Strannnik Posted December 17, 2005 Report Share Posted December 17, 2005 (edited) ! Предупреждение:ВНИМАНИЕ! В этом топике помощь больше не оказывается!Для этого создана отдельная ветка "Лечение систем от компьютерных вирусов".Добро пожаловать на форум. Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен! Черный прямоугольник на синем экране, в котором красными буквами вписано то самое предупреждение. Уже много времени не могу убрать это. Правая клавиша мыши теперь на экране не работает. По внешним признакам все выглядит так. При загрузке ОС ХР сначала появляемся мой родной рисунок экрана, затем грузятся все нужные проги из автозагрузки, а в самом конце загрузки рисунок экрана меняется на шпионское предупреждение. Никакими антивирусными и антишпионскими программами данная гадость не выявляется, в автозагрузке, естественно, отсутствует, где еще искать, честно сказать, не знаю.Если кто сталкивался с таким явлением - помогите?! i Уведомление:В этом топике уместны любые вопросы, касающиеся помощи в лечении вашей системы от любой компьютерной нечисти.Приложение к вашему сообщению лога программы HijackThis только приветствуется, так как видя конкретную ситуацию, давать советы гораздо проще:Скачиваем http://tomcoyote.org/hjt/hjt199//hijackthis.zip' rel="external nofollow">HijackThis , распаковываем и запускаем (инсталляция для его работы не требуется). Затем нажимаем на кнопку "Do a systemscan and save a logfile": После чего программа автоматически выдаст свой лог, содержимое которого, нужно просто скопировать в своё сообщение. Также, для более глубокого анализа вашей системы, не будет лишним скачать AVZ:Распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы: Файл > Исследование системы И присоединяем (не копируем, а именно присоединяем!) полученный протокол к своему сообщению (на всякий случай: Как присоединить к сообщению изображение, или файл).Также здесь есть несколько НО, наиболее значимые из которых: во-первых, HijackThis 1.99.1 был выпущен еще в феврале 2005 года (в Trend Micro HijackThis 2 кардинальных изменений также, к сожалению, не внесли). И было бы очень наивно полагать, что за это время методы автозапуска вирусов никак не изменялись. во-вторых, от HijackThis довольно просто маскироваться (например, можно запускаться и под видом абсолютно "нормальной" программы, на которую никто, кроме, самого пользователя внимания в логе никогда не обратит - т.к. посторонний человек не может знать о том, что вы, к примеру, никогда не устанавливали ICQ5; либо программа может умышленно занести себя в список исключений HijackThis: Config... > Ignorelist и т.п.). в-третьих, вирусы, которые живут исключительно благодаря заражению исполняемых файлов системы, с помощью HijackThis также вполне могут не детектироваться (если первый запуск был сделан из такого же зараженного exe-файла, без создания каких-то опреденных ключей). Соответственно не лишним будет знать следующее: время от времени (т.е. по мере необходимости) обязательно нужно использовать программы для детектирования руткитов (кратко о руткитах), так как в последнее время они всё чаще и чаще встречаются на компьютерах обычных пользователей. Здесь можно использовать AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis). не стесняйтесь обращать внимание, спрашивать или уточнять, если какие-то строки в логе вас по каким-то причинам смущают или кажутся подозрительными.Плюс чем подробнее вы расскажете о проблеме, тем больше шансов будет от этой проблемы избавиться. перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan; анти-троян: Ewido anti-spyware. Плюс советую заглянуть в этот топик:Важно знать! Компьютерная безопасность, защита, лечение.Возможно, он поможет вам решить "вирусные" проблемы.Saule. Edited April 21, 2008 by akoK Link to comment Share on other sites More sharing options...
Guest А вот и я :) Posted December 17, 2005 Report Share Posted December 17, 2005 А нельзя ли более точЬно сформулировать, как именно называлась программа? Link to comment Share on other sites More sharing options...
GUST Posted December 17, 2005 Report Share Posted December 17, 2005 Strannnik: Ad-Aware SE Personal - тебя избавит от прочих прелестей. Скорее всего, тебе досталось что-то из серии, как бы тебе сказать под Новый год мягче - скачай и получи нам удовольствие?!? Триал, одним словом. Выкинь эту штуку, будет сопротивляться, а ты её так смело и в деинсталл! ;) На этом Форуме я нашёл ссылку на Ad-Aware SE Personal, закачал, полгода уже пашет и без проблов. А вычистила довольно-таки нормально: пропали всплывающие, реклама Билла и пр. Обновляется сразу в Инете. АВТОЗАПУСК в regedit можешь и не увидеть, ставь прогу для РЕГИСТРА, там могут быть СКРЫТЫЕ старты. И каким Антивирусом пользуешь? Так что по порядку - читай Форум и всё к тебе прибудет! ;) Link to comment Share on other sites More sharing options...
Guest А вот и я :) Posted December 18, 2005 Report Share Posted December 18, 2005 Установил у себя прогу по поиску и удалению шпионских программ. Мой искренний совет: Если вы хотите установить на своем компьютере хорошую и качественную программу без довесков виде spyware, обязательно посмотрите сначала, есть ли эта программа в каталоге Softodrom.ru. Туда попадают только самые лучшие программы, и если такой программы там нет, то стоит задуматься. У Софтодрома, кстати, недавно появился раздел под названием "Программы, которых у нас еще нет" - это программы, заявка на помещение которых в софтодромный каталог поступила, но которые еще не были протестированы. Если этой "хорошей" программы нету и в этом разделе, то нужно вдвойне задуматься. Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью. Link to comment Share on other sites More sharing options...
Whitestorm Posted December 18, 2005 Report Share Posted December 18, 2005 Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью. Угу, с прискорбием могу подтвердить- скачал одну ( далее следует звук "BEEEEEEP") хрень- вот, только что, комп перестал в синий экран вылетать, два(!!!!!) дня, извиняюсь, трахался, что бы системник отладить. А ведь был обычный, казалось бы, антишпиЁн... Всё, пойду на радостях MS Blast скачаю- Нортона опробирую Шутка! :D Link to comment Share on other sites More sharing options...
Strannnik Posted December 18, 2005 Author Report Share Posted December 18, 2005 Прогу давно уже деинсталировал, но "подарок" от нее не убирается. Со всеми советами согласен, но задача все же не на будущее, а на настоящее - как убрать дурацкую заставку с экрана? Хотелось бы конкретнее - в каких местах системы могут сидеть эти файлы? Пользуюсь AVG антивирусом, плюс Stocona antivirus. Постоянно чищу систему, проверяю на наличие вирусов, троянов, шпионов. Работает AD-aware and RegOrganizer. Шпионский скринсейвер продолжает блокировать экран... Link to comment Share on other sites More sharing options...
verba Posted December 18, 2005 Report Share Posted December 18, 2005 А ты не пробовал отключить запуск скринсейверов в ручную Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop Link to comment Share on other sites More sharing options...
Strannnik Posted December 18, 2005 Author Report Share Posted December 18, 2005 А ты не пробовал отключить запуск скринсейверов в ручную Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop Ок! Спасибо. Попробую и отвечу... Link to comment Share on other sites More sharing options...
Saule Posted December 18, 2005 Report Share Posted December 18, 2005 Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала. Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен! Програма называлась Spy Sheriff и твоя проблема находиться тут: c:\secure32.html Чтобы избавиться от неё тебе нужно сделать следующее: 1. Запусти HijackThis (все окошки закрыты, открыт только HijackThis). Сделай сканирование и отметь галочкой следующие пункты: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html Нажми на кнопку Fix Checked. Когда он закончит, закрывай. 2. Удали файл: с:\secure32.html 3. Теперь нужно избавиться от временных файлов. Сделать это можно либо с помощью какой-нибудь специальной программы (например CleanUp, CCleaner). Либо в ручную: 1) Идешь сюда - C:\Windows\Temp Затем в верхнем меню нажимаешь на Edit > Select All И удаляешь всё содержимое (если что-то удаляться не захочет, ничего страшного). 2) Далее: Start > Run вписываешь %temp% Откроеться Temp фолдер. Также удаляешь всё его содержимое. 3) Control Panel > Internet Options Жмешь на кнопку Delete Files. Ставишь галочку напротив Delete Offline Content и жмешь на OK. И заодно еще можешь в верхнем меню, здесь же (в Internet Options) выбрать Programs и нажать на кнопку Reset Web Settings. Затем Apply и OK. 3. Очисти мусорную карзину. Перезагрузись Если это тебе не поможет, придеться капаться поглубже :) И еще, можешь поискать в реестре (Start > Run, вписываешь regedit, жмешь ОК. Чтобы начать поиск, в верхнем меню выбираешь Edit > Find, вписываешь нужное тебе слово и жмешь на кнопку Find Next) любые ключи, в которых есть слово SpySheriff и удалить их. Link to comment Share on other sites More sharing options...
dimorphic Posted December 19, 2005 Report Share Posted December 19, 2005 Если это тебе не поможет, придеться капаться поглубже Аналогичная проблема.. Все сделал как ты сказала.. Стартовая страница категорически не хочет изменятся C:\secure32.html. Этот %:*%:; файл удаляется, а при обновлении папки появляется снова. Перепробовал несколько прог - ничего не помогает.. В реестре искал C:\secure32.html - все удалил. Если искать SpySheriff - ничего не находит.. HELP!!! Link to comment Share on other sites More sharing options...
Saule Posted December 19, 2005 Report Share Posted December 19, 2005 Спасибо за лог. Вот лечение: 1. Скачай и распакуй на рабочем столе KillBox.exe http://www.bleepingcomputer.com/files/spyware/KillBox.zip Он понадобиться позже. 2. Скачай триал-версию Ewido Security Suite http://www.ewido.net/en/download/ Инсталируй и сразу сделай его update. Пока тоже ничего не сканируем. 3. Временно отключи функцию System Restore. Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives. 4. Перезагрузи компьютер в режим Safe Mode. 5. Запусти HijackThis. Отметь галочкой следующее и нажми на кнопку Fix Checked: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\paoqaw.exe reg_run O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - Startup: Ярлык для Ninja.lnk = ? И еще. Если это появилось не по твоей инициативе, и ты не знаешь, что это такое, то тоже отмечаем галочкой и чиним. Лучше чинить. O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab 6. Удостоверься, что ты можешь видеть скрытые файлы системы. Control Panel > Folder Options; в верхнем меню вибираешь столбик View; и ставишь точку напротив Show hidden files and folders. Аpply и ОК. И теперь с помощью Killbox нужно удалить эти файлы: C:\WINDOWS\system32\paytime.exe C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe C:\WINDOWS\system32\paoqaw.exe c:\secure32.html Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html). Затем выбираешь Delete on Reboot и нажимаешь на кнопку, которая выглядит как красный кружок с белым крестиком внутри. 8. Сделай полное сканирование системы с помощью Ewido Security Suite. Он найдет всё, что не отображаеться в логе HijackThis и находиться в скрытых папках системы. Когда он закончит, сохрани его лог (кнопка Save report, которая в конце покажеться внизу его окошка). 9. Затем нажми Start > Control Panel > Display > Desktop и на кнопку Customize Desktop. Выбери Web. Отметь галочкой и удали всё, что ты там найдешь, включая "My current home page". 10. Перезагрузись и войди в систему в обычном режиме. Включи обратно функцию System Restore. Link to comment Share on other sites More sharing options...
dimorphic Posted December 20, 2005 Report Share Posted December 20, 2005 Вобщем получилось следующее: После инсталляции Evido SS он сразу начал обнаруживать эту хрень (и не только), но я пока не стал ничего удалять.. п.7. Killbox. C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe - такого там не было, был ibm00001.dll. Все эти файлы отметил к удалению после перезагрузки (перезагружаться сразу не стал, т.к в инструкции не было ) Запустил Ewido и он мне стал предлагать удалить файлы из папки !Killbox, куда тот по всей видимости поместил заразу к удалению. Это я соответсвенно проигнорил, чтобы не было конфликтов, так же как и их реальное расположение.. (в отчете учтено) п.9. Ничего кроме "My current home page" там не было и кнопка "удалить" была не активна. Соотвественно удалить не удалось. Итог: C:\secure32.html -больше не появляется и с homepage теперь все ок!!!!!!!! ОГРОМНОЕ НО: Папка !Killbox осталась и вся эта дрянь там еще осталась. Что с ней делать? Удалить в рукопашную? Так же выкладываю report EvidoSS... Заразы было не мало.. лучше так.. C:\!KillBox\ibm00001.dll -> Trojan.Sinowal.a : Ignored C:\!KillBox\paoqaw.exe -> Downloader.Qoologic.at : Ignored C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.a : Ignored C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.at : Ignored C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ozqw.exe -> Downloader.Qoologic.at : Cleaned with backup C:\WINDOWS\country.exe -> Trojan.Small : Cleaned with backup C:\WINDOWS\drsmartload95a.exe -> Downloader.Adload.j : Cleaned with backup C:\WINDOWS\hosts -> Trojan.Qhost.el : Cleaned with backup C:\WINDOWS\kl.exe -> Logger.Small.dg : Cleaned with backup C:\WINDOWS\system32\ipuspep.dll -> Downloader.Qoologic.az : Cleaned with backup C:\WINDOWS\system32\jvbvvfv.exe -> Trojan.Pakes : Cleaned with backup C:\WINDOWS\system32\kmkqm.dll -> Downloader.Small : Cleaned with backup C:\WINDOWS\system32\paradise.raw -> Proxy.Lager.f : Cleaned with backup C:\WINDOWS\system32\vgactl.cpl -> Downloader.Qoologic.at : Cleaned with backup C:\WINDOWS\system32\wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.at : Cleaned with backup C:\WINDOWS\tool3.exe -> Downloader.Small.bwr : Cleaned with backup C:\WINDOWS\tool4.exe -> Trojan.Small : Cleaned with backup C:\WINDOWS\tool5.exe -> Trojan.Small : Cleaned with backup C:\WINDOWS\toolbar.exe -> Downloader.Adload.j : Cleaned with backup Scan_report_20051220.txt.txt Scan_report_20051220.txt.txt Link to comment Share on other sites More sharing options...
dimorphic Posted December 20, 2005 Report Share Posted December 20, 2005 Проверил еще раз.. C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.ax : Cleaned with backup C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.ax : Cleaned with backup C:\WINDOWS\system32\__delete_on_reboot__ipuspep.dll -> Downloader.Qoologic.ax : Cleaned with backup C:\WINDOWS\system32\__delete_on_reboot__wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup Теперь-то надеюсь все.. Link to comment Share on other sites More sharing options...
Saule Posted December 20, 2005 Report Share Posted December 20, 2005 Отличная работа. Молодец! Всю папку Killbox можно смело удалять вообще, так как он тебе в ближайшее время наврятли понадобиться. Его используют только в крайних случаях. Link to comment Share on other sites More sharing options...
dimorphic Posted December 20, 2005 Report Share Posted December 20, 2005 (edited) Искренне хочу заплюсить тебе репутацию, но не знаю как... Скромно намекни?... i Уведомление:Набираем двадцать постов и плюсуем. Главное - не оффтопим. :) Shurr. Edited December 20, 2005 by Shurr Link to comment Share on other sites More sharing options...
BiG Posted January 1, 2006 Report Share Posted January 1, 2006 С прошедшим вас всех новым годом!Принимайте новичка) Столкнулся вот с аналогичной проблемой( "Програма называлась Spy Sheriff и твоя проблема находиться тут: c:\secure32.html" (с) ). Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему.. вот лог HijackThis Logfile of HijackThis v1.99.1 Scan saved at 17:04:52, on 01.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\windows\System32\nvsvc32.exe C:\Program Files\StarForce\Safe'n'Sec\safensec.exe C:\Program Files\DrWeb\SpiderNT.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\ICQLite\ICQLite.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\DrWeb\spiderml.exe C:\Program Files\DrWeb\DRWEBSCD.EXE C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe C:\Program Files\Punto Switcher\ps.exe C:\windows\System32\devldr32.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Дмитрий\Рабочий стол\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {C9C5459B-50AE-4177-BA3E-C351B9FC8B69} - C:\WINDOWS\System32\nbdon.dll (file missing) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009" O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE" O4 - HKLM\..\Run: [safe'n'Sec] C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe autostart O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack O4 - HKCU\..\Run: [aGSM] C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe /minimize O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Startup: MKS.bat O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Парсить, используя LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html O8 - Extra context menu item: Скачать, используя LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Скачать, используя Мастер LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS1\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS2\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS3\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O18 - Filter: text/html - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll O18 - Filter: text/plain - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll (file missing) O20 - Winlogon Notify: reset5 - C:\windows\SYSTEM32\reset5.dll O20 - Winlogon Notify: SafenSec - C:\windows\SYSTEM32\snsntfy.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\windows\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\windows\system32\netdde.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Reset 5 - Unknown owner - C:\windows\system32\srvany.exe (file missing) O23 - Service: SafenSec - StarForce - C:\Program Files\StarForce\Safe'n'Sec\safensec.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Мож я чего не приметил? Подскажите плиз) Link to comment Share on other sites More sharing options...
Saule Posted January 1, 2006 Report Share Posted January 1, 2006 Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему..Такие инструкции пишутся под конкретный лог и под конкретный компьютер. Так как могут отличаться операционные системы и вообще всё программное обеспечение (обьясняя другими словами, любой вирус может действовать именно на такие процессы и файлы, которых в первом случае могло просто не быть). И на том компьютере, кстати, было 3 вируса Когда в системе есть Downloader, то он может успеть загрузить и побольше. В вашем логе сразу бросаеться в глаза то, что в конце нужно было обязательно избавиться от всех временных файлов. Много чего повылезало оттуда. В течение часа, максимум двух, как только освобожусь, отпишу всё нормально. Держитесь Link to comment Share on other sites More sharing options...
BiG Posted January 1, 2006 Report Share Posted January 1, 2006 Спасибо на добром слове) Буду ждать помощи) Link to comment Share on other sites More sharing options...
Saule Posted January 2, 2006 Report Share Posted January 2, 2006 Спасибо на добром слове) Буду ждать помощи) Мне очень стыдно, что я так пропала. Но раньше никак не смогла :( 1. На время лечения желательно отключить функцию Восстановление системы. Кликнуть на Мой Компьютер правой кнопкой мыши и нажать на Свойства. Зайти в раздел Система восстановления и поставить галочку напротив Отключить восстановление системы. 2. Думаю, что пригодиться вот эта программка - System Security Suite. Удобная для удаления временных файлов и контроля за автозагрузкой и BHO (Browser Helper Objects). 3. Делаем update для Ewido Security Suite. 4. Из автозагрузки необходимо убрать следующее: a) Возможно, что его уже там не будет, так как он во время лога находится в папке временных файлов. Потом тогда будем смотреть. Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009" 1) Если удаляем с помощью System Security Suite, то нам нужно 3-ье отделение - AutoRun Tasks - отметить нужное галочкой и нажать кнопку "Lock" Checked ("Unlock" Checked - в любой момент это изменение можно вернуть это на место). 2) Либо следующим образом: Пуск > Выполнить; вписать msconfig; нажать ОК. В последнем отделении - Автозагрузка - убираем напротив нужного галочку. Сохраняем изменения b) Если вы не в курсе, откуда это у в автозагрузке и что это такое не знаете, то также обязательно убираем: c:\office_patch.exe hack MKS.bat 5. Перезагружаемся в систему в безопасном режиме (Safe Mode). 6. Сначала включаем Hijackthis. Все остальные окошки должны быть обязательно закрыты (открыт только Hijackthis). a) Делаем сканирование и отмечаем галочкой следующее, если это еще будет присутствовать в его логе: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file) O2 - BHO: (no name) - {C9C5459B-50AE-4177-BA3E-C351B9FC8B69} - C:\WINDOWS\System32\nbdon.dll (file missing) O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009" O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O18 - Filter: text/html - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll O18 - Filter: text/plain - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll (file missing) O20 - Winlogon Notify: SafenSec - C:\windows\SYSTEM32\snsntfy.dll b) Плюс следующее, если вам это всё-таки не знакомо (см. пункт 3b): O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack O4 - Startup: MKS.bat с) Подумайте, знакомы ли вам эти ip-адреса\домены? Возможно к ним имеет какое-то отношение ваш провайдер: 195.34.32.11 ns1.mtu.ru (ZAO MTU-Intel) 195.7.162.244 beta.tagtech.ru (SONI Company) 195.42.69.18 gamma.tagtech.ru (Home Internet club) Если же вы никак с ними не связаны, то отмечаем и это галочкой: O17 - HKLM\System\CCS\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS1\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS2\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 O17 - HKLM\System\CS3\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18 d) Нажимаем на кнопку Fix Checked. Подтверждаем удаление нажатием на Yes и закрываем Hijackthis. 6. Нужно найти и удалить следующие файлы. Только перед тем как искать их, удостоверьтесь, что у вас включена функция видеть все скрытые файлы. C:\WINDOWS\System32\msctl32.dll C:\WINDOWS\System32\nbdon.dll C:\windows\SYSTEM32\snsntfy.dll Если же они удаляться не захотят, то попробуй переназвать их (всё равно на что) и потом удалить. Либо нажимаем Пуск > Выполнить, вписываем следующее и нажимаем ОК: regsvr32 /u msctl32.dll Для остальных точно также: regsvr32 /u snsntfy.dll regsvr32 /u nbdon.dll 7. Удаляем этот файл: C:\Recycled\Q330995.exe 8. Запускаем и делаем сканирования Ewido Security Suite. После которого желательно все зараженные файлы, которые он найдет удалить и сохранить его лог. 9. Теперь очень важно избавиться от всех временных файлов. Любым из этих 3-ех способов: a) Если вы будите это делать с помощью System Security Suite, то отметьте в настройках галочкой следующее: Internet Explorer: Cookies; Temporary Files; My Computer: Recycle Bin; Temporary Files; Остальное по желанию. b) Хорошо чистить от временных файлов вот эта программа - CleanUp с) Либо в ручную: 1) Идем сюда - C:\Windows\Temp И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного). 2) Дальше: Пуск > Выполнить вписываем %temp% Откроеться Temp фолдер. Также удаляем всё его содержимое. 3) И через контрольную панель заходим в настройки интернета и нажимаем на кнопку Удалить файлы. 10. Всё. Перезагружаемся в нормальный режим. Если признаков вируса нету, включаем обратно функцию Восстановление системы. И желательно в любом случае, если не очень сложно, показать лог Ewido Security Suite и новый лог Hijackthis (можно просто в PM или тут). Так как я боюсь, что придется еще кое что в конце подредактировать. Удачи :mellow: Link to comment Share on other sites More sharing options...
Чайник с руками Posted January 3, 2006 Report Share Posted January 3, 2006 С наступившим ! Не подскажете что это может быть : При каждом открытии нового окна ИЕ, AntiVir Guard for Windows XP(200+NT) выдаёт следующее "C:\WINDOWS\SYSTEM32\YPQCZ.DLL Is the Trojan horse TR/Dldr.Age.td.55.B" Прилагаю лог Hijackthis : Logfile of HijackThis v1.99.1 Scan saved at 4:12:26, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\WINDOWS\netnw.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE C:\WINDOWS\adduz32.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\CPUCooL\CooLSrv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Downloads\всякое\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Class - {6B30852F-DA6D-F58F-FBA4-E16DF5389605} - C:\WINDOWS\system32\sysda.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MemoryGuard] C:\Program Files\ParticleG\Memory Guard\MemoryGuard.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe" O4 - HKLM\..\Run: [netnw.exe] C:\WINDOWS\netnw.exe O4 - HKLM\..\Run: [2E6.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe O4 - HKLM\..\Run: [2E7.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe O4 - HKLM\..\Run: [2E6.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe O4 - HKLM\..\Run: [2E7.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4F6EC218-24A9-4A7E-ABC5-82B30C9092D8}: NameServer = 192.168.10.1 O23 - Service: Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Зарание установил System Security Suite. Зарание спасибо. Link to comment Share on other sites More sharing options...
Saule Posted January 3, 2006 Report Share Posted January 3, 2006 С наступившим !Не подскажете что это может быть 1. На время лечения желательно отключить функцию System Restore. Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в раздел System Restore и поставить галочку напротив Turn off System Restore on all drives. 2. Теперь первым делом открываем Task Manager (для этого нужно вместе нажать кнопки Alt + Ctrl + Delete). Зайдите во второй раздел - Processes - и остановите следующие процессы (для этого выбираете процесс, который нужно остановить и нажимаете на кнопку Еnd Process): netnw.exe adduz32.exe 3. Далее из автозагрузки нужно убрать: netnw.exe 2E6.tmp.exe 2E7.tmp.exe 2E6.tmp.exe 2E7.tmp.exe 1) Если удаляем с помощью System Security Suite, то 3-ье отделение - AutoRun Tasks - отметить нужное галочкой и нажать кнопку "Delete" Checked. 2) Либо следующим образом: Start > Run; вписать msconfig; нажать ОК. В последнем отделении - StartUp - убираем напротив нужного галочку. Сохраняем изменения (Apply и ОК). Еще не перезагружаемся! 4. Нужно отключить этот сервис: Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe Нажмите Start > Run Впишите services.msc Затем OK. Найдите в списке серсисов Remote Procedure Call (RPC) Helper (Убедитесь, что название действительно соответствует выделенному, это важно!). Кликните по нему 2 раза и в окошке, которое появиться, сначала нажмите на кнопку Stop, а затем в небольшом меню Startup Type выберите функцию Disabled. Теперь Apply и OK. Закройте это окно. 5. Теперь закрываем абсолютно все открытые окошки и открываем HijackThis. Делаем в помощью него сканирование и отмечаем галочкой следующие пункты, если они еще будут присутствовать в его логе: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net R3 - Default URLSearchHook is missing O2 - BHO: Class - {6B30852F-DA6D-F58F-FBA4-E16DF5389605} - C:\WINDOWS\system32\sysda.dll O4 - HKLM\..\Run: [netnw.exe] C:\WINDOWS\netnw.exe O4 - HKLM\..\Run: [2E6.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe O4 - HKLM\..\Run: [2E7.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe O4 - HKLM\..\Run: [2E6.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe O4 - HKLM\..\Run: [2E7.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe 6. Пытаемся найти и удалить следующие файлы: C:\WINDOWS\adduz32.exe C:\WINDOWS\netnw.exe C:\WINDOWS\system32\sysda.dll C:\WINDOWS\system32\ypqcz.dll 7. Скачиваем триал-версию Ewido Security Suite - http://www.ewido.net/en/download/ Инсталируем, делаем его update и сканируем им систему, удаляя всё, что он найдет (в конце желательно сохранить его лог). Если ничего инсталировать желания нет, то делаем его on-line сканирование, также удаляя всё, что он найдет: http://www.ewido.net/en/onlinescan/ 8. В конце, перед перезагрузкой, избавляемся от всех временных файлов (см. пункт 10 в моем предыдущем посте). 9. Перезагружаемся и желательно делаем новый лог HijackThis, который показываем мне. P.S. Совет: После лечения смените все ваши более-менее важные пароли! 1 Link to comment Share on other sites More sharing options...
Чайник с руками Posted January 3, 2006 Report Share Posted January 3, 2006 Сделал всё как написала, вот лог : Logfile of HijackThis v1.99.1 Scan saved at 14:25:30, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\CPUCooL\CooLSrv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe D:\Downloads\всякое\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe" O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4F6EC218-24A9-4A7E-ABC5-82B30C9092D8}: NameServer = 192.168.10.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Открыл несколько раз окно ИЕксплорера, сообщение не появляется, наверно всё ). Огромное человеческое СПАСИБО ! П.С. Систем Рестор можно вернуть ? Link to comment Share on other sites More sharing options...
Saule Posted January 3, 2006 Report Share Posted January 3, 2006 Открыл несколько раз окно ИЕксплорера, сообщение не появляется, наверно всё ).Огромное человеческое СПАСИБО ! П.С. Систем Рестор можно вернуть ? Можно. Я за вас очень рада. И желаю в Новом году более не болеть Link to comment Share on other sites More sharing options...
Alexandre Posted January 5, 2006 Report Share Posted January 5, 2006 Прогу давно уже деинсталировал, но "подарок" от нее не убирается. Со всеми советами согласен, но задача все же не на будущее, а на настоящее - как убрать дурацкую заставку с экрана? Хотелось бы конкретнее - в каких местах системы могут сидеть эти файлы? Пользуюсь AVG антивирусом, плюс Stocona antivirus. Постоянно чищу систему, проверяю на наличие вирусов, троянов, шпионов. Работает AD-aware and RegOrganizer. Шпионский скринсейвер продолжает блокировать экран... У меня таже проблема! Все сделал как вы советовали, осталась только надпись, как с ней бороться? Link to comment Share on other sites More sharing options...
Saule Posted January 5, 2006 Report Share Posted January 5, 2006 У меня таже проблема! Все сделал как вы советовали, осталась только надпись, как с ней бороться? Нужен лог HijackThis Link to comment Share on other sites More sharing options...
Recommended Posts