Помощь в лечении систем от нечисти

[Saule]

Привет. Трабл такой task manager has been disable.

И еще заметил при стартапе системы стартуют какие-то левые сервисы командной строкой и исчезают.

хелп.

1. Открываем HijackThis и нажимаем на кнопку "Open The Misc Tools Selection"

Затем на кнопку "Open Process Manager"

скрин:

Перед тобой появится некоторое подобие раздела Processes в Task Manager.

Найди там следующий процесс и отключи с помощью кнопки "Kill Process":

C:\WINDOWS\System32\kernels8.exe

2. Затем нажимай на нижнюю кнопку "Back", чтобы вернутся в тот раздел HijackThis, где можно сделать очередное его сканирование.

Нажимай на "Scan" и отмечай галочкой следующее:

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe

O4 - Global Startup: r161_16.bat

Затем на кнопку "Fix Cheched".

3. Удаляем:

ФАЙЛ:

C:\WINDOWS\System32\kernels8.exe

ПАПКУ:

C:\Program Files\Save

Плюс ищем файл r161_16.bat (это и есть те, как ты выразился "какие-то левые сервисы командной строки")

Только вот, какие именно команды этот файл у тебя выполняет, к сожалению, не известно, поэтому если это действительно не твоё, и тебе интересно, что в нем написано, перед тем как удалить лучше вышли его копию мне на мейл (saule [at] sp0raw.ru). А то мало ли

4. Перезаргужаем компьютер.

Изменено 23 февраля, 2007 пользователем Saule

[madlex]

Logfile of HijackThis v1.99.1

Scan saved at 18:51:28, on 26.03.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\userinit.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\ctfmon.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\Program Files\StatWin\EXECSTAT.EXE

D:\Program Files\HHVcdV7Sys\VC7SecS.exe

D:\Documents and Settings\рн\Рабочий стол\HijackThis.exe

D:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F25AC1E-7C3A-4855-A5A4-7D6731909B39}: NameServer = 192.168.0.200

O20 - Winlogon Notify: winm32 - D:\WINDOWS\SYSTEM32\winm32.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: MSDN Driver (msdndr) - Unknown owner - D:\WINDOWS\System32\msdndr.pif (file missing)

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SW Administration Service - SXR Software - D:\Program Files\StatWin\EXECSTAT.EXE

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - D:\Program Files\HHVcdV7Sys\VC7SecS.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

HAXFIX logfile - by Marckie

--------------

26.03.2006 17:56:28,31

Manual Haxdoorfix

Adding haxdoorkeys to delete...

[Saule]

то что не в архиве это прелесть ))) работает )) сделал лог.

А, и совсем забыла, на всякий случай предупредить, насчет программы StatWin, так как она предназнаена для контроля и удалённого администрирования компьютера.

http://www.statwin.ru/

И создается такое впечатление, что у вас установлена именно клиентская часть, хотя в данном случае, я в полне могу ошибаться

В общем, если вы устанавили её сами, то просто проигнорируйте это сообщение.

Если не сами, то сначала просто подумайте, кто мог её установить (слишком заботливые члены семьи, ваше начальство и т.п.).

Если же никаких вариантов однозначно не будет, то нужно срочно сносить (плюс после этого желательно поменять все свои плюс-минус важные пароли).

[madlex]

и еще ...

C:\winstall.exe

D:\WINDOWS\DH.dll

таких не нашел в процессе поиска...

StatWin это у меня начальство страдает параноей ))

кстати, посоветуй какой антивурусник поставить... или вообще что сделать что бы такого не повторилось..

[-=stalnoy=-]

Saule какая симпотяжка.

Да. Действительно разлочил таскманагер. Спасибо

Кстати может тебе интересно http://windowsxp.mvps.org/Taskmanager_error.htm

А файлик r161_16.bat оказывается прописывает рутинг на локалку. Чуть было не удалил по своей глупости. Однако кромя этого батника в отдельных окошечках стартовали еще несколько файлов. После чистки исчезли.

Спасибо солке еще раз :)

Saule расскажи кстати еще про EWIDO. Я так посмотрел, мощный сканер , много чего фиксит и лочит. Только не много про него пишут. ТОлько тут прочитал пару топов.

[juve]

madlex: Советую поставить:

1. Ad-Aware SE Personal - поиск троянов.

2. avast! Antivirus Home Edition - бесплатный антивирус.

[Saule]

HAXFIX logfile - by Marckie

--------------

26.03.2006 17:56:28,31

Manual Haxdoorfix

Adding haxdoorkeys to delete...

Осталась следующая бяка:

O20 - Winlogon Notify: winm32 - D:\WINDOWS\SYSTEM32\winm32.dll

Предполагалось, что её убьёт HAXFIX, но он по каким-то причинам, этого делать не стал.

--------------------------

Попробуйте сделать с его помощью простое сканирование и показать лог (перезагрузка после не требуется).

Для этого нужно запустить Haxfix.

Затем нажать любую клавишу клавиатуры.

После нажимаем цифру 1 и кнопку ENTER

Через пару минут он выдаст свой лог (который также сохранится по адресу: D:\haxlog.txt)

Вот содержимое этого лога мне бы и хотелось увидеть.

и еще ...

C:\winstall.exe

D:\WINDOWS\DH.dll

таких не нашел в процессе поиска...

Ок, значит, в реестре просто оставалась о них неудаленная инормация

[madlex]

HAXFIX logfile - by Marckie

--------------

26.03.2006 19:30:41,70

checking for ps.a3d....

ps.a3d is present!

checking for matching notify keys....

matching notify keys found

winm

checking for matching services....

matching services found

winm32

winm64

checking for matching safeboot services....

matching safeboot services found

winm32.sys

winm64.sys

[Saule]

HAXFIX logfile - by Marckie

--------------

26.03.2006 19:30:41,70

checking for ps.a3d....

ps.a3d is present!

checking for matching notify keys....

matching notify keys found

winm

checking for matching services....

matching services found

winm32

winm64

checking for matching safeboot services....

matching safeboot services found

winm32.sys

winm64.sys

Делаем то же самое, что делали в первый раз, только вместо winm32 нужно писать winm

Т.е.:

Запускаем Haxfix.

Нажимаем любую клавишу клавиатуры.

Затем цифру 3 и кнопку ENTER

Далее вписываем:

winm

Снова ENTER

Теперь должно получиться.

[Saule]

Saule расскажи кстати еще про EWIDO. Я так посмотрел, мощный сканер , много чего фиксит и лочит. Только не много про него пишут. ТОлько тут прочитал пару топов.

Да, не могу не согласится. Во-первых, отличный сканер. Во-вторых, мало пишут :D

Ewido Anti-malware расчитан в первую очередь для обнаружения и удаления AdWare, SpyWare и троянских программ, но с очень многими вирусами тоже великолепно справляется (единственное, нужно понимать, что это всё-таки не антивирус, т.е. программа не может лечить зараженные файлы, она умеет их лишь корректно удалять), так как база с вирусными сигнатурами одна из самых больших, и, главное, достаточно граммотная (на данный момент насчитывает 291,261 записей). Плюс Еwido networks тесно сотрудничают со многими антивирусными компаниями для обмена вирусными копиями, поэтому база обновляется очень часто (вплоть до раза в час). Да и вообще, разработчики действительно молодцы, однажды их чуть не прикрыли за разоблачение компании с мировым именем в шпионской деятельности.

Чистит качественно и редко оставляет после себя какой-либо муссор как в системе, так и в реестре (который многие антивирусы, например, в большинстве случаев оставляют. Поэтому его полезно использовать именно для зачистки от всевозможного муссора после различных инфекций).

Поддерживает огромное кол-во паковщиков и крипторов (Aspack, UPX, PECrypt, PEPack, Exegriper, FSG, JDPack, Lamecrypt, Morphine, Neolite, Netwalker, PCShrink, PEcompact, PKLite, Squeezer, StonesPeCrypter, Winkript) и вместе с тем, не грузит систему.

В использовании программа совсем несложная.

Есть возможность просмотра всех активных соединений с вашим компьютером на данный момент, а также возможность прервать любое из них.

Просмотр всех активных процессов с местоположением файла, отвечающего за каждый процесс, плюс возможность остановить любой их них, даже системный.

Просмотр и удаление программ, загружающихся автоматически при каждом запуске вашей системы.

Возможно выборочное сканирование отдельных частей системы (т.е. только реестр, только память, только Cookies).

Автоматически восстанавливает работу TCP/IP после удаления вредоносных проблемных .dll файлов.

Также нужно отметить тот факт, что Ewido Anti-malware не конфликтует ни с одним более-менее известным антивирусом или файрволом. Ложные срабатывания встречаются крайне редко, именно поэтому на него всегда можно положится.

Но у программы есть недостаток: сам резедентный сканер Ewido Anti-malware (т.е. постоянная защита) - платный ;)

Лицензия стоит 29.95 USD в год.

Триал-версия полностью функциальна, и работает месяц.

Но, к счастью, есть возможность бесплатного он-лайн сканирования:

On-line Scan

Для которого необходима поддержка браузером ActiveX (т.е. в Опере оно не начнется).

Либо второй вариант: Ewido Microscaner

Весит 132 Кб, инсталляция не требуется, но работать без антивирусных баз не может, поэтому при запуске загружает их автоматически (а это, имейте в виду, еще как минимум 5527 Kб).

Вот так вот :)

[madlex]

привет )

решил домучать тебя ))

вот смотри

HAXFIX logfile - by Marckie

--------------

28.03.2006 11:32:18,35

checking for ps.a3d....

ps.a3d is present!

checking for matching notify keys....

matching notify keys found

winm

checking for matching services....

matching services found

winm64

checking for matching safeboot services....

no matching safeboot services found

и воть ето ))

Logfile of HijackThis v1.99.1

Scan saved at 11:34:51, on 28.03.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Admin\yaguar\Winamp\winampa.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\Program Files\StatWin\EXECSTAT.EXE

D:\Program Files\ICQLite\ICQLite.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\AutoCombats.info\AutoCombats.exe

D:\Program Files\Microsoft Office\Office10\EXCEL.EXE

D:\Locker\Locker.exe

D:\WINDOWS\system32\NOTEPAD.EXE

D:\Admin\yaguar\winamp\winamp.exe

D:\WINDOWS\System32\ping.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Documents and Settings\рн\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [WinampAgent] D:\Admin\yaguar\Winamp\winampa.exe

O4 - HKLM\..\Run: [iCQ Lite] "D:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F25AC1E-7C3A-4855-A5A4-7D6731909B39}: NameServer = 192.168.0.200

O20 - Winlogon Notify: winm32 - D:\WINDOWS\SYSTEM32\winm32.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: MSDN Driver (msdndr) - Unknown owner - D:\WINDOWS\System32\msdndr.pif (file missing)

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SW Administration Service - SXR Software - D:\Program Files\StatWin\EXECSTAT.EXE

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

ппытаюсь сам разобраться )) но пока слабовато )

[Saule]

привет )

решил домучать тебя ))

ппытаюсь сам разобраться )) но пока слабовато )

Привет ;) Ну что ж, тогда давай мучаться

После того, как ты запускаешь Haxfix, компьютер обязательно должен перезагрузится (причем возможно 2-3 раза подряд, это нормально). У тебя этого не происходит ;)

Попробуй опять его запустить и нажать:

любую клавишу

2

ENTER

В логе после удаления инфекции должно быть примерно следующее:

HAXFIX logfile

--------------

by Marckie

haxdoor key: winm

searching for services....

services found

deleting services.....

[sWSC] StopService FAIL

[sWSC] DeleteService FAIL

[sWSC] StopService FAIL

[sWSC] DeleteService SUCCESS

rebooting the computer.....

и т.д.

-----------------------------------------

Если опять будет без результатно, то вирус можно удалить только, используя консоль восстановления Windows. А для этого необходимо иметь загрузочный диск Windows. Если он есть, то внимательно прочитай то, что я написала ниже и, если уверенность в том, что ты справишься у тебя есть, то вперед:

1. Открываем реестр

Start > Run

Вписываем:

Жмем ОК

Находим в нем следующий ключик и удаляем его:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32

2. Теперь вставляем установочный компакт-диск Windows, чтобы перезагрузиться в систему с него.

3. Когда на экране появится приветствие: Вас приветствует программа установки...,

нажимаем клавишу R

4. Далее выбираем номер установленного продукта Windows, который необходимо восстановить (он зависит от того, сколько операционных систем у тебя установлено на компьютере, если одна, то жми на цифру 1), затем ENTER (если необходимо ввести пароль администратора, то вводишь его).

5. Используя командную строку идем в папку D:\Windows\system32 (т.е. вводим команду cd D:\Windows\system32 и жмем ENTER)

6. Теперь с помощью команды ren переименовываем следующие файлы:

winm32.dll

winm32.sys

winm64.sys

qy.sys

klogini.dll

p3.ini

ps.a3d

(т.е. команда будет выглядеть следующим образом: ren winm32.dll winm32.dll.bad

после каждой команды жмем ENTER)

7. Когда всё будет переименовано, удаляем переименованные файлы, с помощью команды del:

del winm32.dll.bad

ENTER

8. Вытаскиваем установочный диск Windows и вводим команду Exit, после чего компьютер перезагрузится.

9. После перезагрузки снова открываем реестр:

Start > Run

Вписываем:

Жмем ОК

И ищем следующие ключи (все, что найдем, удаляем):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm64

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_winm32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_winm64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_winm32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_winm64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_winm32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_winm64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\winm32.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\winm64.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_winm32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_winm64

Далее ищем в этих разделах следующую строчку и удаляем оттуда только её:

%systemdrive%\\windows\\Explorer.EXE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List

Также удаляем это: EnforceWriteProtection

отсюда:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

[buendia]

помогите пожалуйста!!! C:\WINDOWS\system32\i0lo0a33ed.dll, не удаляется, файл занят другим приложением. Причем этот файл постоянно меняет свое имя при перезагрузке и постоянно что-то лезет на www.ad-w-a-r-e.com

Logfile of HijackThis v1.99.1

Scan saved at 23:13:59, on 29.03.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\progra~1\yahoo!\YCentral\YahooCentral.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\windows\mousepad6.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe

C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe

D:\programms\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series (Copy 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P40 "EPSON Stylus Photo RX620 Series (Copy 1)" /O6 "USB002" /M "Stylus Photo RX620"

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe

O4 - Global Startup: MindManager PDF Writer.lnk = C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{F107EC7A-FA2C-4010-A6AF-4A518D4EC531}: NameServer = 195.5.61.70 195.5.61.68

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i0lo0a33ed.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Saule]

помогите пожалуйста!!! C:\WINDOWS\system32\i0lo0a33ed.dll, не удаляется, файл занят другим приложением. Причем этот файл постоянно меняет свое имя при перезагрузке и постоянно что-то лезет на www.ad-w-a-r-e.com

1. Start > Run

вписываем msconfig

нажимаем ОК.

В последнем разделе (StartUp) напротив следующего убираем галочки:

C:\winstall.exe

C:\windows\mousepad6.exe

C:\windows\keyboard6.exe

Сохраняем изменения (Apply и ОК)

2. Скачиваем на рабочий стол Look2Me-Destroyer.exe

Закрываем все открытае окна и запускаем программу.

Ставим галочку рядом с надписью "Run this program as a task"

Далее выскочит сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute..."

Нажимаем OK (в сообщение говорится о том, что программа закроется и затем приблизительно через минуту включится повторно.

скрин:

При повторном её включении нажимаем на кнопку "Scan for L2M"

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M"

Затем ОК и когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого компьютер выключится. Включите его обратно.

Программа оставит свой лог-файл тут: C:\Look2Me-Destroyer.txt

Если будет желание, покажите этот лог вместе с новым логом HijackThis.

3. Удаляем файлы (ни к клавиатуре, ни к мышке они отношения не имеют, это тоже троянские программы):

C:\winstall.exe

C:\windows\mousepad6.exe

C:\windows\keyboard6.exe

[buendia]

огромное СПАСИБО за Вашу помощь!

C:\windows\mousepad6.exe и C:\windows\keyboard6.exe я удалила, а C:\winstall.exe - нет, т.к. не смогла его обнаружить.

Look2Me-Destroyer V1.0.12

Scanning for infected files.....

Scan started at 30.03.2006 21:28:01

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000096.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000097.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000098.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000099.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000100.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000101.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000102.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000103.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000104.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000105.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000106.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000107.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000108.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000109.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000110.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000111.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000112.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000113.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000114.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000115.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000116.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000117.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000118.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000119.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000120.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000121.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000122.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000123.dll

Infected! C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000124.dll

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000096.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000096.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000097.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000097.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000098.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000098.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000099.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000099.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000100.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000100.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000101.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000101.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000102.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000102.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000103.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000103.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000104.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000104.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000105.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000105.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000106.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000106.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000107.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000107.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000108.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000108.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000109.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000109.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000110.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000110.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000111.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000111.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000112.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000112.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000113.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000113.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000114.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000114.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000115.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000115.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000116.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000116.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000117.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000117.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000118.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000118.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000119.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000119.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000120.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000120.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000121.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000121.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000122.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000122.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000123.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000123.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000124.dll

C:\System Volume Information\_restore{67368344-0066-4570-9875-F7E5A92026BA}\RP1\A0000124.dll Deleted successfully!

Making registry repairs.

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Administrators - Succeeded

Logfile of HijackThis v1.99.1

Scan saved at 21:36:26, on 30.03.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\progra~1\yahoo!\YCentral\YahooCentral.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe

C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe

D:\programms\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series (Copy 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P40 "EPSON Stylus Photo RX620 Series (Copy 1)" /O6 "USB002" /M "Stylus Photo RX620"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe

O4 - Global Startup: MindManager PDF Writer.lnk = C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Saule]

огромное СПАСИБО за Вашу помощь!

C:\windows\mousepad6.exe и C:\windows\keyboard6.exe я удалила, а C:\winstall.exe - нет, т.к. не смогла его обнаружить.

По поводу winstall.exe не волнуйтесь, у вас всё в порядке.

Удачи и не болейте

[-=stalnoy=-]

Везет мне на всякую нечисть.

Подхватил гадость , которая меняет настройки VPN при перезагрузке =-О.

Приходится в ручную восстанавливать.

Вот лог.

Logfile of HijackThis v1.99.1

Scan saved at 5:35:52 PM, on 4/1/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\itunesff.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\ICQCorp\ICQCorp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\!!!!!RESERV!!!!!!\SOFTWARE\!!!ЗАЩИТА!!!\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w92

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [iCQ Groupware] C:\PROGRA~1\ICQCorp\ICQCorp.exe -minimize

O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DBDF475-48F9-4528-8EDF-341C1C7BC237}: NameServer = 192.168.0.253 192.168.0.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{966EA1E4-EA84-40E1-AFA9-160E3BE3D041}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Посоветуйте плз что сделать.

[Saule]

Везет мне на всякую нечисть.

Подхватил гадость , которая меняет настройки VPN при перезагрузке =-О.

Приходится в ручную восстанавливать.

Вот лог.

Посоветуйте плз что сделать.

1. Открываем Task Manager и останавливаем следующий процесс:

itunesff.exe

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w92

Затем на кнопку "Fix Checked".

3. Перезагружаем компьютер.

После чего удаляем:

C:\WINDOWS\sysvx_.exe

C:\WINDOWS\system32\itunesff.exe

[-=stalnoy=-]

1. Открываем Task Manager и останавливаем следующий процесс:

itunesff.exe

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w92

Затем на кнопку "Fix Checked".

3. Перезагружаем компьютер.

После чего удаляем:

C:\WINDOWS\sysvx_.exe

C:\WINDOWS\system32\itunesff.exe

Не помогло

вот вычистил.

Logfile of HijackThis v1.99.1

Scan saved at 6:45:06 PM, on 4/1/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\ICQCorp\ICQCorp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\!!!!!RESERV!!!!!!\SOFTWARE\!!!ЗАЩИТА!!!\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [iCQ Groupware] C:\PROGRA~1\ICQCorp\ICQCorp.exe -minimize

O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143900423015

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DBDF475-48F9-4528-8EDF-341C1C7BC237}: NameServer = 192.168.0.253 192.168.0.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{966EA1E4-EA84-40E1-AFA9-160E3BE3D041}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

ОДнако после перезагрузки настройки VPN слетают.

[-=stalnoy=-]

прошу прощения, все работает, можно в архив тему.

Saule спасибо.

[Smoker21]

Добрый день первый раз у Вас, извиняюсь сразу если уже были ответы на подобные вопросы.

У меня появились шпионские програмы или как их там называют вообщем когда запускаю Интернет (провайдер "Инфолайн") начинают появляться окна с рекламой даже при закрытом Браузере. У меня стоит еще 2 компа подключенные по локалке на них все ок. Использовал программу AD-adware SE не помогла нашла но из system32 не смогла уничтожить некоторые файлы. Я подключил винчестер к другому компу и вроде все удалилось вредных програм больше не было. Но когда поставил его назад минут через 10-15 все повторилось. Поставил програму Spybot-searsh&destroy она все нашла и уничтожила. Но в общем где то через минут 10-15 все повторилось вновь. При запуске отключал локалку. и вроде все программы. Можно конечно отформатировать диск но хотелось бы сделать нечто более умное чем это. Заранее спасибо. :)

[Saule]

Добрый день первый раз у Вас, извиняюсь сразу если уже были ответы на подобные вопросы.

У меня появились шпионские програмы или как их там называют вообщем когда запускаю Интернет (провайдер "Инфолайн") начинают появляться окна с рекламой даже при закрытом Браузере. У меня стоит еще 2 компа подключенные по локалке на них все ок. Использовал программу AD-adware SE не помогла нашла но из system32 не смогла уничтожить некоторые файлы. Я подключил винчестер к другому компу и вроде все удалилось вредных програм больше не было. Но когда поставил его назад минут через 10-15 все повторилось. Поставил програму Spybot-searsh&destroy она все нашла и уничтожила. Но в общем где то через минут 10-15 все повторилось вновь. При запуске отключал локалку. и вроде все программы. Можно конечно отформатировать диск но хотелось бы сделать нечто более умное чем это. Заранее спасибо. :)

Если есть такое желание, скачиваем HijackThis

Включаем и нажимаем на кнопку "Do a systemscan and save a logfile".

После чего программа выдаст вам лог, который нужно выложить здесь на форуме или прислать мне в PM.

[Smoker21]

Если есть такое желание, скачиваем HijackThis

Включаем и нажимаем на кнопку "Do a systemscan and save a logfile".

После чего программа выдаст вам лог, который нужно выложить здесь на форуме или прислать мне в PM.

Logfile of HijackThis v1.99.1

Scan saved at 5:38:05, on 03.04.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\02E3~1\LOCALS~1\Temp\Rar$EX00.797\HijackThis.exe

C:\DOCUME~1\02E3~1\LOCALS~1\Temp\Rar$EX02.922\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [soundMax] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{03C4A8C2-1863-4EA0-837C-3615D0EAF4A6}: NameServer = 83.217.192.2 83.217.193.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{37584C76-B901-4D2E-8B2B-0E5D6BD33DDF}: NameServer = 83.217.192.2,83.217.193.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\h04m0ah1ed4.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Logfile of HijackThis v1.99.1

Scan saved at 5:38:05, on 03.04.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Скачиваем на рабочий стол Look2Me-Destroyer.exe

Закрываем все открытые окна и запускаем программу.

Ставим галочку рядом с надписью "Run this program as a task"

Далее выскочит сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute..."

Нажимаем OK (в сообщение говорится о том, что программа закроется и затем приблизительно через минуту включится повторно.

скрин:

При повторном её включении нажимаем на кнопку "Scan for L2M"

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M"

Затем ОК и когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого компьютер выключится.

Включаем его обратно и проверяем, исчезла ли инфекция.

[Smoker21]

Спасибо, ты супер... !!! оч. помог(ла)... :)