Помощь в лечении систем от нечисти

**Strannnik** · 17 декабря, 2005

!

Предупреждение:
ВНИМАНИЕ! В этом топике помощь больше не оказывается!
Для этого создана отдельная ветка "Лечение систем от компьютерных вирусов".
Добро пожаловать на форум.

Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.
Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен! Черный прямоугольник на синем экране, в котором красными буквами вписано то самое предупреждение. Уже много времени не могу убрать это. Правая клавиша мыши теперь на экране не работает. По внешним признакам все выглядит так. При загрузке ОС ХР сначала появляемся мой родной рисунок экрана, затем грузятся все нужные проги из автозагрузки, а в самом конце загрузки рисунок экрана меняется на шпионское предупреждение.
Никакими антивирусными и антишпионскими программами данная гадость не выявляется, в автозагрузке, естественно, отсутствует, где еще искать, честно сказать, не знаю.
Если кто сталкивался с таким явлением - помогите?!

i

Уведомление:
В этом топике уместны любые вопросы, касающиеся помощи в лечении вашей системы от любой компьютерной нечисти.

Приложение к вашему сообщению лога программы HijackThis только приветствуется, так как видя конкретную ситуацию, давать советы гораздо проще:

Скачиваем

http://tomcoyote.org/hjt/hjt199//hijackthis.zip' rel="external nofollow">

HijackThis

, распаковываем и запускаем (инсталляция для его работы не требуется).

Затем нажимаем на кнопку "Do a systemscan and save a logfile":

После чего программа автоматически выдаст свой лог, содержимое которого, нужно просто скопировать в своё сообщение.

Также, для более глубокого анализа вашей системы, не будет лишним скачать AVZ:
Распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы:

Файл > Исследование системы

И присоединяем (не копируем, а именно присоединяем!) полученный протокол к своему сообщению (на всякий случай: Как присоединить к сообщению изображение, или файл).

Также здесь есть несколько НО, наиболее значимые из которых:

во-первых, HijackThis 1.99.1 был выпущен еще в феврале 2005 года (в Trend Micro HijackThis 2 кардинальных изменений также, к сожалению, не внесли). И было бы очень наивно полагать, что за это время методы автозапуска вирусов никак не изменялись.
во-вторых, от HijackThis довольно просто маскироваться (например, можно запускаться и под видом абсолютно "нормальной" программы, на которую никто, кроме, самого пользователя внимания в логе никогда не обратит - т.к. посторонний человек не может знать о том, что вы, к примеру, никогда не устанавливали ICQ5; либо программа может умышленно занести себя в список исключений HijackThis: Config... > Ignorelist и т.п.).
в-третьих, вирусы, которые живут исключительно благодаря заражению исполняемых файлов системы, с помощью HijackThis также вполне могут не детектироваться (если первый запуск был сделан из такого же зараженного exe-файла, без создания каких-то опреденных ключей).

Соответственно не лишним будет знать следующее:

время от времени (т.е. по мере необходимости) обязательно нужно использовать программы для детектирования руткитов (кратко о руткитах), так как в последнее время они всё чаще и чаще встречаются на компьютерах обычных пользователей. Здесь можно использовать AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis).
не стесняйтесь обращать внимание, спрашивать или уточнять, если какие-то строки в логе вас по каким-то причинам смущают или кажутся подозрительными.
Плюс чем подробнее вы расскажете о проблеме, тем больше шансов будет от этой проблемы избавиться.
перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.
Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan; анти-троян: Ewido anti-spyware.

Плюс советую заглянуть в этот топик:
Важно знать! Компьютерная безопасность, защита, лечение.
Возможно, он поможет вам решить "вирусные" проблемы.

Saule.

Изменено 21 апреля, 2008 пользователем akoK

17 декабря, 2005

А нельзя ли более точЬно сформулировать, как именно называлась программа?

**GUST** · 17 декабря, 2005

Strannnik:

Ad-Aware SE Personal - тебя избавит от прочих прелестей.

Скорее всего, тебе досталось что-то из серии, как бы тебе сказать под Новый год мягче - скачай и получи нам удовольствие?!?

Триал, одним словом.

Выкинь эту штуку, будет сопротивляться, а ты её так смело и в деинсталл! ;)

На этом Форуме я нашёл ссылку на Ad-Aware SE Personal, закачал, полгода уже пашет и без проблов.

А вычистила довольно-таки нормально: пропали всплывающие, реклама Билла и пр.

Обновляется сразу в Инете.

АВТОЗАПУСК в regedit можешь и не увидеть, ставь прогу для РЕГИСТРА, там могут быть СКРЫТЫЕ старты.

И каким Антивирусом пользуешь?

Так что по порядку - читай Форум и всё к тебе прибудет! ;)

18 декабря, 2005

Установил у себя прогу по поиску и удалению шпионских программ.

Мой искренний совет: Если вы хотите установить на своем компьютере хорошую и качественную программу без довесков виде spyware, обязательно посмотрите сначала, есть ли эта программа в каталоге Softodrom.ru. Туда попадают только самые лучшие программы, и если такой программы там нет, то стоит задуматься. У Софтодрома, кстати, недавно появился раздел под названием "Программы, которых у нас еще нет" - это программы, заявка на помещение которых в софтодромный каталог поступила, но которые еще не были протестированы. Если этой "хорошей" программы нету и в этом разделе, то нужно вдвойне задуматься. Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью.

**Whitestorm** · 18 декабря, 2005

Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью.

Угу, с прискорбием могу подтвердить- скачал одну ( далее следует звук "BEEEEEEP") хрень- вот, только что, комп перестал в синий экран вылетать, два(!!!!!) дня, извиняюсь, трахался, что бы системник отладить. А ведь был обычный, казалось бы, антишпиЁн... Всё, пойду на радостях MS Blast скачаю- Нортона опробирую Шутка! :D

**Strannnik** · 18 декабря, 2005

Прогу давно уже деинсталировал, но "подарок" от нее не убирается.

Со всеми советами согласен, но задача все же не на будущее, а на настоящее - как убрать дурацкую заставку с экрана?

Хотелось бы конкретнее - в каких местах системы могут сидеть эти файлы?

Пользуюсь AVG антивирусом, плюс Stocona antivirus. Постоянно чищу систему, проверяю на наличие вирусов, троянов, шпионов. Работает AD-aware and RegOrganizer.

Шпионский скринсейвер продолжает блокировать экран...

**verba** · 18 декабря, 2005

А ты не пробовал отключить запуск скринсейверов в ручную

Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе

HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop

**Strannnik** · 18 декабря, 2005

А ты не пробовал отключить запуск скринсейверов в ручную

Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе

HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop

Ок! Спасибо. Попробую и отвечу...

**Saule** · 18 декабря, 2005

Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.

Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен!

Програма называлась Spy Sheriff и твоя проблема находиться тут:

c:\secure32.html

Чтобы избавиться от неё тебе нужно сделать следующее:

1. Запусти HijackThis (все окошки закрыты, открыт только HijackThis).

Сделай сканирование и отметь галочкой следующие пункты:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Нажми на кнопку Fix Checked. Когда он закончит, закрывай.

2. Удали файл:

с:\secure32.html

3. Теперь нужно избавиться от временных файлов.

Сделать это можно либо с помощью какой-нибудь специальной программы (например CleanUp, CCleaner).

Либо в ручную:

1) Идешь сюда - C:\Windows\Temp

Затем в верхнем меню нажимаешь на Edit > Select All

И удаляешь всё содержимое (если что-то удаляться не захочет, ничего страшного).

2) Далее: Start > Run

вписываешь %temp%

Откроеться Temp фолдер. Также удаляешь всё его содержимое.

3) Control Panel > Internet Options

Жмешь на кнопку Delete Files.

Ставишь галочку напротив Delete Offline Content и жмешь на OK.

И заодно еще можешь в верхнем меню, здесь же (в Internet Options) выбрать Programs и нажать на кнопку Reset Web Settings.

Затем Apply и OK.

3. Очисти мусорную карзину.

Перезагрузись

Если это тебе не поможет, придеться капаться поглубже :)

И еще, можешь поискать в реестре (Start > Run, вписываешь regedit, жмешь ОК. Чтобы начать поиск, в верхнем меню выбираешь Edit > Find, вписываешь нужное тебе слово и жмешь на кнопку Find Next) любые ключи, в которых есть слово SpySheriff и удалить их.

**dimorphic** · 19 декабря, 2005

Если это тебе не поможет, придеться капаться поглубже

Аналогичная проблема.. Все сделал как ты сказала.. Стартовая страница категорически не хочет изменятся C:\secure32.html. Этот %:*%:; файл удаляется, а при обновлении папки появляется снова. Перепробовал несколько прог - ничего не помогает..

В реестре искал C:\secure32.html - все удалил. Если искать SpySheriff - ничего не находит.. HELP!!!

**Saule** · 19 декабря, 2005

Спасибо за лог.

Вот лечение:

1. Скачай и распакуй на рабочем столе KillBox.exe

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Он понадобиться позже.

2. Скачай триал-версию Ewido Security Suite

http://www.ewido.net/en/download/

Инсталируй и сразу сделай его update.

Пока тоже ничего не сканируем.

3. Временно отключи функцию System Restore.

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives.

4. Перезагрузи компьютер в режим Safe Mode.

5. Запусти HijackThis. Отметь галочкой следующее и нажми на кнопку Fix Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\paoqaw.exe reg_run

O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - Startup: Ярлык для Ninja.lnk = ?

И еще. Если это появилось не по твоей инициативе, и ты не знаешь, что это такое, то тоже отмечаем галочкой и чиним. Лучше чинить.

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

6. Удостоверься, что ты можешь видеть скрытые файлы системы.

Control Panel > Folder Options; в верхнем меню вибираешь столбик View; и ставишь точку напротив Show hidden files and folders.

Аpply и ОК.

И теперь с помощью Killbox нужно удалить эти файлы:

C:\WINDOWS\system32\paytime.exe

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe

C:\WINDOWS\system32\paoqaw.exe

c:\secure32.html

Процедура удаления файла с помощью Killbox выполняеться следующим образом:

В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html).

Затем выбираешь Delete on Reboot и нажимаешь на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

8. Сделай полное сканирование системы с помощью Ewido Security Suite. Он найдет всё, что не отображаеться в логе HijackThis и находиться в скрытых папках системы.

Когда он закончит, сохрани его лог (кнопка Save report, которая в конце покажеться внизу его окошка).

9. Затем нажми

Start > Control Panel > Display > Desktop и на кнопку Customize Desktop. Выбери Web.

Отметь галочкой и удали всё, что ты там найдешь, включая "My current home page".

10. Перезагрузись и войди в систему в обычном режиме.

Включи обратно функцию System Restore.

**dimorphic** · 20 декабря, 2005

Вобщем получилось следующее:

После инсталляции Evido SS он сразу начал обнаруживать эту хрень (и не только), но я пока не стал ничего удалять..

п.7. Killbox.

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe - такого там не было, был ibm00001.dll.

Все эти файлы отметил к удалению после перезагрузки (перезагружаться сразу не стал, т.к в инструкции не было )

Запустил Ewido и он мне стал предлагать удалить файлы из папки !Killbox, куда тот по всей видимости поместил заразу к удалению. Это я соответсвенно проигнорил, чтобы не было конфликтов, так же как и их реальное расположение.. (в отчете учтено)

п.9.

Ничего кроме "My current home page" там не было и кнопка "удалить" была не активна. Соотвественно удалить не удалось.

Итог:

C:\secure32.html -больше не появляется и с homepage теперь все ок!!!!!!!!

ОГРОМНОЕ

НО: Папка !Killbox осталась и вся эта дрянь там еще осталась. Что с ней делать? Удалить в рукопашную?

Так же выкладываю report EvidoSS... Заразы было не мало..

лучше так..

C:\!KillBox\ibm00001.dll -> Trojan.Sinowal.a : Ignored

C:\!KillBox\paoqaw.exe -> Downloader.Qoologic.at : Ignored

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.a : Ignored

C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.at : Ignored

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ozqw.exe -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\country.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\drsmartload95a.exe -> Downloader.Adload.j : Cleaned with backup

C:\WINDOWS\hosts -> Trojan.Qhost.el : Cleaned with backup

C:\WINDOWS\kl.exe -> Logger.Small.dg : Cleaned with backup

C:\WINDOWS\system32\ipuspep.dll -> Downloader.Qoologic.az : Cleaned with backup

C:\WINDOWS\system32\jvbvvfv.exe -> Trojan.Pakes : Cleaned with backup

C:\WINDOWS\system32\kmkqm.dll -> Downloader.Small : Cleaned with backup

C:\WINDOWS\system32\paradise.raw -> Proxy.Lager.f : Cleaned with backup

C:\WINDOWS\system32\vgactl.cpl -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\system32\wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\tool3.exe -> Downloader.Small.bwr : Cleaned with backup

C:\WINDOWS\tool4.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\tool5.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\toolbar.exe -> Downloader.Adload.j : Cleaned with backup

Scan_report_20051220.txt.txt

**dimorphic** · 20 декабря, 2005

Проверил еще раз..

C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\__delete_on_reboot__ipuspep.dll -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\__delete_on_reboot__wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup

Теперь-то надеюсь все..

**Saule** · 20 декабря, 2005

Отличная работа. Молодец!

Всю папку Killbox можно смело удалять вообще, так как он тебе в ближайшее время наврятли понадобиться. Его используют только в крайних случаях.

**dimorphic** · 20 декабря, 2005

Искренне хочу заплюсить тебе репутацию, но не знаю как... Скромно намекни?...

i

Уведомление:

Набираем двадцать постов и плюсуем.

Главное - не оффтопим. :)

Shurr.

Изменено 20 декабря, 2005 пользователем Shurr

**BiG** · 1 января, 2006

С прошедшим вас всех новым годом!Принимайте новичка)

Столкнулся вот с аналогичной проблемой( "Програма называлась Spy Sheriff и твоя проблема находиться тут:

c:\secure32.html" (с) ). Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему..

вот лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 17:04:52, on 01.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\nvsvc32.exe

C:\Program Files\StarForce\Safe'n'Sec\safensec.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe

C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe

C:\Program Files\Punto Switcher\ps.exe

C:\windows\System32\devldr32.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\Дмитрий\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {C9C5459B-50AE-4177-BA3E-C351B9FC8B69} - C:\WINDOWS\System32\nbdon.dll (file missing)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009"

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [safe'n'Sec] C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe autostart

O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack

O4 - HKCU\..\Run: [aGSM] C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe /minimize

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: MKS.bat

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Парсить, используя LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Скачать, используя LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O8 - Extra context menu item: Скачать, используя Мастер LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS1\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS2\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS3\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O18 - Filter: text/html - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O18 - Filter: text/plain - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll (file missing)

O20 - Winlogon Notify: reset5 - C:\windows\SYSTEM32\reset5.dll

O20 - Winlogon Notify: SafenSec - C:\windows\SYSTEM32\snsntfy.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\windows\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\windows\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\windows\system32\srvany.exe (file missing)

O23 - Service: SafenSec - StarForce - C:\Program Files\StarForce\Safe'n'Sec\safensec.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт -

C:\WINDOWS\System32\wbem\wmiapsrv.exe

Мож я чего не приметил? Подскажите плиз)

**Saule** · 1 января, 2006

Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему..

Такие инструкции пишутся под конкретный лог и под конкретный компьютер. Так как могут отличаться операционные системы и вообще всё программное обеспечение (обьясняя другими словами, любой вирус может действовать именно на такие процессы и файлы, которых в первом случае могло просто не быть).

И на том компьютере, кстати, было 3 вируса

Когда в системе есть Downloader, то он может успеть загрузить и побольше.

В вашем логе сразу бросаеться в глаза то, что в конце нужно было обязательно избавиться от всех временных файлов. Много чего повылезало оттуда.

В течение часа, максимум двух, как только освобожусь, отпишу всё нормально. Держитесь

**BiG** · 1 января, 2006

Спасибо на добром слове) Буду ждать помощи)

**Saule** · 2 января, 2006

Спасибо на добром слове) Буду ждать помощи)

Мне очень стыдно, что я так пропала. Но раньше никак не смогла :(

1. На время лечения желательно отключить функцию Восстановление системы.

Кликнуть на Мой Компьютер правой кнопкой мыши и нажать на Свойства. Зайти в раздел Система восстановления и поставить галочку напротив Отключить восстановление системы.

2. Думаю, что пригодиться вот эта программка - System Security Suite.

Удобная для удаления временных файлов и контроля за автозагрузкой и BHO (Browser Helper Objects).

3. Делаем update для Ewido Security Suite.

4. Из автозагрузки необходимо убрать следующее:

a) Возможно, что его уже там не будет, так как он во время лога находится в папке временных файлов. Потом тогда будем смотреть.

Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009"

1) Если удаляем с помощью System Security Suite, то нам нужно 3-ье отделение - AutoRun Tasks - отметить нужное галочкой и нажать кнопку "Lock" Checked ("Unlock" Checked - в любой момент это изменение можно вернуть это на место).

2) Либо следующим образом: Пуск > Выполнить; вписать msconfig; нажать ОК.

В последнем отделении - Автозагрузка - убираем напротив нужного галочку. Сохраняем изменения

b) Если вы не в курсе, откуда это у в автозагрузке и что это такое не знаете, то также обязательно убираем:

c:\office_patch.exe hack

MKS.bat

5. Перезагружаемся в систему в безопасном режиме (Safe Mode).

6. Сначала включаем Hijackthis. Все остальные окошки должны быть обязательно закрыты (открыт только Hijackthis).

a) Делаем сканирование и отмечаем галочкой следующее, если это еще будет присутствовать в его логе: