Помощь в лечении систем от нечисти

[Saule]

Вчера узнал о том что у меня вирь живет уже около года- как лечить вроде понял, чем грозит его не лечение? особенно если стоит Outpost firewall и перезагрузка идет если только отключить файрвол

Замедлением работы компьютера, это ведь в любом случае паразит

А почему ты так хочешь его оставить? Неужели за год успел привязаться?

[kazan]

Здравствуйте.

У меня та же беда.Вот мой лог-фай:

Logfile of HijackThis v1.99.1

Scan saved at 21:28:17, on 21.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\nvsvc32.exe

E:\program fales\панда антивирус\pavsrv51.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\ups.exe

E:\program fales\панда антивирус\AVENGINE.EXE

C:\WINDOWS\explorer.exe

E:\program fales\панда антивирус\apvxdwin.exe

E:\program fales\панда антивирус\pavProxy.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\DOCUME~1\EF8B~1\LOCALS~1\Temp\Rar$EX00.187\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\program fales\FlashGet\FlashGet\jccatch.dll

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx

O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx

O4 - HKLM\..\Run: [sCANINICIO] "E:\program fales\панда антивирус\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "E:\program fales\панда антивирус\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O8 - Extra context menu item: &visualLINKs - res://E:\visialweb\vwGetHtmlLinks.dll/VW_GetLinks.dll.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - E:\program fales\FlashGet\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - E:\program fales\FlashGet\FlashGet\jc_link.htm

O8 - Extra context menu item: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\program fales\FlashGet\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\program fales\FlashGet\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1114915807671

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c18.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

O18 - Protocol: mmdtp - {E62C17EA-223C-4022-881D-2796CCD31CA6} - C:\Program Files\Золотой фонд\mmdtp.dll

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\olglinpj.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - E:\program fales\панда антивирус\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - E:\program fales\панда антивирус\pavsrv51.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - D:\От олега\Новая папка (2)\дефрагментатор реестра\RegManServ.exe (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\program fales\tuneup\WinStylerThemeSvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

ПОМОЖЕТЕ?

[Saule]

1. На время лечения отключи функцию System Restore.

Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в раздел System Restore и поставить галочку напротив Turn off System Restore on all drives.

2. Скачай FxSasser.exe (мини-сканер, который был создан специально для корректного удаления этого вида червя):

http://securityresponse.symantec.com/avcenter/FxSasser.exe

Запусти, и он сам всё сделает.

3. Затем перезагрузи компьютер и верни функцию System Restore.

[sab322]

отключи функцию System Restore

она у меня уже была отключена,

а FxSasser.exe ничего не нашел , щас попробую оключить файрвол

Результат: Опера закрылась и в инет полез mmsvc.32.exe, который пытался и после отключения от сети

Изменено 22 января, 2006 пользователем sab322

[Saule]

Здравствуйте.

У меня та же беда.Вот мой лог-фай:

ПОМОЖЕТЕ?

Поможем :D

1. На время лечения отключаем функцию System Restore.

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives.

2. Запускаем HijackThis и отмечаем в нем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx

O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx

O4 - HKLM\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c18.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\olglinpj.dll

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - D:\От олега\Новая папка (2)\дефрагментатор реестра\RegManServ.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

Затем нажимаем на кнопку Fix Checked. И перезагружаем компьтер.

3. Скачиваем KillBox.exe

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Распаковываем и с помощью него удаляем файлы:

Процедура удаления файла с помощью Killbox выполняеться следующим образом:

В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html).

Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

c:\secure32.html

C:\WINDOWS\System32\olglinpj.dll

C:\WINDOWS\System32\spoolsrv32.exe

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe

Проблемы могут возникнуть с последним. Если такого файла вы там не найдете, то ищете поблизости что-либо похожее.

4. Делаем он-лайн сканирование системы с помощью Ewido:

http://www.ewido.net/en/onlinescan/

И даем ему удалить всё, что он найдет у вас на компьютере.

Когда он закончит, на всякий случай сохраните его лог (кнопка Save report, которая в конце покажеться внизу его окошка).

5. Избавляемся от всех временных файлов.

Либо с помощью предварительно скаченной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp)

или ATF-Cleaner (очень удобен тем, что не требуется инсталяция).

Либо в ручную:

1) Идем сюда - C:\Windows\Temp

И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально).

2) Дальше: Start > Run

вписываем %temp%

Откроеться Temp фолдер. Также удаляем всё его содержимое.

3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.

Перезагружаем компьютер.

6. В конце желательно проверить свою систему на наличие в ней червя W32.HLLW.Gaobot с помощью этого сканера:

http://securityresponse.symantec.com/avcenter/FxGaobot.exe

Нужно скачать и запустить. Дальше он сам всё сделает, если у вас что-то осталось.

7. Если какие-либо проблемы остались, показываем новый лог HijackThis + лог после проверки Ewido.

Если же всё хорошо, возвращаем функцию System Restore и удаляем всю папку KillBox.

[Saule]

она у меня уже была отключена,

а FxSasser.exe ничего не нашел , щас попробую оключить файрвол

Результат: Опера закрылась и в инет полез mmsvc.32.exe, который пытался и после отключения от сети

Вообще-то lsasss.ехе (W32.Sasser.E) и mmsvc.32.exe (W32.Kassbot.B) совершенно разные вещи :)

Рискну предположить, что у вас есть и еще что-то, если Sasser'а уже нету. Так как некоторые виды червей довольно агрессивно настроены друг против друг и запрограммированы, как бы странно это не звучало, на удаления таких своих "конкурентов". А заплатки по видимому на компьютер не ставяться.

Если есть желание, то сделайте лог HijackThis

Нужно включить и нажать на кнопку Do a systemscan and save a logfile.

Затем этот лог выложите тут на форуме или пришлите в PM. Я посмотрю :)

[Father]

Все получилось.

ОГРОМНОЕ СПАСИБО!

P.S. И еще небольшая просьба, не могу найти где репутация поднимается, хоть как-то поблагарить!

Слева, под профилем есть красный плюсик для повышения репутации. Голова у Saule действительно светлая -- нет такого, чего бы она не знала и всегда готова помочь!

Изменено 23 января, 2006 пользователем Father

[kibernoy]

Помоги мне тоже призз если не трудно, вот мой лог

Logfile of HijackThis v1.99.1

Scan saved at 16:17:38, on 23.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

D:\Gene6 FTP Server\G6FTPSERVER.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Virtual CD v4\System\vcdsecs.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\paytime.exe

C:\winstall.exe

C:\Program Files\Kaspersky Lab\AVP6\avp.exe

C:\Program Files\Kaspersky Lab\AVP6\avp.exe

C:\Program Files\UniChat\unichat.exe

F:\Лей\Биг\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll (file missing)

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKLM\..\Run: [spyStopper] C:\Program Files\SpyStopper\spystopper.exe

O4 - HKLM\..\Run: [Антивирус Касперского 2006] C:\Program Files\Kaspersky Lab\AVP6\avp.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Startup: Ярлык для Restart MKS.bat.lnk = E:\Prog_distr\Net\Restart MKS.bat

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Enterprise\Add_AllO.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\AVP6\scieplugin.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{0924CAFD-07D7-4566-99B0-6BD079F35B12}: NameServer = 195.7.162.244,195.42.69.18,195.34.32.11

O17 - HKLM\System\CCS\Services\Tcpip\..\{140E7E4C-615E-47E5-AA5F-95594E9EEF3D}: NameServer = 195.7.162.244,195.42.69.18,195.34.32.11

O17 - HKLM\System\CS1\Services\Tcpip\..\{140E7E4C-615E-47E5-AA5F-95594E9EEF3D}: NameServer = 195.7.162.244,195.42.69.18,195.34.32.11

O17 - HKLM\System\CS2\Services\Tcpip\..\{0924CAFD-07D7-4566-99B0-6BD079F35B12}: NameServer = 195.7.162.244,195.42.69.18,195.34.32.11

O17 - HKLM\System\CS3\Services\Tcpip\..\{0924CAFD-07D7-4566-99B0-6BD079F35B12}: NameServer = 195.7.162.244,195.42.69.18,195.34.32.11

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVP - Kaspersky Lab - C:\Program Files\Kaspersky Lab\AVP6\avp.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - D:\Gene6 FTP Server\G6FTPSERVER.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VCDSecS - H+H Software GmbH - C:\Program Files\Virtual CD v4\System\vcdsecs.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

жду ответа, хотелось бы сегодня

[Stolik]

paytime.exe - вирус, инфа по нему:

http://www.yandex.ru/yandsearch?text=paytime.exe&stype=www

winstall.exe - тоже зверек:

http://www.yandex.ru/yandsearch?text=winstall.exe&stype=www

[Saule]

Помоги мне тоже призз если не трудно, вот мой лог

жду ответа, хотелось бы сегодня

1. На время лечения отключаем функцию System Restore.

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives.

2. Запускаем HijackThis и отмечаем в нем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll (file missing)

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Затем нажимаем на кнопку Fix Checked. И перезагружаем компьтер.

3. Скачиваем KillBox.exe

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Распаковываем и с помощью него удаляем файлы:

Процедура удаления файла с помощью Killbox выполняеться следующим образом:

В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html).

Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

c:\secure32.html

C:\winstall.exe

C:\WINDOWS\system32\paytime.exe

4. Избавляемся от всех временных файлов.

Либо с помощью предварительно скаченной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp)

или ATF-Cleaner (удобен тем, что не требуется инсталяция).

Либо в ручную:

1) Идем сюда - C:\Windows\Temp

И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально).

2) Дальше: Start > Run

вписываем %temp%

Откроеться Temp фолдер. Также удаляем всё его содержимое.

3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.

5. Перезагружаем компьютер.

Делать он-лайн сканирование с помощью Ewido не обязательно, но на всякий случай лучше сделать (так как в системе могут быть неактивные на этот момент части вируса, которые не видны в логе):

http://www.ewido.net/en/onlinescan/

Когда он закончит, на всякий случай сохраните его лог (кнопка Save report, которая в конце покажеться внизу его окошка).

Если какие-либо проблемы остались, показываем новый лог HijackThis + лог после проверки Ewido.

Если же всё хорошо, возвращаем функцию System Restore и удаляем папку KillBox со своего компьютера.

[kazan]

. Если какие-либо проблемы остались, показываем новый лог HijackThis + лог после проверки Ewido.

Если же всё хорошо, возвращаем функцию System Restore и удаляем всю папку KillBox.

После произведенных действий проблемы есть.Теперь по порядку.Вот лог-файл:

Logfile of HijackThis v1.99.1

Scan saved at 17:51:49, on 23.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\program fales\ewido\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

E:\program fales\панда антивирус\pavsrv51.exe

C:\WINDOWS\System32\ups.exe

E:\program fales\панда антивирус\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

E:\program fales\панда антивирус\APVXDWIN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

E:\program fales\панда антивирус\pavProxy.exe

C:\DOCUME~1\EF8B~1\LOCALS~1\Temp\Rar$EX00.828\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\program fales\FlashGet\FlashGet\jccatch.dll

O4 - HKLM\..\Run: [APVXDWIN] "E:\program fales\панда антивирус\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: &visualLINKs - res://E:\visialweb\vwGetHtmlLinks.dll/VW_GetLinks.dll.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - E:\program fales\FlashGet\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - E:\program fales\FlashGet\FlashGet\jc_link.htm

O8 - Extra context menu item: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\program fales\FlashGet\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\program fales\FlashGet\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1114915807671

O18 - Protocol: mmdtp - {E62C17EA-223C-4022-881D-2796CCD31CA6} - C:\Program Files\Золотой фонд\mmdtp.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: ewido security suite control - ewido networks - E:\program fales\ewido\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - E:\program fales\ewido\ewido anti-malware\ewidoguard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - E:\program fales\панда антивирус\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - E:\program fales\панда антивирус\pavsrv51.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - D:\От олега\Новая папка (2)\дефрагментатор реестра\RegManServ.exe (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\program fales\tuneup\WinStylerThemeSvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Вот лог после проверки Ewido:

---------------------------------------------------------

ewido anti-malware - Scan report

---------------------------------------------------------

+ Created on: 16:56:10, 23.01.2006

+ Report-Checksum: F4348EB1

+ Scan result:

D:\от Олега\От олега\НЕРО ОТ ОЛЕГА\Ahead Nero v6.6 Reloaded\keygen\Keygen.exe -> Dropper.Delf.gi : Ignored

HKLM\SOFTWARE\AZESearchCo -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\AZESearchCo\AZESearch -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\AZESearchCo\AZESearch\popup -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\AZESearchCo\AZESearch\times -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.activator.1 -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.ParamWr.1 -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Cleaned with backup

HKLM\SOFTWARE\Classes\ZToolbar.StockBar.1 -> Spyware.Azsearch : Cleaned with backup

C:\!KillBox\spoolsrv32.exe -> Spyware.FindSpy : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temp\ICD1.tmp\azesearch4.ocx -> Spyware.AzSearch : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temp\Rar$EX00.516\backups\backup-20060123-151243-423.dll -> Adware.WinAD : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temp\Rar$EX00.516\backups\backup-20060123-151243-483.dll -> Spyware.AzSearch : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\3A0F75CH\azesearch[1].cab/azesearch4.ocx -> Spyware.AzSearch : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\3A0F75CH\bridge-c18[1].cab/MediaGatewayX.dll -> Adware.WinAD : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\E987U5E1\install[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\E987U5E1\launcher[1].exe -> Spyware.Maxifiles : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\E987U5E1\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SLSH27C5\country[1].htm -> Trojan.Small : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SLSH27C5\get_39361_TuneUp.Utilities.2004.v4.1.2318_crack[2].html -> Downloader.IstBar.u : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SLSH27C5\tool5[1].txt -> Trojan.Small : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SPWVW7OB\mc-110-12-0000234[1].exe -> Spyware.Maxifiles : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SPWVW7OB\MediaGateway[1].exe -> Adware.WinAD : Cleaned with backup

C:\Documents and Settings\Сергей Хохлов\Local Settings\Temporary Internet Files\Content.IE5\SPWVW7OB\tool4[1].txt -> Trojan.Small : Cleaned with backup

C:\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Cleaned with backup

C:\Program Files\Common Files\Download\mc-110-12-0000234.exe -> Spyware.Maxifiles : Cleaned with backup

C:\Program Files\MediaGateway\MediaGateway.exe -> Adware.WinAD : Cleaned with backup

C:\WINDOWS\country.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\Downloaded Program Files\ABoxInst_int12.exe -> Downloader.VB.ft : Cleaned with backup

C:\WINDOWS\LastGood\System32\azesearch4.ocx -> Spyware.AzSearch : Cleaned with backup

C:\WINDOWS\mc-110-12-0000234.exe -> Spyware.Maxifiles : Cleaned with backup

C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_280600.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_280600.swf -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_282600.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_282600.swf -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_292000.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_324200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_330200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_351400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_445800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_445900.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_446000.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_454100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_0_470400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_1_324200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_1_330200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_1_351400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_2_449100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_3_330200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_3_454100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_3_455100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_110400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_280200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_351400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_449100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_451200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_451400.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_454100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_454800.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_0_4_455100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_375800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_448500.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_448500.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_448600.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_448600.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_0_453800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_2_375800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_1_4_375800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_0_814200.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_0_815600.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_0_815900.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_103500.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_103500.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_112000.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_112000.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_138300.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_138300.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_164600.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_164600.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_191800.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_191800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_281100.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_281100.swf -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_284900.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_284900.swf -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_289800.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_289800.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_295500.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_296300.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_324300.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_324300.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_358200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_358200.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_359400.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_454200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_454200.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_454900.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_454900.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_455200.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_455200.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_461100.gif -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\system32\AdCache\B_434_2_4_461100.htm -> Adware.Cydoor : Cleaned with backup

C:\WINDOWS\tool4.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\tool5.exe -> Trojan.Small : Cleaned with backup

::Report End

Теперь вопросы.

Когда сканировал HijackThis в трее висел значек(красный кружок с крестом)-никак не хотел закрываться.Может быть поэтому заставка с экрана не ушла? Уже потом отключил этот крест из автозагрузки и сделал новое сканирование (его выложил здесь).но как я понимаю, позняк метаться.

Онлайн сканирование сделать не получилось,поэтому скачал Ewido ,обновлять не стал, сканировал (выбрал только опцию "весь комп"), лог выше.

Удаляю временные файлы.Сами папки оставил удалил из них все файлы.

Сканирую сканером SYMANTEC- ничего.

А, вот еще .Запомнил дату и время когда этот червь ко мне залез.Может заппустить поиск по времени создания файлов,а потом их удалить?

Жду дальнейших указаний.Спосибо за помощь!!!

[Saule]

Жду дальнейших указаний.Спосибо за помощь!!!

Необходимо скачать smitRem.ехе и сохранить на рабочем столе.

Затем кликните по нему двойным кликом, это создаст рядом папку с названием smitRem.

Далее необходимо зайти в систему в безопасном режиме Safe Mode.

При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

Зайдите в папку smitRem и нажмите на файл RunThis.bat.

Далее следуйте инструкциям, которые там будут (если с английским не дружим - не беда. Нужно будет каждый раз, как smitRem останавливается, нажимать любую клавишу, чтобы он мог продолжить. При этом все посторонние программы и, главное, браузер должны быть закрыты).

Затем начнется сканирование (минут 5). И в самом конце он предложит сделать полную чистку дисков - этого делать не обязательно, так как процесс занимает около 3 часов. Но если есть время или возможность оставить компьютер на ночь, то сделайте, это улучшит работу компьютера в целом.

После того, как сканирование (либо чистка дисков) будет закончено, перезагрузите компьютер и войдите в систему в обычном режиме.

Затем необходимо найти на диске C лог smitRem, с названием smitfiles.txt:

C:\smitfiles.txt

Содержимое этого лога нужно затем показать мне.

И еще одна деталь. После того, как вы это сделайте, ваш рабочий стол, скорее всего станет синего цвета. Но не волнуйтесь, это нормально. Потом обьясню, как исправить.

[Sparky69]

Ситуация такая: по недорозумению полазил вчера в сети с выключенными антивирусом и браузером (искал одно NO-CD по игровым сайтам: нашел, работает.) НО сегодня обнаружилось что при подключении к сети мой комп вместо обычного наборо из имени, пароля, модемного номера предлогает мне набрать какой-то 8**10227390900!!! Изменив данное недорозумение я вошел в сеть которая совершенно нехотела работать: страницы незагружались и т.д. Немного помучевшись я отключился и перезогрузил комп. В подключении ОПЯТЬ стоял левый номер.. Навскидку полазив по папкам обноружил в WINDOWS файл internet(1.0.0.2) и в System 32 - itunessff (1.0.0.2) обозначенные датой моего подключения и НЕИМЕЮЩИЕ графического отображения т.е. название файла под пустым местом. Удалив оба - все заработало.. Что это было.. Кстати при сканировании данных файлов антивирусом ничего выявлено небыло. Прокомментируйте пожалуйста...

[Valery]

Зашел ты на какой-то сайт, тебе что-то там на халяву дали. И сказали, хочешь еще? Кликни сюда. Ты и кликнул.

А там написано было, что мол провайдер твой плохой, надо тебе хорошего. Yes\No? Ты ответил Yes.

На твой комп загрузилась программа, которая тебе всё это и переделала. Всё законно, жаловаться не на кого. Многие провайдеры о таком предупреждают заранее.

Вот, что можно почитать:

http://www.ufacom.ru/support/sucur_uplink.html

http://www.p.samara.ru/press/press_2.asp

http://www.ufacom.ru/support/kilubnika.htm

Скажи спасибо, что на несколько тысяч в конце месяца не влетел.

[Old men]

Sparky69: Трояны у тебя, об этом писали десятки (если не сотни) раз. Ативирусники здесь практически не помогут, проверяйся антитроянами. Писк на сайте поможет

[Стафф]

Здравствуйте! У меня проблема! С недавнего времени служба сообщений стала выдавать мне сообщения о каком то вирусе и критических ошибках реестра! И при этом простит зайти на сайт uric.net и winregfix и скачать прогу. Я зашел и скачал " Registry Cleaner 32" эта гадость нашла на компе 1024 вируса, но лечить отказалась..... Денег говорит плати!

А каспер нечего не видит, молчит...

Прочитав этот замечательный форум я скачал HijackThis и вот что получилось....

Logfile of HijackThis v1.99.1

Scan saved at 19:46:50, on 25.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Documents and Settings\Sascha&Vova\Local Settings\Temp\Временная папка 1 для hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1A45FEC-96A7-42C4-9737-7283DC8C6225}: NameServer = 212.188.4.10 195.34.32.116

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

Помогите плизззз! Очень жду!!! Только объясняйте по проще, а то я ламер полный в этих делах....

P.S. Очень жду помощи от уважаемой Saule.

[Stolik]

Стафф

Сто раз обсуждалось. К примеру, тут: http://www.softboard.ru/index.php?showtopic=22708

Там найдешь линки на другие такие же топики.

[Стафф]

Спасибо большое, все прочитал и буду надеяться, что эти ошибки всего лишь троян или спам...

[Saule]

Здравствуйте! У меня проблема! С недавнего времени служба сообщений стала выдавать мне сообщения о каком то вирусе и критических ошибках реестра! И при этом простит зайти на сайт uric.net и winregfix и скачать прогу. Я зашел и скачал " Registry Cleaner 32" эта гадость нашла на компе 1024 вируса, но лечить отказалась..... Денег говорит плати!

А каспер нечего не видит, молчит... ;)

Помогите плизззз! Очень жду!!! Только объясняйте по проще, а то я ламер полный в этих делах....

P.S. Очень жду помощи от уважаемой Saule.

У вас совершенно нет повода беспокоится. И лог чистенький, ничего странного в нем не видно :)

Самое простое, что я могла сделать в вашем случае для того, чтобы помочь, это сходить на сайт www.uric.net и скачать эту программу ;)

После чего, я могу вас заверить, что Registry Cleaner 32 не представляет абсолютно никакой опасности для вашего компьютера. Самая обычная прога для оптимизации работы системы.

Единственное, что её производители используют немного агрессивные методы, чтобы её продавать. Сообщения, которые вы получали сначала в действительности были лишь спамом/своеобразной рекламой, который распостраняется именно для того, чтобы вынудить кого-либо купить их продукцию. В наше время это довольно распостраненный способ зарабатывания денег, поэтому не стоит этому удивлятся.

Чтобы вас подобными сообщениями более не тревожили, необходимо либо отключить службу сообщений на вашем компьютере.

Для этого необходимо:

Нажать Start > Run

Вписать services.msc

Нажать ОК.

Найти в списке сервисов - Служба сообщений (Messenger).

Кликнуть по нему двойным кликом.

Затем, если возможно, нажать на кнопку Stop и изменить Startup type на положение Disabled.

Затем Apply и ОК.

скрин:

Либо просто блокируйте с помощью Outpost Firewall входящие широковещательные пакеты NetBIOS и UDP.

---------------------

Далее. То, что Registry Cleaner нашел на вашем компьютере совсем не является вирусами. Это всего лишь неточности и небольшие ошибки в вашем реестре (ненужные расширения, старые библиотеки dll, неверные пути и т.п.), причем цифра 1024 - это в полне нормальное кол-во подобных ошибок для любого компьютера. То есть они действительно присутствуют в вашем реестре, программа вас не обманывала, но ничего страшного в этом нету, так как, повторяю, это нормально.

Чтобы это исправить, совсем не обязательно покупать Registry Cleaner 32. Так как выбор подобных программ все-таки достаточно широкий. При чем есть и совершенно бесплатные, которые ничем не хуже. Например - CCleaner - не сложная, совершенно бесплатная, плюс при инсталяции возможено выбрать русский интерфейс.

Единственное, что перед тем как делать какие-либо исправления в вашем реестре, необходимо на всякий случай сделать его копию до исправлений (с помощью той же программы). Чтобы в случае удаления каких-нибудь важных ключей по ошибке, вы без особых проблем могли бы вернуть всё обратно.

---------------------

И последнее. Чтобы удалить Registry Cleaner 32, достаточно сделать следующее: Control Panel > Add or Remove Programs; а затем просто деинсталировать эту программу (uninstall). В общем, самым обычным способом.

Если что-то всё-таки осталось не совсем понятным, то смело спрашивайте. И удачи :)

[felessan]

в течение вот уже нескольких дней начали периодически (раз в 5-10 минут) открыватьсяокна браузера и переходить на какие-то сайты. В основном на http://www.health-yshopping.com/normal/yyy102.html.... Иногда открывались те сайты, которые прописаны у меня в Избранном(но редко)... Поиск антивирусами ничего не дал... Был процесс winstall.exe, его удалил, из реестра вычистил, но сайты продолжают грузиться... Может быть у кого-то была такая проблема или кто-то знает как с ней справиться?

[felessan]

Вот лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 18:55:12, on 26.01.2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\system32\internat.exe

C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe

C:\Program Files\The Bat!\thebat.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

D:\Distribs\hijackthis\HijackThis.exe

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.gorodok.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch4.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing)

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe"

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\ABBYYNewsReader.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: ABBYY Lingvo 7.0 Launcher .lnk = C:\Program Files\ABBYY Lingvo\LvAgent.exe

O4 - Global Startup: APC UPS Status.lnk = C:\Program Files\APC\APC PowerChute Personal Edition\Display.exe

O4 - Global Startup: Miranda.lnk = D:\Distribs\Miranda IM\Miranda IM\miranda32.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O8 - Extra context menu item: ╟рърўрЄ№ &тёх яЁш яюью∙ш ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: ╟рърўрЄ№ яЁш яюью∙ш Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing)

O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: Microsoft WFC Forms Designer - file://E:\VJ98\wfcforms.cab

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://E:\VJ98\vstudio6.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplu...ptdmgainads.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - file://E:\controls\sdkinst.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = its.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = its.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = its.local

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: ExtShellViews - C:\WINNT\system32\k8no0i53e8.dll

O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Visual Studio Analyzer RPC bridge - Unknown owner - C:\Program Files\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\varpc.exe (file missing)

O23 - Service: Workforce Test Server (Workforce1) - Intellect Business Consultants Ltd - D:\_Intellect\dev1\server\debug\workserv.exe

[Arcticden]

помогите пожалуйста. Проблема вот такая с месяц уже поймал в сети тройян под названием.., а фиг его знает вообще то, короче он заменяет файл svchost.exe и не хочет удаляться. У меня антивируса нет, тока XoftSpy, он его находит но если пытается удалить то комп перезагружается. я уже винду переставил, удалив вручную этот файл с другого компа предварительно но не помогло).

prt_sc.doc

prt_sc.doc

[Saule]

помогите пожалуйста. Проблема вот такая с месяц уже поймал в сети тройян под названием.., а фиг его знает вообще то, короче он заменяет файл svchost.exe и не хочет удаляться. У меня антивируса нет, тока XoftSpy, он его находит но если пытается удалить то комп перезагружается. я уже винду переставил, удалив вручную этот файл с другого компа предварительно но не помогло).

Скачай HijackThis.

Включи и сохрани лог (кнопка Do a systemscan and save a logfile).

Этот лог пришли мне в PM или выложи на форуме

[kazan]

SauleХочу выразить благодарность за оперативность, терпение,основательные объяснения .СПАСИБО ЗА ПОМОЩЬ!!!

[Стафф]

У вас совершенно нет повода беспокоится. И лог чистенький, ничего странного в нем не видно :)

........

.......

Если что-то всё-таки осталось не совсем понятным, то смело спрашивайте. И удачи :)

Спасибо Вам ОГРОМНОЕ! Вы мне очень помогли, теперь все работает как часы! :D