол\Новая папка для HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=22042
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VolumeControl] C:\program files\VolumeControl\volume.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [BoostSpeed] "C:\Program Files\AusLogics BoostSpeed\BoostSpeed.exe" /Q
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9933 bytes

423. mwz, 18.01.2009 00:31
MD

CureIt запускали?

Добавление от 18.01.2009 01:20:

MD
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')


Непонятно это... Часть была выше на этой странице -- но ответной реакции на моё сомнение по ней не было. На своих машинах такого пока не видел. Может кто разъяснит.

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

Ну это классика от RealPlayer -- программа "на грани фола" (многие вообще её к троянам относят; за что я давно уже от "родного" RealPlayer отказался и перешёл на Real Alternative).


O4 - HKLM\..\Run: [VolumeControl] C:\program files\VolumeControl\volume.exe

С этим смутно: очень часто, судя по поиску в Гугле, попадает под подозрительные, но однозначно сказать нельзя.

C:\WINDOWS\system32\Ati2evxx.exe

У вас видеокарта ATI? Если нет -- обратить особое внимание.

Но вроде бы ничего боле -- т.е. прямых указаний не вижу (хотя может и упустил что).

424. MD, 19.01.2009 02:18

mwz
CureIt запускали?
Нет, я пользуюсь AVPTool. На сайте касперского эти 2 утилиты предлагают, как равнозначные на свой выбор. Он то у меня первый эти 2 вируса и обнаружил. После этого прогонял не один раз - всё чисто.

К этой теме 19.01.2009 09:24 moderator-Bio подклеил тему "Помогите распознать вирус, в IE поверх окна вылазит целый набор сисек+" (автор: Шкед)

426. Шкед, 18.01.2009 12:13
файл hosts проверил там пусто
NOD32 v2.1 и AVZ с последними базами ничего не находят
в автозагрузке и в диспетчере задач подозрительных процессов не вижу

427. Theo, 18.01.2009 12:16
цитата:
Шкед:
файл hosts проверил там пусто
NOD32 v2.1 и AVZ с последними базами ничего не находят
в автозагрузке и в диспетчере задач подозрительных процессов не вижу

Такая гадость зачастую лечится полным сбросом настроек IE (свойства обозревателя - дополнительно - сброс), поскольку является надстройкой к браузеру.

428. Шкед, 18.01.2009 12:24
Сброс настроек не помог, а вот ручной перебор всех надстроек дал результат:

виновата была надстройка "MLP Media Helper Object"
отключение в ручную и всё ок

спасибо за помощь

Тема перенесена 18.01.2009 12:42 moderator-166MMX из форума "Техническая поддержка"

430. danik248, 17.03.2009 10:33
Помогите вылечится от информера вот лог
код:
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:50:01, on 17.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Apoint\Apntex.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/en/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: iiqlibP - {4BCFC9C3-ABA5-4A34-A670-E2CCEDD112AC} - C:\Documents and Settings\All Users\Application Data\iiqlib.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232530890015
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Avlib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Avlib\PACSPTISVR.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Avlib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Avlib\SSScsiSV.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 12323 bytes

431. bopUK, 17.03.2009 12:56
O2 - BHO: iiqlibP - {4BCFC9C3-ABA5-4A34-A670-E2CCEDD112AC} - C:\Documents and Settings\All Users\Application Data\iiqlib.dll

432. Hellen, 28.03.2009 07:43
плиз посмотрите, комп глючит странички долго грузятся....
(сорри но я чайник чайником)

код:

Logfile of HijackThis v1.99.1
Scan saved at 14:22:05, on 28.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Punto Switcher\ps.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\HELLEN~1\LOCALS~1\Temp\Rar$EX11.844\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Поиск@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/282
O8 - Extra context menu item: Словари@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/283
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{73D63892-4EA1-4EB4-A3FF-E50017F9133F}: NameServer = 85.15.64.49,85.15.65.249
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

433. Нейтрон, 28.03.2009 19:15
Hellen
Ничего криминального не нашёл.
Bonjour\mDNSResponder.exe можно выключить.

К этой теме 15.04.2009 13:40 moderator-Bio подклеил тему "Какой вирус у меня на ноуте?" (автор: Blackman)

435. Blackman, 15.04.2009 13:36
Заметил странную вещь - при переходе на результате поиска в яндексе и гугле, страницы открываются через редирект типа:
http://tloze.co.cc/search/red.php?q=%25D0%25BA%25D0 ....
Проверял в ИЕ, Опера - аналогично.

Рамблер, МСН - прямой переход.
Semantec Endpoint Protection 11.0.780.1109 с последними обновлениями - ничего не находит.

Что за "зверь" может сидеть у меня на ноуте?

436. Vovchik, 15.04.2009 13:48
Позавчера началось... Закрываю вкладку ИЕ7, тут же сворачивается всё окно, а его место занимает новое, с единственной вкладкой, типа этого: http://jomba.ru/search.php?text=super%20geroi или этого: http://jomba.ru/search.php?text=%D0%BA%D1%80%D1%83%D…D1%82%D1%81%D1%8F . Запрещаю всплывающие окна полностью, вписываю маску в антибаннер - все равно лезет, сегодня уже одолело... Что это и как его придушить?

437. IceBeerg, 15.04.2009 16:26
Blackman
Порно банеры случаем не показываются? Если нет, то должны. По "клубничке" лазали?
Я попытался зайти на http://tloze.co.cc/ еле успел страницу закрыть пока зам.директора входила...

438. bopUK, 15.04.2009 17:58
Blackman
Vovchik
Вы того, hijackните (http://www.hijackthis.de/en) компьютер и результаты сюда в [ code ] [ / code ]

http://download.hijackthis.eu/HJTInstall.exe

439. Vovchik, 15.04.2009 22:57
IceBeerg
По "клубничке" лазали?
дык она сама во все щели лезла, пока не включил родительский контроль

bopUK
hijackните компьютер и результаты сюда
вот...
код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:01, on 15.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\HTTP Debugger Pro\mfnsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\Program Files\QIP\qip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Админ\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Доступ к платному контенту Aldea v1.6.0 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - C:\DOCUME~1\9226~1\APPLIC~1\Aldea\Aldea.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - Toolbar: ZoneAlarm Spy Blocker Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\RunOnce: [KB923561] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Админ\Application Data\Mail.Ru\Agent\magent.exe -CU
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Статистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Админ\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Админ\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O10 - Unknown file in Winsock LSP: c:\program files\http debugger pro\mfnsp32.dll
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - [url=http://support.dell.com/systemprofiler/SysPro.CAB]http://support.dell.com/systemprofiler/SysPro.CAB[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229373236531]http://www.update.microsoft.com/windowsupdate/v6/V5C…cab?1229373236531[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url=http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229378437250]http://update.microsoft.com/microsoftupdate/v6/V5Con…cab?1229378437250[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F00DE36-A0BC-48DB-B713-FF445AF74A13}: NameServer = 78.85.0.1 78.85.1.1
O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1\mzvkbd.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll,c:\progra~1\kasper~1\kasper~1\adialhk.dll
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: HTTP Debugger (HTTPDebugger) - MadeForNet.com - C:\Program Files\HTTP Debugger Pro\mfnsvc.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9814 bytes

440. bopUK, 16.04.2009 10:31
Vovchik
непонятно что такое:
O2 - BHO: Доступ к платному контенту Aldea v1.6.0 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - C:\DOCUME~1\9226~1\APPLIC~1\Aldea\Aldea.dll

ну и что такое *askBar* тоже не понятно.

И еще c:\program files\http debugger pro - это вы ставили? А то есть вполне легальная программа HTTPDebugger, а есть и троян с маскировкой под неё.

441. Vovchik, 16.04.2009 11:54
bopUK
Доступ к платному контенту Aldea v1.6.0
Еле нашел... Автор программы оказался Fiery Ads (что-то по рекламе в контенте), но как оно ко мне попало - не знаю... Судя по всему, оно уже деинсталлировано, т.к. В меню Пуск нет ни Fiery, ни Aldea, но в Program Files есть папка Fiery Ads, а в D&S - папка Aldea. В обоих случаях в этих папках - только *.dll и "...uninstall"

что такое *askBar* тоже не понятно.
Это хвост от деинсталлированного ZoneAlarm

debugger pro - это вы ставили?
Да, ставил я - думал разобраться с непонятным трафиком.

442. bopUK, 16.04.2009 12:11
Vovchik
еще раз запусти hijackthis, поставь галочки на Aldea и почисти им (hijack'ом).

443. AdvancedUser2008, 18.04.2009 02:49
Нужно установить хороший антивирус и проверить все в "Безопасном режиме", иначе может не обнаружиться. Рекомендую "Антивирус Касперского 2009".

444. bopUK, 18.04.2009 08:15
AdvancedUser2008
если приглядеться ка логу, то можно увидеть, что у товарища как раз каспер и стоит.

445. Vovchik, 18.04.2009 08:59
Почистил от Aldea - Hijack`ом еще позавчера, окна всплывать перестали. Сегодня еще прогнал Касперского, по рекомендации AdvancedUser2008, он еще от Fiery нашел - feary.dll. Неделю назад проверял - все чисто было . Спасибо, надоумимли . Правда, деинсталляторы этой заразы ругаются и не дают деинсталлировать, но за этим уже в другой раздел пойду.

446. StigMata, 30.04.2009 04:26
IceBeerg, Vovchik

По-моему я в той же ситуации. =\

Листинг:
код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:18:37, on 30.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\punto.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Intel\NCS\Sync\NetSvc.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Доступ к платному контенту Aldea v1.5.2 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - C:\DOCUME~1\9335~1\APPLIC~1\Aldea\Aldea.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\punto.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5894 bytes



Видимо вот эта бодяга у вас тож висит или что похожее...

Выписка с описания:

код:


Имя: Доступ к платному контенту Aldea v1.5.2
Издатель: (Не проверен) Aldea Agency
Тип: Объект модуля поддержки обозревателя
Версия: 1.6.0.1187
Дата файла:
Дата последнего доступа: 30 апреля 2009 г., 4:21
ID класса: {B8F88615-A49E-4443-A26F-E97379BE1B1A}
Количество использований: 85
Количество блокировок: 6
Файл: Aldea.dll
Папка: C:\Documents and Settings\Администратор\Application Data\Aldea


Папка: C:\Documents and Settings\Администратор\Application Data\Aldea

Вот так вот!

Добавление от 30.04.2009 04:28:

PS ...и удаляться никак не хочет.... =\

447. sr.Sandro, 30.04.2009 05:21
Могу сказать только одно(нашел на одном сайте)
Информация об aldea.dll
Уровень доверия:
неизвестный()
Заключение:
Мы не обнаружили каких-либо подозрительных действий в программе. Чтобы быть более уверенным, мы рекомендуем вам создать "Technical summary", используя программу RemoveAny и отправить ее нам для анализа. Вы так же можете найти информацию о программе в Google.
Местоположение файла:
%user_profile%\application data\aldea\aldea.dll
Подробности:
Фирма производитель Aldea Agency(1.5.2.1047).
Контрольная сумма файла A4FFFE8BBD652F8E10E584B41E0E53F3.
Файл прячет свое содержимое. Чаще всего вирусы делают это чтобы прятаться от антивирусов. Возможно, он не является вредным и может принадлежать к антивирусу.
Internet Explorer загружает его автоматически.

Но и это прога не дала результата... Народ, как от этой гадины избавиться?????

Добавление от 30.04.2009 05:55:

УррЯЯЯ!!! Я эту пакость нашел... Сидит себе,понимаешь, пакостит тебе.... А мы заходим в IE ,далее сервис и надстройки... Вот тут то эта Дрянь и сидит ,ехидно ухмыляясь дает тебе понять типа Хрен ты меня удалишь... Но она нас так разозлила , что мы ей просто наносим левый Хук мышью по кнопке отключить и тупо идем в перезагрузку... АЛЛЕС... Наша злорадная улыбка на лице говорит о том ,что пусть сидит эта херовина,она все равно в ауте!!!

448. Vovchik, 30.04.2009 09:41
StigMata
sr.Sandro
А как насчет этого:
Vovchik
в Program Files есть папка Fiery Ads, а в D&S - папка Aldea. В обоих случаях в этих папках - только *.dll и "...uninstall"
Когда запускаю эти uninstall`ы - пишет следующее:

К сообщению приложены файлы: 1.jpg, 408x502, 18Кb, 2.jpg, 409x504, 20Кb

449. bopUK, 30.04.2009 10:57
если ВДРУГ какая то программа не удаляется через анинсталл, то можно её грохнуть или руками (в режиме защиты от сбоев или загрузится с компакта загрузочного) или напр. разблочить эту dll'ку (http://ccollomb.free.fr/unlocker/) и удалить её.

450. StigMata, 30.04.2009 11:24
2 sr.Sandro...

цитата:
УррЯЯЯ!!! Я эту пакость нашел... Сидит себе,понимаешь, пакостит тебе.... А мы заходим в IE ,далее сервис и надстройки... Вот тут то эта Дрянь и сидит ,ехидно ухмыляясь дает тебе понять типа Хрен ты меня удалишь... Но она нас так разозлила , что мы ей просто наносим левый Хук мышью по кнопке отключить и тупо идем в перезагрузку... АЛЛЕС... Наша злорадная улыбка на лице говорит о том ,что пусть сидит эта херовина,она все равно в ауте!!!

Если она снесена почему в мониторе активности она "запускается" (дата и время в логе) даже в офф-режиме?
Просто отключить в ослике надстройку это полбеды помойму... Надо посмотреть а ниче ли другово она не делает????

Мож это вирь или трой криптованый.... Вот и результат что антивирь молчит...

451. Vovchik, 30.04.2009 12:08
bopUK
если ВДРУГ какая то программа не удаляется через анинсталл, то можно её грохнуть или руками (в режиме защиты от сбоев или загрузится с компакта загрузочного) или напр. разблочить эту dll'ку (http://ccollomb.free.fr/unlocker/) и удалить её.
Руками, в обычном режиме, все удалилось, но какую программу она не давала удалять???

452. bopUK, 30.04.2009 12:41
Vovchik
А какая программа перестанет после удаления этого спайваря работать - та и не давала ))

К этой теме 02.05.2009 09:13 moderator-bn подклеил тему "Проблема со входом на mail, vkontakte, odnoklassniki" (автор: guzovets)

454. guzovets, 01.05.2009 19:14
Подскажите пожалуйста.
Ситуация следующая, при входе в ИЕ на сайты mail.ru, odnoklassniki.ru, vkontakte.ru вместо них открывается совершенно другой сайт doctordick.com, причем в адресной строке отображается mail.ru
Сканил нодом, ad-aware, не помогает, ниче не находят.
Если данные сайты открывать в ФайрФоксе, то тупо чистая страница, в других браузерах открывается этот же сайт доктордик.ком.
Если создавать нового пользователя на компьютере, то ситуация не меняется.
Восстановление системы не помогает.
Уже просто не знаю в чем проблема((

455. Биомеханик, 02.05.2009 14:26
guzovets
http://forum.ixbt.com/post.cgi?id=annc:24:38093

461. ZIPchik, 06.05.2009 08:24
guzovets
в реестре поищите записи cодержащие этот адрес и просто потрите их.
Естественно перед всякими манипуляцияим сначала бэкап делайте.

462. Shurick, 08.05.2009 13:15
А черные toolbars в IE8 ни у кого не возникали? У меня и дома и на работе такая фигня - время от времени все панели с инструментами становятся черными. Искал по форумам - у многих такая проблема с IE8 еще с 2008 года, но никакого решения пока не нашел.

463. Alexander7, 11.05.2009 09:10
Присоединяюсь к автору предыдущего поста.
Ситуация следующая: имеются 2 машины - десктоп и нетбук. На десктопе при обновлении IE на 8-ю версию все нормально, а вот на нетбуке... (см.скриншот).
С чем связано - не знаю, как лечить - тоже.
Для справки: на нетбуке ХР НОМЕ SP3 со всеми обновлениями, разрешение экрана 1024х600, видео Intel G945. Предыдущая, 7-я версия IE таких взбрыков не давала. Поможет кто советом, как победить?

464. Fisher904, 12.05.2009 06:57
Люди грамотные помогите.
Виста Хоум Премиум SP1 обновила IE с 7-го на 8-й. Вкладки перестали загружаться, только открываются, горит "Подключение" и всё.
Как объяснить простыми словами, даже не знаю. Загружена любая страница с кучей ссылок. Тыкаю в ссылку, открывается новая вкладка, вверху вкладки горит "Подключение", но вкладка почему то не грузится. Если через пр.кнопку мыши "Открыть ссылку в новом окне", то ни к чему не приводит вообще.
Приходится копировать ссылку в адресную строку и только так выходить из ситуации. Я в ауте вообще от такого геморроя.

465. Биомеханик, 12.05.2009 09:30
Fisher904, и? что делает Ваш постинг в этой теме?

466. Microlab, 21.05.2009 23:10
Сегодня полез на Гугл и вот что мне прилетело - ВАШ БРАУЗЕР ЗАБЛОКИРОВАН!
Если вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами
отправьте SMS на номер 2476 с текстом dat 10182 45 (внимание, между каждым словом - пробел!)
Внимание! У вас есть менее 10 минут, чтобы отправить смс!
Что интересно - данное сообщение всплывает только ,когда обращаешься к поисковикам - с остальным всё ОК. Что можно предпринять? Антивирус(NOD32) ничего не находит.

467. Биомеханик, 22.05.2009 09:27
Microlab
Что можно предпринять

http://forum.ixbt.com/post.cgi?id=annc:24:38093

468. Microlab, 22.05.2009 17:16
Биомеханик, ничего не помогло... у знакомого похожая проблема была - он Касперским последним прочёсывал - также толку 0 (... буду систему сносить..

469. Биомеханик, 22.05.2009 17:39
Microlab
ничего не помогло..

Естественно, ибо читали невнимательно.

470. Microlab, 23.05.2009 12:54
Биомеханик, Вы мне конкретно скажите, что делать... а то всё намёками..

471. bopUK, 23.05.2009 14:57
Microlab
HijackThis http://www.hijackthis.de/downloads/HJTInstall.exe
и его лог сюда

472. Microlab, 23.05.2009 15:12
Вот лог :
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:38, on 23.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\punto.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O1 - Hosts: 85.229.104.163 1tv.ru
O1 - Hosts: 85.229.104.163 mail.ru
O1 - Hosts: 85.229.104.163 www.mail.ru
O1 - Hosts: 85.229.104.163 www.yandex.ru
O1 - Hosts: 85.229.104.163 yandex.ru
O1 - Hosts: 85.229.104.163 www.vkontakte.ru
O1 - Hosts: 85.229.104.163 vkontakte.ru
O1 - Hosts: 85.229.104.163 www.odnoklasniki.ru
O1 - Hosts: 85.229.104.163 odnoklasniki.ru
O1 - Hosts: 85.229.104.163 www.google.ru
O1 - Hosts: 85.229.104.163 google.ru
O1 - Hosts: 85.229.104.163 www.rambler.ru
O1 - Hosts: 85.229.104.163 rambler.ru
O1 - Hosts: 85.229.104.163 www.ya.ru
O1 - Hosts: 85.229.104.163 ya.ru
O1 - Hosts: 85.229.104.163 www.google.com
O1 - Hosts: 85.229.104.163 google.com
O1 - Hosts: 85.229.104.163 www.pochta.ru
O1 - Hosts: 85.229.104.163 pochta.ru
O1 - Hosts: 85.229.104.163 www.bigmir.net
O1 - Hosts: 85.229.104.163 bigmir.net
O1 - Hosts: 85.229.104.163 www.liveinternet.ru
O1 - Hosts: 85.229.104.163 liveinternet.ru
O1 - Hosts: 85.229.104.163 www.zaycev.net
O1 - Hosts: 85.229.104.163 zaycev.net
O1 - Hosts: 85.229.104.163 www.wikipedia.org
O1 - Hosts: 85.229.104.163 wikipedia.org
O1 - Hosts: 85.229.104.163 www.dating.ru
O1 - Hosts: 85.229.104.163 dating.ru
O1 - Hosts: 85.229.104.163 www.24open.ru
O1 - Hosts: 85.229.104.163 24open.ru
O1 - Hosts: 85.229.104.163 www.mirtesen.ru
O1 - Hosts: 85.229.104.163 mirtesen.ru
O1 - Hosts: 85.229.104.163 www.qip.ru
O1 - Hosts: 85.229.104.163 qip.ru
O1 - Hosts: 85.229.104.163 www.start.qip.ru
O1 - Hosts: 85.229.104.163 start.qip.ru
O1 - Hosts: 85.229.104.163 www.torrents.ru
O1 - Hosts: 85.229.104.163 torrents.ru
O1 - Hosts: 85.229.104.163 www.rutube.ru
O1 - Hosts: 85.229.104.163 rutube.ru
O1 - Hosts: 85.229.104.163 www.smotri.com
O1 - Hosts: 85.229.104.163 smotri.com
O1 - Hosts: 85.229.104.163 www.mylivepage.ru
O1 - Hosts: 85.229.104.163 mylivepage.ru
O1 - Hosts: 85.229.104.163 www.ucoz.ru
O1 - Hosts: 85.229.104.163 ucoz.ru
O1 - Hosts: 85.229.104.163 www.intv.ru
O1 - Hosts: 85.229.104.163 intv.ru
O1 - Hosts: 85.229.104.163 www.dwar.ru
O1 - Hosts: 85.229.104.163 dwar.ru
O1 - Hosts: 85.229.104.163 www.nevosoft.ru
O1 - Hosts: 85.229.104.163 nevosoft.ru
O1 - Hosts: 85.229.104.163 www.championat.ru
O1 - Hosts: 85.229.104.163 championat.ru
O1 - Hosts: 85.229.104.163 www.eurosport.ru
O1 - Hosts: 85.229.104.163 eurosport.ru
O1 - Hosts: 85.229.104.163 www.kinopoisk.ru
O1 - Hosts: 85.229.104.163 kinopoisk.ru
O1 - Hosts: 85.229.104.163 www.kinozal.tv
O1 - Hosts: 85.229.104.163 kinozal.tv
O1 - Hosts: 85.229.104.163 www.musicmp3.spb.ru
O1 - Hosts: 85.229.104.163 musicmp3.spb.ru
O1 - Hosts: 85.229.104.163 www.hh.ru
O1 - Hosts: 85.229.104.163 hh.ru
O1 - Hosts: 85.229.104.163 www.d..............m
O1 - Hosts: 85.229.104.163 d..............m
O1 - Hosts: 85.229.104.163 www.dom2.ru
O1 - Hosts: 85.229.104.163 dom2.ru
O1 - Hosts: 85.229.104.163 www.icq.com
O1 - Hosts: 85.229.104.163 icq.com
O1 - Hosts: 85.229.104.163 www.dimonvideo.ru
O1 - Hosts: 85.229.104.163 dimonvideo.ru
O1 - Hosts: 85.229.104.163 www.nnm.ru
O1 - Hosts: 85.229.104.163 nnm.ru
O1 - Hosts: 85.229.104.163 www.auto.ru
O1 - Hosts: 85.229.104.163 auto.ru
O1 - Hosts: 85.229.104.163 www.bash.org.ru
O1 - Hosts: 85.229.104.163 bash.org.ru
O1 - Hosts: 85.229.104.163 www.mylivepage.com
O1 - Hosts: 85.229.104.163 mylivepage.com
O1 - Hosts: 85.229.104.163 www.vz.ru
O1 - Hosts: 85.229.104.163 vz.ru
O1 - Hosts: 85.229.104.163 www.life.ru
O1 - Hosts: 85.229.104.163 life.ru
O1 - Hosts: 85.229.104.163 www.6008help.ru
O1 - Hosts: 85.229.104.163 6008help.ru
O1 - Hosts: 85.229.104.163 www.sms911.ru
O1 - Hosts: 85.229.104.163 sms911.ru
O1 - Hosts: 85.229.104.163 www.help-cmc.ru
O1 - Hosts: 85.229.104.163 help-cmc.ru
O1 - Hosts: 85.229.104.163 www.nigma.ru
O1 - Hosts: 85.229.104.163 nigma.ru
O1 - Hosts: 85.229.104.163 www.aport.ru
O1 - Hosts: 85.229.104.163 aport.ru
O1 - Hosts: 85.229.104.163 www.gogo.ru
O1 - Hosts: 85.229.104.163 gogo.ru
O1 - Hosts: 85.229.104.163 www.go.mail.ru
O1 - Hosts: 85.229.104.163 go.mail.ru
O1 - Hosts: 85.229.104.163 www.pooisk.com
O1 - Hosts: 85.229.104.163 pooisk.com
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\punto.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpyZooka] C:\Program Files\SpyZooka\SpyZookaLdr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe
O8 - Extra context menu item: Поиск@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/282
O8 - Extra context menu item: Словари@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/283
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E46C07FE-50C1-487E-8226-BD30CB752ADD}: NameServer = 193.33.26.61,62.148.230.2
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8694 bytes

473. bopUK, 24.05.2009 12:03
Microlab
Ну я думаю вы сами все увидели (см. O1 - Hosts: ....)
При обращении к этим сайтам вас перекидывает на 85.229.104.163
Почистите hijack'ом.

474. Microlab, 24.05.2009 12:48
bopUK, Биомеханик Большое спасибо! Почистил - всё стало ок).

475. Биомеханик, 25.05.2009 09:56
цитата:
Microlab:
Биомеханик, Вы мне конкретно скажите, что делать... а то всё намёками..
Намёками?! По моей ссылке чётко и ясно написано:
цитата:
Если у Вас появилось подозрение, что в системе завёлся троян - скачайте HiJackThis, запустите его, сохраните лог и поместите его в свой постинг, обрамив тэгами [ code ][ /code ], при этом не забывая упомянуть, в чём именно выражается действие трояна.
Куда ещё чётче-то?!

476. Кокетка, 26.05.2009 23:47
Постоянно выскакивает jomba.ru и в установленных программах появилась Aldea. Помогите разобраться)

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:38, on 26.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Mail.Ru\Agent\magent.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
C:\Windows\System32\spool\drivers\w32x86\3\WrtMon.exe
C:\Program Files\WebMoney Agent\wmagent.exe
C:\Program Files\Eset\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\System32\spool\drivers\w32x86\3\WrtProc.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://search.qip.ru]http://search.qip.ru[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://search.qip.ru]http://search.qip.ru[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://search.qip.ru]http://search.qip.ru[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://search.qip.ru]http://search.qip.ru[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.ru/]http://www.google.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url=http://search.qip.ru]http://search.qip.ru[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url=http://search.qip.ru/search?query=%s&from=IE]http://search.qip.ru/search?query=%s&from=IE[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Users\Мой\AppData\Roaming\Mra\Update\mrasearch.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O2 - BHO: Доступ к платному контенту Aldea v1.5.2 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - C:\Users\Мой\AppData\Roaming\Aldea\Aldea.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StrongDC++] C:\Program Files\StrongDC++\StrongDC.exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\Windows\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files\WebMoney Agent\wmagent.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{419E4D4F-C376-459A-8C3B-558AF59D815F}: NameServer = 192.168.50.170,212.152.38.198
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 7073 bytes

Добавление от 27.05.2009 00:19:

Кое-что поудаляла)) Интересуют:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Users\Мой\AppData\Roaming\Mra\Update\mrasearch.dll

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe

И еще((( почистила hijackthis платный контент Aldea, но из установленных программ он не исчез и удалить его оттуда опять не могу((((

477. Bijan, 30.05.2009 10:42
В один прекрасный день KAV7 заблокировал при открытии Internet Explorer со словами: Process C:\WINDOWS\explorer.exe (PID:3604): attempt to embed itself into another process was blocked

Было запущено полное сканирование системы и обнаружен троян zbot.vdi, который был успешно удален из системы. Правда насколько успешно не знаю, но Касперский теперь говорит, что все чисто.

Тем не менее, изначальная проблема осталась - при попытке открыть Internet Explorer, Касперский его блокирует и закрывает окно, причем ругается именно на explorer.exe. При выборе в антивирусе Deny, браузер работает.

Подскажите, пожалуйста, в чем может быть дело.

код:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:36, on 30.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\MagicRotation\MagicPvt.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\MEDIAK~1\MagicKey.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\SEC\MagicTune3.6\GammaTray.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\SEC\MagicTune3.6\MagicTune.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 152.3.138.2:3127
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MagicRotation] C:\Program Files\MagicRotation\MagicPvt.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MagicKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Startup: СТРИМ.lnk = ?
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Azureus Vuze.lnk = C:\Program Files\Azureus\Azureus.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: MagicTune 3.6.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url=http://go.microsoft.com/fwlink/?linkid=39204]http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229855548218]http://www.update.microsoft.com/windowsupdate/v6/V5C…cab?1229855548218[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA567A6-D702-49EF-90B2-8D2A3329AE96}: NameServer = 195.34.32.116 212.188.4.10
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)
O23 - Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Планировщик автоматического запуска LiveUpdate - Unknown owner - (no file)

--
End of file - 14738 bytes

478. bopUK, 08.06.2009 11:28
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

это не понятно что

O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)
это подотри

479. Roke, 19.06.2009 15:24
Здравствуйте господа.У меня вдруг тоже появилась Aldea.Вчера случайно увидел.Программа сидит в Control Panel/Add/remove programs и анинсталироваться не хочет.Её .exe файл я нашел в Windows и удалил.Просканировал вот этой штуковиной HijackThis, вроде ничего не видно.Search на личие файлов не показывает.Пока программа себя никак не проявляет.Я не пользуюсь IE, вернее, крайне редко.
Ниже лог:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:22:11 AM, on 6/19/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vVX6000.exe
C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\ACT\ACT for Windows\Act8.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ComcastUI\Universal Installer\uinstaller.exe
C:\Program Files\ComcastUI\Universal Installer\uinstaller.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKLM\..\Run: [YSearchProtection] "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Act! Preloader] "C:\Program Files\ACT\ACT for Windows\Act8.exe" -stayrunning
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Universal Installer] "C:\Program Files\ComcastUI\Universal Installer\uinstaller.exe" /fromrun /starthidden
O4 - HKCU\..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [YSearchProtection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [Desktop Software] "C:\Program Files\ComcastUI\Universal Installer\uinstaller.exe" /ini "uinstaller.ini" /fromrun /starthidden
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 5943 bytes



Подскажите, что сделать чтоб убрать заразу.Я не знаю как она себя проявит.Может уже проявляет, но я не вижу.

480. bopUK, 19.06.2009 16:26
как вылезет - так и пиши
а пока чисто.

481. Skyliner777, 02.07.2009 19:36
После установки Explorer 8.0 появилось 2 проблемы (одну с размытостью шрифта уже решил)))!!!

Сначала у меня был Explorer 6.0 и как-то раз зашел по ссылке на какой-то сайт , который естественно оказался интимного содержания и прописался у меня в адресной строке. Т.е. Свойства обозозревателя. Стартовая страница Пустая, а при открытии Explorera 6.0 при первом открытии интернета после включения компа загружался сайт http://start.traffer.ru/first/
Затем закрывал браузер и открывал вновь и все становилось на свои места. Т.е. адресная строка была пуста)))

так и приходилось работать. Переустанавливать винду ради этой фигни не хотелось.

Теперь пришлось установить 8 -ую версию.

Теперь этот сайт http://start.traffer.ru/first/ , который еще до установки 8.0 переходит по ссылке intimtube.ru открывается ВСЕГДА при каждом открытии заново Explorera!

Как на х... забанить этот сайт????? Если воспользоваться Свойство обозревателя- Содержание-Ограничение доступа, то доступ ограничивается не только к этому сайту, а ко всем сайтам и приходится вводить пароль что является недопустимым. Повторюсь, сайт сам при работе приложения не загружается. Он только загружается при каждом новом открытии Explorera!!!!

Как запретить открытие этого сайта без переустановки винды? Вставка стартовой страницы (например яндекса) тоже не помогает.

Есть KIS 8.0 может в нем что можно сделать?

Забыл сказать. ПК не заражен вирусами и проверялся Kisом (с обновлениями от 01 июля и Др. вебом)

Через Оперу и Лису на сайт-паразит не заходит Только через IE!

482. bopUK, 02.07.2009 20:06
Skyliner777
FAQ: Internet Explorer - автозагрузка, домашняя страница, трояны, всплывающие окна и т.д., #0 (http://forum.ixbt.com/topic.cgi?id=24:38093:0#0)
красными буквами.
Ну тут же нет провидцев, которые кинут кости и скажут где у вас сидит зараза.

483. Skyliner777, 02.07.2009 21:16
[ code ]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:18, on 02.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\CyberLink\Shared files\RichVideo.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Canon\CAL\CALMAIN.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\CTHELPER.EXE
D:\WINDOWS\system32\devldr32.exe
C:\program files\Motherboard Monitor 5\MBM5.EXE
D:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
D:\WINDOWS\system32\carpserv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\ABBYY Lingvo 12\Lvagent.exe
D:\WINDOWS\Philips\SPC500NC\Monitor.exe
D:\Program Files\Transcend Utility\Transcend StoreJet elite\SJelite.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
D:\Program Files\Brother\ControlCenter2\brctrcen.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
D:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
D:\WINDOWS\9129837.exe
D:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
D:\PROGRA~1\MICROS~4\rapimgr.exe
D:\Program Files\ACD Systems\ImageFox\ImageFox.exe
D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\WINDOWS\VPro500.exe
D:\Documents and Settings\artmib\Рабочий стол\utorrent.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\wincmd\WINCMD32.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yandex.ru/?clid=44290
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - D:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Program Files\GetRight\xx2gr.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Program Files\ReGetDx\iebar.dll
O3 - Toolbar: PROMT - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - H:\Films 3\Promt 2\PRMTIE\prmtie.dll (file missing)
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - D:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MBM 5] "C:\program files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] D:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FX] D:\WINDOWS\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - HKLM\..\Run: [usbn] D:\WINDOWS\system32\usbn.exe -go -c56 -w
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [SPC500NC_Monitor] D:\WINDOWS\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [Transcend StoreJet elite] D:\Program Files\Transcend Utility\Transcend StoreJet elite\SJelite.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] D:\Program Files\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] D:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AMP Agent] D:\Program Files\Common Files\ARS Company\Agent\Agent.exe
O4 - HKCU\..\Run: [SIM] "C:\PrOGGI\Sim аналог ICQ\SIM\sim.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [QIP.Online] D:\Program Files\QIP.Online\qiponline.exe auto_start
O4 - HKCU\..\Run: [ICQ] "D:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ttool] D:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = D:\Program Files\Adobe Media Player\Adobe Media Player.exe
O4 - Startup: rncsys32.exe
O4 - Global Startup: Device Detector 3.lnk = D:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Program Files\GetRight\getright.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPro500.lnk = D:\WINDOWS\VPro500.exe
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://D:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: Backward &Links - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Online-словари - H:\Films 3\Promt 2\PRMTIE\oda.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://D:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Автоматически определить шаблон тематики - H:\Films 3\Promt 2\PRMTIE\aot.htm
O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - D:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - D:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Настроить параметры перевода - H:\Films 3\Promt 2\PRMTIE\options.htm
O8 - Extra context menu item: Незнакомые слова - H:\Films 3\Promt 2\PRMTIE\infopanel.htm
O8 - Extra context menu item: Открыть словарную статью - H:\Films 3\Promt 2\PRMTIE\addentry.htm
O8 - Extra context menu item: Перевести - H:\Films 3\Promt 2\PRMTIE\translat.htm
O8 - Extra context menu item: Перевести страницу - H:\Films 3\Promt 2\PRMTIE\page.htm
O8 - Extra context menu item: Поиск в Интернете - H:\Films 3\Promt 2\PRMTIE\search.htm
O9 - Extra button: Статистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra button: (no name) - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - H:\Films 3\Promt 2\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Настроить параметры перевода - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - H:\Films 3\Promt 2\PRMTIE\options.htm (file missing)
O9 - Extra button: (no name) - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - H:\Films 3\Promt 2\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Перевести - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - H:\Films 3\Promt 2\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .asp: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.iseemedia.com/downloads/activex/LPControl.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: outline3d - {D0F6E6CD-666D-4578-87A5-26A015436CA2} - D:\Program Files\Common Files\ParallelGraphics\Outline3D\Outline3dProtocol.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - D:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - D:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kavsvc.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - D:\WINDOWS\System32\net32b.exe (file missing)
O23 - Service: NT login service (ntlogin32) - Unknown owner - D:\WINDOWS\System32\libsys32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 17819 bytes
[ /code ]

Добавление от 02.07.2009 21:18:

bopUK
Я произвел операцию, как было написано красным. Что теперь делать?
Спасибо)

Добавление от 02.07.2009 21:44:

Вот они гады!!!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/


Если нужно будет чистить Hilackom, как вы говорили другим, то как это делается? Что такое вообще лог, где он находится?

Лог , случаем, не здесь ли лежит? Windows/system32/LogFilers/HttPerr/httperr1.log

Hi Jack проанализировал его и выдал следующее (три скрина ниже):

http://img31.imageshack.us/img31/9241/40915598.jpg
http://img210.imageshack.us/img210/1858/38956031.jpg
http://img6.imageshack.us/img6/989/53260659.jpg

Если я правильно сделал с Hi Jackoм, то что дальше делать?

484. bopUK, 03.07.2009 08:29
для начала убить процесс
D:\WINDOWS\9129837.exe

затем запустить hijack , просканерить им и поставить галочки и нажить fix на след. компонентах:

код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://start.traffer.ru]http://start.traffer.ru[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://start.traffer.ru]http://start.traffer.ru[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = [url=http://start.traffer.ru/first/]http://start.traffer.ru/first/[/url]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [FX] D:\WINDOWS\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d [url=http://start.traffer.ru/first/]http://start.traffer.ru/first/[/url] /f
O4 - HKLM\..\Run: [usbn] D:\WINDOWS\system32\usbn.exe -go -c56 -w
O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe
O4 - HKCU\..\Run: [ttool] D:\WINDOWS\9129837.exe
O4 - Startup: rncsys32.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.[b]m-h-t-[/b]!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

А вот если убить эти, то возможно некоторый софт условно бесплатный работать не будет.
код:

O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - [url=http://www.linkedin.com/cab/LinkedInContactFinderControl.cab]http://www.linkedin.com/cab/LinkedInContactFinderControl.cab[/url]

O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - [url=http://www.iseemedia.com/downloads/activex/LPControl.cab]http://www.iseemedia.com/downloads/activex/LPControl.cab[/url]

O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - [url=http://dl.uc.sina.com/cab/downloader.cab]http://dl.uc.sina.com/cab/downloader.cab[/url]

485. Skyliner777, 03.07.2009 10:32
bopUK
На 29 стр. вирус


Проблема с Internet Explorer 8.0 (При загрузке автоматически загружается сайт) (http://forum.ixbt.com/topic.cgi?id=24:42318)

Последний скрин ipicture

486. bopUK, 03.07.2009 10:50
Skyliner777
Выруби касперского и посмотри страницу. В данной теме есть названия файлов, которые антивирусы считают вирусами.

487. Skyliner777, 04.07.2009 17:58
bopUK,
Я не могу прочитать ваше сообщение , т.к. в нем содержится вирус, который идентифицирует KIS.
Можете ответить мне в ЛС или на почту gugarro(dog)yandex(.)ru

Спасибо

Добавление от 04.07.2009 17:59:

Еще раз, вот, что мне пишет KIS, когда я хочу открыть 29-стр.

http://pic.ipicture.ru/uploads/090703/1dA14CKlry.jpg

488. vnm123, 05.07.2009 15:54
Всем привет!

Может кто знает почему IE 8 не выгружается из процессов после его закрытия.

Спасибо.

489. inspire0, 06.07.2009 13:15
Знающие люди помогите пожалуйста советом.
При каждом запуске компьютера на весь экран при старте винды появляется окошко, где написано (винда не лицензионная отправьте смс на номер ххх и т.д.) при этом какие либо действия кроме перезагрузки заблокированы.
Подскажите что можно сделать в этой ситуации и где искать эту гадость.

спасибо

490. vnm123, 06.07.2009 15:04
!! ПОПЫТКА

IE 8 НЕ ХОЧЕТ ВЫГРУЖАТЬСЯ, ХОТЯ ОКНО IE ЗАКРЫВАЕТСЯ

спасибо за внимание

491. Skyliner777, 06.07.2009 15:41
bopUK, добрый день!

На свой страх и риск отключил все-таки KIS, хотя , как я говорил раннее, читать сообщения на стр. 29 я не мог. Кстати, после перезагрузки ПК и активизации KIS , Каспер нашел троянский вирус с файлом .exe, так что вирус все-таки есть(

Давайте по делу)))

Во-первых, спасибо большое за помощь!!!

Не могли бы вы сказать, что это за программа/файл и откуда она взялась и для чего нужна?
D:\WINDOWS\9129837.exe

Хотел я удалить сей продукт, но он не удаляется.
Пишет следующее:
http://pic.ipicture.ru/uploads/090706/d8Wtp2gRVT.jpg

Пробовал и через WinCommander и через Мой компьютер удалить. Ничего не помогает.
Может каким другим способом можно уничтожить эту программу?
Насколько она опасна?

Во-вторых, Просканил я HiJackом еще раз, как вы сказали, и пофиксил

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f

вот эти файлы. После чего исчезла главная проблема. При загрузке IE вход на сайт start.traffer.ru ПРЕКРАТИЛСЯ)))))))

Остальные не решился, т.к. не смог удалить 9129837.exe.
Оставшиеся тоже фиксить, если даже не смогу удалить 9129837.exe или не надо?
Не приведет ли фикс оставшихся файлов к перебоям?

Разумеется последние 3 файла, которые могут повлиять на Free soft фиксить не буду)

Подскажите, пожалуйста, дальнейшие действия? Если уже вредоносный сайт не загружается, может не стоит фиксить оставшиеся и удалять 9129837.exe?

СПАСИБО)

492. bopUK, 06.07.2009 15:54
Skyliner777
есть такая программа Unlocker
http://soft.softodrom.ru/ap/Unlocker-p6411
http://www.ixbt.com/news/all/index.shtml?10/43/33
ей можно анлокнуть (как это по-русски..... разблокировать) заблокированный файл и стереть его. Это так же можно сделать и загрузившись в SafeMode

Помимо start.traffer.ru я привел еще несколько файлов (см. выше). Это обычные троян-даунлодеры Так что советую и их почистить.

493. Skyliner777, 06.07.2009 16:14
bopUK
Спасибо!
Только что после перезагрузки ПК удалил 9129837.exe
И сейчас почищу HiJackom оставшиеся!


БОЛЬШОЕ-БОЛЬШОЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!


Я очень счастлив)))))))))))))))!!!!!

494. bopUK, 07.07.2009 08:23
inspire0
почитай в этой теме, что то было подобное про смс.
Тут внизу есть поиск по данной теме, поищи по словам смс, sms

или внимательно читай первое сообщение в этой теме!!!

495. neolomo, 16.07.2009 12:08
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:00, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\DrWeb\SpIDerAgent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\VistaDriveIcon\VistaDrv.exe
C:\Program Files\louderit\LouderIt.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\USBGuard\USBGuard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.ru/]http://www.google.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url=https://www.paypal.com/xclick/business=donation@arniworx.de&currency_code=EUR&item_name=awxDTools%20-%20Daemon-Tools%20ShellExtension%20Donation&item_number=2&no_shipping=1&return=http%3A//www.arniworld.de/donated.htm&cancel_return=http%3A//www.arniworld.de/notdonated.htm&cn=Comment]https://www.paypal.com/xclick/business=donation@arni…tm&cn=Comment[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 9\SnagitBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [louderit.exe] C:\Program Files\louderit\LouderIt.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O4 - Startup: USBGuard.lnk = C:\Program Files\USBGuard\USBGuard.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Проверить ссылку Dr.Web - [url=http://www.drweb.com/online/drweb-online-ru.html]http://www.drweb.com/online/drweb-online-ru.html[/url]
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {103F3DA0-690B-4687-85DC-DB824FA72BB4} (DemoForge Player Control 2.0) - [url=http://www.demoforge.com/download/dfctrl.cab]http://www.demoforge.com/download/dfctrl.cab[/url]
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - [url=https://w3s.webmoney.ru/WMAcceptor.dll]https://w3s.webmoney.ru/WMAcceptor.dll[/url]
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FinePrint Диспетчер v6 - FinePrint Software, LLC - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp6.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9434 bytes

была какая то зараза вроде почистил, поставил антивирь, кто скажет что есть еще. какая то зараза вроде есть

496. bopUK, 16.07.2009 15:04
neolomo
анализатор заругался на:
код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

O16 - DPF: {103F3DA0-690B-4687-85DC-DB824FA72BB4} (DemoForge Player Control 2.0) - [url=http://www.demoforge.com/download/dfctrl.cab]http://www.demoforge.com/downl oad/dfctrl.cab[/url]


497. luri44, 25.07.2009 20:35
Добрый вечер. Есть вот такой лог(сделан из терминальной сессии):
код:

Scan saved at 18:06:42, on 25.07.2009
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend\SProtect\SpntSvc.exe
C:\Program Files\Trend\SProtect\StWatchDog.exe
C:\Program Files\Trend\SProtect\StOPP.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\Trend\SProtect\EarthAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\WINDOWS\system32\mmc.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe

Проблему вижу и знаю и без того - файл smss.exe в папке админа. Он подгребает под себя почти все системные процессы что видно из скана от AVZ. Проблема в том что не могу нигде найти где ссылка на этот файл и почему запускается он а не оригинал. ProcessExplorer видит что smss.exe запущен из правильного места \windows\system32\ Но скорее всего это уже измененный файл. Грузился с ERD 2005 вижу пустую папку C:\Documents and Settings\Administrator\WINDOWS\ Есть подозрения что меняется переменная PATH и некоторые сервисы запускаются из \system32\%name% тоесть никаких %systemroot% не стоит у них. Руками дописывал прямой путь - не помогло, после перезагрузки все стало на круги своя.
Запускал CureIT, и онлайновую проверку от касперского, утилитку TFAK5, результата не дало.
Троянец рассылает спам кудато в германию потомучто мой ИП заблокировали ихние антиспамеры.

вот остаток лога:
код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url=http://**]http://**[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.250:3128
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program

Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [TrafMonitor] C:\Program Files\TMeter\trafmonitor.exe /logon /admin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Program Files\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Canon LBP-800 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O9 - Extra button: ?????????? ????????? - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Documents and
Settings\Administrator\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Documents and
Settings\Administrator\WINDOWS\web\related.htm (file missing)
O10 - Broken Internet access because of LSP provider 'c:\documents and
settings\administrator\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: [url=http://the.earth.li]http://the.earth.li[/url]
O15 - ESC Trusted Zone: [url=http://chuangtzu.acc.umu.se]http://chuangtzu.acc.umu.se[/url]
O15 - ESC Trusted Zone: [url=http://*.windowsupdate.com]http://*.windowsupdate.com[/url]
O15 - ESC Trusted Zone: [url=http://*.windowsupdate.com]http://*.windowsupdate.com[/url] (HKLM)
O15 - ESC Trusted IP range: [url=http://192.168.1.1]http://192.168.1.1[/url]
O15 - ESC Trusted IP range: [url=http://192.168.0.254]http://192.168.0.254[/url]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****
O17 - HKLM\Software\..\Telephony: DomainName = *****
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC9686E-1109-4F44-842B-0D852BBD566A}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****
O23 - Service: ComodoBackupService - COMODO - C:\Program Files\Comodo\BackUp\CmdBkSvc.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Program Files\Trend\SProtect\EarthAgent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program
Files\Java\jre6\bin\jqs.exe
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Program Files\Trend\SProtect\SpntSvc.exe
O23 - Service: TMeter 7.8.454 (TrafSvc) - Unknown owner - C:\Program Files\TMeter\TrafSvc.exe


буду благодарен за любую помощь

498. MadDream, 08.08.2009 14:45
Дублирую свой пост из закрытой темы:
Привет народ.Намотал и я себе этот "триппер" лихорадищий в последнее время всемирную паутину.
Знаю что они разные бывают (но созданы с одной целью-вышибание бабла.Просят для разблокировки (чего не будет) плагина прислать 254.р24к. на номер "такой то".
Вобщем я понял что подцепил какую то "модернизированную" заразу,которая заразила мне и Internet Explorer и Оперу. Почему она модернизированая,я понял из того,что не одно из нашедшихся мной средств удаления этого дерьма-не действует! Далее перечисляю то,что я пробовал:


1.Наиболее простой способ: откройте меню "Сервис" >>> пункт "Свойства обозревателя" >>> закладка "Программы" >>> кнопка "Сброс параметров". Так вы вернете всем настройкам их начальные значения на момент установки в систему
Ничего не получилось....Плагин остался

2.откройте меню "Сервис" >>> пункт "Свойства обозревателя" >>> закладка "Программы" >>> но теперь кнопка "Надстроки". Вы попадете в окно, где перечислены все надстройки, используемые браузером. Как найти и обезвредить информер? Посмотрите внимательно: имя содержит слово video (у меня было RKAU Video Helper Object), в графе издатель (Не проверен) либо пусто, а файл называется *lib.dll (первые буквы похоже генерятся случайным образом - были зафиксированы следущие названия: akklib.dll, avslib.dll, ayrlib.dll, covlib.dll, edwlib.dll, gbpllib.dll, igzlib, mfxlib.dll, oslib.dll, pdalib.dll, pllib.dll, qfrlib.dll, samlib.dll, svblib.dll, xptlib.dll, zdjlib.dll).
Никаких слов с "video" у меня нет и dll файлов с последними буквами lib тоже нет.

3.Combofix – бесплатная утилита для удаления спайваре, рекламного ПО, новостных лент , троянов, вирусов с вашего компьютера. Эта штука отлично работает, против различной напасти такого вида.
Пробовал-не помогает.

4.Проверить систему последними обновлениями антивируса Dr.Web CureIt!
Скачал,запустил......Прога ничего не нашла.

5.Для Оперы Открываем Оперу. В верхнем меню(там где Файл, Правка) ищем кнопку “Tools(Инструменты) “далее жмем на самую нижнюю кнопку “Preferences(Настройки)”, или просто жмем CTRL + F12. В открывшемся окне ищем кнопку “Javascript options(Настройки Javascript)”, в новом окне ищем внизу блок “User Javascript files(папка пользовательских файлов Javascript)” и СТИРАЕМ ВСЕ ЧТО ТАМ НАПИСАНО! Скорее всего там написано “C:\WINDOWS\uscripts” но вполне возможно у всех будет по разному
В "User Javascript files(папка пользовательских файлов Javascript)”" ничего не прописано,т.е. пустое поле.

6.В IE пробовал отключать все "надстройки" (т.е. делалть состояние -"запрещать") и тоже всё по барабану,информер висит.

7.Смотрел папки Оперы и IE,в том числе и скрытые.Подозрительных файлов,вроде,нет.По крайней мере ничего с ...lib.dll я не нашёл.

Вобщем эта дрянь впилась ко мне очень конкретно и как её вычислить я уже не знаю .Ну что ещё попробовать ???
Только не предлагайте систему сносить-очень бы не хотелось.
Очень жду ваших советов,або этот баннер закрвающий 20 процентов экрана уже задолбал! Ладно бы просто раздрожал,так из за него во многих сайтах нельзя поиском воспользоваться т.к. эта паскуда нужное поле перекрывает.

PS:Наверное эта скотина сидит в папке Винды (но где её там искать?), думаю больше негде.
Кстати,ещё не нашёлся добр человек который прогу написал по автоматическому обнаружению и удалению этого дерьма?
И ещё,если у кого есть какие мысли,просьба ориентироваться на Оперу,так как я в основном ей пользуюсь.........Ещё момент.Я кстати,так и не понял как мог заразиться IE?Я ведь им не пользуюсь ?!Это плагин что,сразу во все браузеры прописывается?

Кстати,решил для теста поставить ещё один браузер (Mozilla Firefox).Устанавливаю,открываю и этот,мать его,баннер уже и там висит Я не пойму,он что автоматом во всех браузерах прописывается???

Ниже выкладываю лог файл (я в этом не понимаю,поэтому просьба помочь в идентификации заразы,если хайджек её покажет).

L
код:
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:41:28, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Synaptics\SynTP\SynAsus.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\TechnoTrend\TT-connect USB2\TTUSB20AutoRun.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\ATK Hotkey\WDC.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = [url=http://go.microsoft.com/fwlink/?LinkId=54843]http://go.microsoft.com/fwlink/?LinkId=54843[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Program Files\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: USB Auto Run (TT-connect USB2).lnk = C:\Program Files\TechnoTrend\TT-connect USB2\TTUSB20AutoRun.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{10B57A95-2662-477E-A02B-C2991AF0C36D}: NameServer = 62.109.189.240 62.109.189.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{10B57A95-2662-477E-A02B-C2991AF0C36D}: NameServer = 62.109.189.240 62.109.189.241
O20 - AppInit_DLLs: APSHook.dll C:\WINDOWS\system32\plugshow.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10570 bytes

499. Биомеханик, 13.08.2009 12:04
MadDream
цитата:
Сам поймал при поиске нужной книги 2 часа назад. Удалить c.exe с диска "C:" и две свежие (сегодняшние,если поймали сегодня) dll-ки из WINDOWS\System32. А чтобы удалить еще и plugshow.dll (которая кричит, что нет доступа) нужно сначала найти раздел в реестре, где она прописана [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] (умеете пользоваться regedit-ом?) и очистить параметр AppInit_DLLs и удалить параметр LoadppInit_DLLs. Сохранить изменения реестра и перегрузиться. После этого удалить plugshow.dll из WINDOWS\System32. И - вот оно - счастье!

500. mibmsu, 15.08.2009 22:27
Господа, посмотрите пож-та мой лог.Проблем, видимых вроде нету, но инет работает жутко. Страницы открываются долго. Заранее благодарен.
код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:34, on 15.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\uTorrent\utorrent.exe
C:\Program Files\SopCast\SopCast.exe
C:\Program Files\SopCast\adv\SopAdver.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://global.acer.com]http://global.acer.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250260084484]http://update.microsoft.com/windowsupdate/v6/V5Contr…cab?1250260084484[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{24B244DA-17B1-44B2-A293-B15608FB73E8}: NameServer = 213.234.192.7 195.14.50.1
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8040 bytes

501. Биомеханик, 15.08.2009 22:36
mibmsu
Господа, посмотрите пож-та мой лог.Проблем, видимых вроде нету, но инет работает жутко. Страницы открываются долго

ОС/браузер/конфиг компьютера/тип доступа в интернет/используемое активное оборудование?

502. mibmsu, 16.08.2009 23:24
Биомеханик
mibmsu
Господа, посмотрите пож-та мой лог.Проблем, видимых вроде нету, но инет работает жутко. Страницы открываются долго

ОС/браузер/конфиг компьютера/тип доступа в интернет/используемое активное оборудование?

WinXP home edition, Mozilla 3, Core duo T2400, через VPN.
ноутбук acer aspire 5673, пров корбина

503. Mixa1024, 17.08.2009 22:19
Сегодня один товарищ подхватил заразу, требующую отправить SMS на номер 9800. Цена, насколько я видел, 254 рубля. Иначе показывает в IE7 порнушный баннер размером 1/3 экрана.

Trojan.BlackMailer

Лечится последним CureIT'ом.

504. Биомеханик, 17.08.2009 22:28
Mixa1024
Лечится последним CureIT'ом.

Они почти неделю сигнатуру добавляли.

505. Mixa1024, 17.08.2009 22:35
mibmsu

На первый взгляд, ничего лишнего.

Добавление от 17.08.2009 22:47:

Биомеханик

Блекмейлеров есть туева хуча, только я уже видел 4 разновидности. Ты сейчас о каком?

506. Биомеханик, 18.08.2009 09:32
Mixa1024
Ты сейчас о каком

О порнобаннере и отправке SMS.

507. Юрий Z., 21.08.2009 17:38
mibmsu
а в utorrent скорость неограниченная?
При запущенном utorrent тормозит Интернет (http://forum.ixbt.com/topic.cgi?id=24:40065)

508. Akelich, 02.09.2009 05:09
код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:03:42 PM, on 9/1/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Lexmark 5400 Series\lxctmon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Users\ALINA\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEUser.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.yahoo.com/]http://www.yahoo.com/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://en.us.acer.yahoo.com]http://en.us.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://en.us.acer.yahoo.com]http://en.us.acer.yahoo.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Toolbar - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\Windows\xml2u32l.dll (file missing)
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN\Toolbar\3.0.1125.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Lexmark Toolbar - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files\MSN\Toolbar\3.0.1125.0\msneshellx.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\\PLFSetL.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Product Registration] "C:\Program Files\Acer\Acer Registration\ACE1.exe" /startup
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Windows\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [lxctmon.exe] "C:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Sprint SmartView] "C:\Program Files\Sprint\Sprint SmartView\SprintSV.exe" -a
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Drive] C:\ProgramData\N1\N1i.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [Monopod] C:\Users\ALINA\AppData\Local\Temp\b.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: 2WireSetup.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4141C2E-9E4A-4F4C-A9E4-3F2A302D3C98}: NameServer = 4.2.2.1,4.2.2.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Sprint Con App Svc (CASprint) - PCTEL - C:\Program Files\Sprint\Sprint SmartView\ConAppsSvc.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxct_device - - C:\Windows\system32\lxctcoms.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
O23 - Service: PskSvcRetailInst - Panda Security, S.L. - C:\Users\ALINA\AppData\Local\Temp\ISSCAN\PskSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sprint RcAppSvc (SprintRcAppSvc) - PCTEL - C:\Program Files\Sprint\Sprint SmartView\RcAppSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 10308 bytes



день добрый!

вот такой лог дал мне HijackThis

Проблема заключается в том, что с периодичностью раз в 5 минут у меня выскакивает окошки IE с заранее указанным адресом (какие-то очень несерьезные сайты, левые) и пытается загрузить страницу. Не могу понять, как избавиться от этой напасти! Проверил всеми указаными программами, полечил, и все рабно эта зараза у меня сидит и запускает IЕ.
помогите побороть вражину!
Спасибо

509. Dean-R, 14.09.2009 15:04
Доброго всем! Помогите пожалуйста избавиться от этой гадости (http://forum.ixbt.com/post.cgi?id=attach:24:42610:0:1) , из Mozill'ы был успешно удалён, но как удалить из IE и вообще с компьютера, мне не понятно. На этом баннере написано, что удалится автоматом через тридцать дней, помогите плизз...

510. Биомеханик, 14.09.2009 15:57
Dean-R, марш >>> http://forum.ixbt.com/post.cgi?id=annc:24:38093

511. bopUK, 14.09.2009 16:05
Dean-R
Hijack'тнись
http://www.hijackthis.de/downloads/HJTInstall.exe
и сюда от него лог.

512. Dean-R, 14.09.2009 16:51
bopUK
спасибо, Hijack'нулся
вот надеюсь это то

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:51, on 14.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
E:\Система\Advanced SystemCare 3\AWC.exe
E:\Система\NOD 32\egui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
E:\Система\Java Destination Folder\bin\jusched.exe
E:\Система\iTunes\iTunesHelper.exe
C:\Program Files\OSCAR Editor\OscarEditor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OSCAR Editor\OscarData\Tools\MyShowMessage.exe
C:\Windows\system32\igfxext.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
E:\Программы\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.ru/]http://www.google.ru/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Программы\Orbit\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Доступ к платному контенту FieryAds v2.0.1 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\msmedia.dll (file missing)
O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Система\Java Destination Folder\bin\jp2ssv.dll
O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll
O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - E:\Программы\Orbit\Orbitdownloader\GrabPro.dll
O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O4 - HKLM\..\Run: [egui] "E:\Система\NOD 32\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Система\Java Destination Folder\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Система\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [OscarEditor] "C:\Program Files\OSCAR Editor\OscarEditor.exe" Minimum
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Dean\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [toscdspd] TOSCDSPD.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://E:\Программы\Orbit\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://E:\Программы\Orbit\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\Microsoft Office 2003 pro\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Программы\Orbit\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://E:\Программы\Orbit\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office 2003 pro\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Программы\ACQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Программы\ACQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [url=http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab]http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BD93D31-4974-4BD0-BBA9-5925B77580DE}: NameServer = 195.2.238.4 195.2.238.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BD93D31-4974-4BD0-BBA9-5925B77580DE}: NameServer = 195.2.238.4 195.2.238.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - E:\Система\NOD 32\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - E:\Система\NOD 32\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8705 bytes

513. bopUK, 14.09.2009 18:07
фикси (в HijackThis поставь галочки) то, где есть строка: MyPlayCityRU
И заодно где остатки хвостов убитого вебмани: (no file)

514. Dean-R, 14.09.2009 18:59
после как поставил галочки, какую кнопку там жать??? (извини за ламерский вопрос)

Добавление от 14.09.2009 19:25:

Всё, разобрался...

Добавление от 14.09.2009 19:39:

Перезагрузился, но эта хрень по прежнему мигает...

515. Mixa1024, 14.09.2009 21:52
Dean-R

Отключай все плагины к IE. Потом включаем по одному, находим, где данное shit сидит.

516. Dean-R, 14.09.2009 22:25
Mixa1024

Всё я так и сделал, во вкладке расширения её нашёл...
Всем болшое спасибо)))

517. власюк, 16.09.2009 22:50
был на одном сайте, кликал на картинку, через некоторое время в пол-окна возник огромный баннер со словами: этот информер поставлен вам чтоб вы качали фильмы с сайта бесплатно и отправьте смс если хотите чтоб окно исчезло, иначе оно будет месяц на экране. Причем это окно эти уроды мне впихнули не только в интернет эксплоер но и поверх всех программ на экране. я нашел его в папке виндовс называется services.exe Как они впихнули мне его в виндовс непонятно, я его убрал и потом в эксплоере стало так - написано 403 Forbidden, квадраты и прямоугольники пустые на экране, если заходишь на какой-то сайт - то они поверх сайта, если наводишь стрелку на некоторые кваддраты, то стрелка превращается в руку и при нажатии возникает надпись - ошибка и у вас нет доступа на этот сайт, как убрать эту мерзость и восстановить интернет эксплоер

518. Биомеханик, 17.09.2009 09:45
власюк
http://forum.ixbt.com/post.cgi?id=annc:24:38093

521. Bichmobile, 30.09.2009 00:49
Доброе время суток!
Нужна помощь!
Такая проблема-друг купил неделю назад системник и не поставив никакой защиты запускал игры с дисков, в результате теперь при загрузке пустой дисковод определляется как установка игры "Bluebirds" со своим значком (белая птичка на голубом фоне-свободно-0байт, занято-388кб).Если извлечь диск и вставить другой, то все работает нормально, но стоит закрыть пустой дисковод- через несколько сек появляется "Bluebirds"
Мои действия: PARAGON Домашний эксперт 2009-сначала удалил, а потом затер все разделы; создал один раздел на 30ГБ(всего 465ГБ) и установил на него XP PRO SP3 (не сборку)-при первом появлении рабочего стола "Bluebirds" осталась, в безопасном режиме то-же самое; Проверил Kaspersky Rescue вирусов-0; Live CD DrWeb и Avira не загружаются в обычном режиме, а в текстовом я проверять не стал (на др. компе они загрузились нормально); до этого я ещё ставил две системы- Zver v9.9.9 и Win7 RC7100 на обоих системах та же проблема.

Спасибо.

код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:03, on 29.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 4126 bytes

522. Sergey.efimov, 30.09.2009 10:34
Bichmobile
Подозрительно, что после затирания разделов проблема не решилась.
Live CD DrWeb и Avira не загружаются в обычном режиме - непонятно, т.к. LiveCD грузится независимо от системы с привода.

Вот это можно пофиксить:
код:

4 - HKUS\S-1-5-19\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'Default user')

Сделать лог AVZ (ссылка (http://z-oleg.com/avz.exe) ). Если не запускается, скачайте полиморфный AVZ (http://narod.ru/disk/12203190000/avz.exe.html) .

Также в AVZ можно сделать Файл-Восстановление системы, отметить и выполнить пункт 8 (восстановление настроек проводника). Однако, если есть вирусы, после перезагрузки проблема повторится.

523. bopUK, 30.09.2009 12:20
Bichmobile
А причем тут трояны и вирусы? Скорее всего появился виртуальный CDROM или банально кривые (старые) драйвера на контроллер.
Напр. http://support.microsoft.com/kb/817357/ru

524. Sergey.efimov, 30.09.2009 12:28
bopUK
А причем тут трояны и вирусы?
Может, и ни при чем. Но
Bichmobile
Live CD DrWeb и Avira не загружаются в обычном режиме
ненормально.
Я подозреваю, что установленная игра прописалась, куда ей не следовало, но понять куда без логов невозможно.
А по вашей ссылке другая проблема.

525. Биомеханик, 30.09.2009 12:43
Bichmobile
Если извлечь диск и вставить другой, то все работает нормально, но стоит закрыть пустой дисковод- через несколько сек появляется "Bluebirds"

Иконка привода подменена.

526. bopUK, 30.09.2009 13:20
Bichmobile
правильно ли я понял:
есть компьютер, на нём есть какая то OS (будем считать, что XP SP3). Ваш друг поигрался с неделю на этом компьютере и на нем "завелась" иконка Bluebirds. Вы убили на нем систему, создали новый раздел, там установили XP SP3, первая его загрузка и опять ГолубыеПтицы. Загружались с различных LiveCD, проверялись различными антивирусами - результат один - кругом птицы.

Так ???


p.s. шальная мысль - а часом у друга нет флоппи диска с дискетой внутри?

527. Bichmobile, 30.09.2009 21:27
bopUK
правильно ли я понял:
есть компьютер, на нём есть какая то OS (будем считать, что XP SP3). Ваш друг поигрался с неделю на этом компьютере и на нем "завелась" иконка Bluebirds. Вы убили на нем систему, создали новый раздел, там установили XP SP3, первая его загрузка и опять ГолубыеПтицы. Загружались с различных LiveCD, проверялись различными антивирусами - результат один - кругом птицы.

Так ???


p.s. шальная мысль - а часом у друга нет флоппи диска с дискетой внутри?



Да, все правильно,только флоппи нет, попробовал Ваши рекоменации по AVZ, пока безуспешно.
ИМХО. она прописана где-то не в системе, все-таки 3 разные системы, тем более, что я их уже неоднократно устанавливал

Попробовал установить эту игру-появился значок в трее и всплывающее окно (см. вложение), пуск-программы то же папка с ней, но ни проводник ни revouninstaller её не видят- удалилс помощью её же uninstal -ни каких изменений
Посмотрев свойтва CD-ROM :
Состояние: Подключен
Стиль раздела: Основная загрузочная запись (MBR)
Все-таки, где он мог прописаться- в MBR, В BIOS, а может отался в кэше CD-ROM?
Жду Вашего мнения.
Спасибо.

Добавление от 01.10.2009 01:30:

Доброе время суток!
Продолжил эксперименты- PARAGON Домашний эксперт2009 удалил все разделы, обновил MBR кодом по умолчанию, ACRONIS DISK 10 создал раздел на 100Г (остальное неразмеченная область), установил WIN7RC7100 и первом появлении рабочего стола опять вместо CD-привода- "Bluebirds", в типах файлов все значки аудио СД, ДВД соответствуют WMP или DVD Maker.
Может BIOS перепрошить? А какой ещё прогой можно MBR затереть?
Спасибо.

К сообщению приложены файлы: 1.rar, 25Кb, 2.rar, 0Кb

528. Sergey.efimov, 01.10.2009 09:44
Bichmobile, что именно по AVZ не получилось? Не запустился?
Можно попробовать загрузиться с LiveCD или просто из виндоуз и поискать на диске файл Bluebirds. Все, что найдет - переименовать и перезагрузиться.
MBR вирусы очень редки, и после удаления разделов MBR должен бал обновиться. Акронис и PARAGON должны были все сделать нормально.
Попробуйте вытащить вашу MBR и выложите здесь или на ФО.
Еще один вариант восстановления MBR (взято отсюда (http://www.esetnod32.ru/support/kb_element.php?IBLOCK_ID=53&SECTION_ID=414&ELEMENT_ID=6178) ):
цитата:

Для запуска восстановления системы, необходимо запустить компьютер с загрузочного диска. Включите компьютер и нажимайте кнопку «Delete» для входа в настройки «BIOS», Устаните загрузку с «CD-ROM'а». Вставьте загрузочный диск с установочным пакетом Windows и перезагрузите компьютер. Когда установщик Windows загрузит свои файлы в оперативную память ПК, появится диалоговое окно "Установка Windows", содержащее меню выбора, из которого нас интересует пункт "*Чтобы восстановить Windows с помощью консоли восстановления, нажмите [R=Восстановить]".

Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C:, то появится следующее сообщение:
_______________________________________________________________
1: C : \WINDOWS
В какую копию Windows следует выполнить вход?
______________________________________________________________________________
Введите «1», нажмите «Enter» и введите пароль администратора. Появится приглашение системы , введите «fixmbr».

Появится сообщение:
_________________________________________________________________
**ПРЕДУПРЕЖДЕНИЕ**
На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.
Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.
Подтверждаете запись новой MBR?
________________________________________________________________
Введите y (что означает 'yes'), появится сообщение:
________________________________________________________________
Производится новая основная загрузочная запись на физический диск \Device\Harddisk0\Partition0.
Новая основная загрузочная запись успешно сделана.
______________________________________________________________________________
Перезагрузите компьютер, вновь войдите в мен «BIOS» и установите загрузку с жёсткого диска. Зпустите Windows и проведите глубокое сканирование компьютера при помощи NOD32.

Кстати, установка систем происходит с чистого дистрибутива (или он записывался на вашей системе)? Запишите LiveCD с антивирусом на чистом компьютере, загрузитесь с него (выставив загрузку с CD в биосе) и проверьте компьютер.

PS. К биосу вирусы не имеют отношение.

Добавление от 01.10.2009 10:13:

Bichmobile
Попробовал установить эту игру-появился значок в трее и всплывающее окно (см. вложение), пуск-программы то же папка с ней, но ни проводник ни revouninstaller её не видят- удалилс помощью её же uninstal -ни каких изменений
А если заново установить игру и сделать логи AVZ? (мысль такая: может что-то всплывет, + попробовать удалить игру средствами AVZ).

529. Bichmobile, 03.10.2009 21:02
Доброе время суток!
Раньше написать не мог- были проблемы.
Оказывается этот вирус (иначе не назовешь, т.к. он подменял пустой дисковод- виртуальным с рекламным ПО) был вшит в прошивку.
Поискав в гугле, нашел на американческом сайте прошивку поновее (там было написано - удалена BlueBirds), перепрошив все заработало нормально.
Всем большое спасибо за участие!
P.S. Если кому интересно это был "HL-DT-ST DVDRAM GH22LS50" фирмы LG.

530. TATARKA, 25.10.2009 16:51
Здравствуйте.
В последнее время несколько раз Каспер удалял троянов, но только во время полной проверки.Но всё равно IE как-то стал не так работать (глюковато). Вот лог, что там лишнего в системе?

код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:05, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\NERO 8\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\DOCUME~1\111\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.yandex.ru/?clid=44290]http://www.yandex.ru/?clid=44290[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*http://uk.yahoo.com]http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*…tp://uk.yahoo.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.yandex.ru/?clid=40488]http://www.yandex.ru/?clid=40488[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url=http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com]http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*…tp://uk.yahoo.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {036281EB-40AC-4306-B44C-95EE680BDE8D} (TestObj Object) - [url=https://ftc.bcs.ru/BCSIns.cab]https://ftc.bcs.ru/BCSIns.cab[/url]
O16 - DPF: {2EDF75C0-5ABD-49f9-BAB6-220476A32034} (System Requirements Lab) - [url=http://intel-drv-cdn.systemrequirementslab.com/multi/bin/sysreqlab_srlx.cab]http://intel-drv-cdn.systemrequirementslab.com/multi…ysreqlab_srlx.cab[/url]
O16 - DPF: {41EDBEE7-94AD-4200-B54D-8C4A9E878BE4} (SDiagOCX Control) - [url=http://www4.bcs.ru/SDiagOCX.cab]http://www4.bcs.ru/SDiagOCX.cab[/url]
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - [url=http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab]http://dlm.tools.akamai.com/dlmanager/versions/activ…tivex-2.2.5.0.cab[/url]
O16 - DPF: {4C4AE171-98FD-11D4-B2BF-0050DA47DC88} (SKSObject Class) - [url=https://ftc.bcs.ru/sksb.cab]https://ftc.bcs.ru/sksb.cab[/url]
O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - [url=http://www.srtest.com/srl_bin/sysreqlab_ind.cab]http://www.srtest.com/srl_bin/sysreqlab_ind.cab[/url]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [url=http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab]http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{211171CB-6968-44FB-B55C-30B63581C957}: NameServer = 10.195.1.6 10.195.1.5
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\NERO 8\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10751 bytes

531. Sergey.efimov, 25.10.2009 17:29
Пофиксите:
код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Ещё бы лог AVZ увидеть.

532. TATARKA, 25.10.2009 18:27
Sergey.efimov
Пофиксил.

Ещё бы лог AVZ увидеть.
А как это сделать?

533. Биомеханик, 25.10.2009 18:39
TATARKA
А как это сделать?

http://www.z-oleg.com/secur/avz/
http://www.z-oleg.com/secur/avz_doc/

534. TATARKA, 25.10.2009 19:04
Sergey.efimov

лог AVZ
код:

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 25.10.2009 20:21:53
Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 135524
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504460 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EBB40->AA06D36E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC4FA->AA06DA86), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805A45B4->AA06E60C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060E62E->AA06EB40), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80579084->AA06DD78), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (806237B2->AA06C460), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80616D7E->AA06EA18), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (805790BE->AA06BD0A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A50D0->AA06E8D4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3AC->AA06D102), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061472E->AA06EC72), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C39C4->AA07040E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D0FE2->AA06D886), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805A50F4->AA06E976), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (80623C42->AA06CA20), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80623E12->AA06CCF8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8057924A->AA06E21C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BDFD2->AA070980), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80623FF2->AA06CE3A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8062425C->AA06CEE4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057927E->AA06E016), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (8058413A->AA06FEA6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (806259AE->AA06C43C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (806255BA->AA06C44E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (80625978->AA06D030), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060E72E->AA06EBE2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A182->AA06DB08), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80624B84->AA06C604), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (80616E56->AA06EAB0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB40A->AA06D56E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA3D0->AA070438), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80614828->AA06ED14), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB696->AA06D492), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80624EAA->AA06CF8E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (80622900->AA06CBB6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (806219EA->AA06C8BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805D1240->AA070128), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (806231D4->AA06CB34), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8062585E->AA06C0C2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (805A54D0->AA06F09E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (805A6498->AA06EF64), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2D5A->AA06FC30), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8062516A->AA06C224), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D4984->AA070860), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80625266->AA06BEC4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D48->AA06E312), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805D1704->AA06D984), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805F9E8C->AA06F5F2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805C05F8->AA06FFA0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060F3E6->AA0704C2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80621D38->AA06C744), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D4A4C->AA0705A6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805D48BE->AA0706D2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (8061779A->AA06FDD2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D29AC->AA06D6EA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2BA6->AA06D63C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805B4396->AA06D7C8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp AA062424 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp AA0627DE \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 57, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 49
Количество загруженных модулей: 443
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DF337F.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DF6DB9.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DF7EA2.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DFDE4C.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DFDEB1.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DFFC1.tmp
Прямое чтение C:\Documents and Settings\111\Local Settings\Temp\~DFFC8A.tmp
D:\Media Player Classic\ф\AUDIO\MP3_0007.MP3 >>> подозрение на Trojan.Win32.Obfuscated.mhy ( 0FAADB9A 0FAA4F25 002CBC55 002424E8 32768)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
Проверка завершена
Просканировано файлов: 104904, извлечено из архивов: 84851, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 25.10.2009 20:44:39
Сканирование