Jump to content

Помощь в лечении систем от нечисти


Recommended Posts

!

Предупреждение:
ВНИМАНИЕ! В этом топике помощь больше не оказывается!
Для этого создана отдельная ветка "Лечение систем от компьютерных вирусов".
Добро пожаловать на форум.



Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.
Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен! Черный прямоугольник на синем экране, в котором красными буквами вписано то самое предупреждение. Уже много времени не могу убрать это. Правая клавиша мыши теперь на экране не работает. По внешним признакам все выглядит так. При загрузке ОС ХР сначала появляемся мой родной рисунок экрана, затем грузятся все нужные проги из автозагрузки, а в самом конце загрузки рисунок экрана меняется на шпионское предупреждение.
Никакими антивирусными и антишпионскими программами данная гадость не выявляется, в автозагрузке, естественно, отсутствует, где еще искать, честно сказать, не знаю.
Если кто сталкивался с таким явлением - помогите?!

i

Уведомление:
В этом топике уместны любые вопросы, касающиеся помощи в лечении вашей системы от любой компьютерной нечисти.

Приложение к вашему сообщению лога программы HijackThis только приветствуется, так как видя конкретную ситуацию, давать советы гораздо проще:
Скачиваем
http://tomcoyote.org/hjt/hjt199//hijackthis.zip' rel="external nofollow">
, распаковываем и запускаем (инсталляция для его работы не требуется).

Затем нажимаем на кнопку "Do a systemscan and save a logfile":

htlog2zv.gif
После чего программа автоматически выдаст свой лог, содержимое которого, нужно просто скопировать в своё сообщение.


Также, для более глубокого анализа вашей системы, не будет лишним скачать AVZ:
Распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы:

Файл > Исследование системы

И присоединяем (не копируем, а именно присоединяем!) полученный протокол к своему сообщению (на всякий случай: Как присоединить к сообщению изображение, или файл).


Также здесь есть несколько НО, наиболее значимые из которых:

  1. во-первых, HijackThis 1.99.1 был выпущен еще в феврале 2005 года (в Trend Micro HijackThis 2 кардинальных изменений также, к сожалению, не внесли). И было бы очень наивно полагать, что за это время методы автозапуска вирусов никак не изменялись.
  2. во-вторых, от HijackThis довольно просто маскироваться (например, можно запускаться и под видом абсолютно "нормальной" программы, на которую никто, кроме, самого пользователя внимания в логе никогда не обратит - т.к. посторонний человек не может знать о том, что вы, к примеру, никогда не устанавливали ICQ5; либо программа может умышленно занести себя в список исключений HijackThis: Config... > Ignorelist и т.п.).
  3. в-третьих, вирусы, которые живут исключительно благодаря заражению исполняемых файлов системы, с помощью HijackThis также вполне могут не детектироваться (если первый запуск был сделан из такого же зараженного exe-файла, без создания каких-то опреденных ключей).

Соответственно не лишним будет знать следующее:

  1. время от времени (т.е. по мере необходимости) обязательно нужно использовать программы для детектирования руткитов (кратко о руткитах), так как в последнее время они всё чаще и чаще встречаются на компьютерах обычных пользователей. Здесь можно использовать AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis).
  2. не стесняйтесь обращать внимание, спрашивать или уточнять, если какие-то строки в логе вас по каким-то причинам смущают или кажутся подозрительными.
    Плюс чем подробнее вы расскажете о проблеме, тем больше шансов будет от этой проблемы избавиться.
  3. перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.
    Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan; анти-троян: Ewido anti-spyware.

Плюс советую заглянуть в этот топик:
Важно знать! Компьютерная безопасность, защита, лечение.
Возможно, он поможет вам решить "вирусные" проблемы.

Saule.

Edited by akoK
Link to comment
Share on other sites

Guest А вот и я :)

А нельзя ли более точЬно сформулировать, как именно называлась программа?

Link to comment
Share on other sites

Strannnik:

Ad-Aware SE Personal - тебя избавит от прочих прелестей.

Скорее всего, тебе досталось что-то из серии, как бы тебе сказать под Новый год мягче - скачай и получи нам удовольствие?!?

Триал, одним словом.

Выкинь эту штуку, будет сопротивляться, а ты её так смело и в деинсталл! ;)

На этом Форуме я нашёл ссылку на Ad-Aware SE Personal, закачал, полгода уже пашет и без проблов.

А вычистила довольно-таки нормально: пропали всплывающие, реклама Билла и пр.

Обновляется сразу в Инете.

АВТОЗАПУСК в regedit можешь и не увидеть, ставь прогу для РЕГИСТРА, там могут быть СКРЫТЫЕ старты.

И каким Антивирусом пользуешь?

Так что по порядку - читай Форум и всё к тебе прибудет! ;)

Link to comment
Share on other sites

Guest А вот и я :)

Установил у себя прогу по поиску и удалению шпионских программ.

Мой искренний совет: Если вы хотите установить на своем компьютере хорошую и качественную программу без довесков виде spyware, обязательно посмотрите сначала, есть ли эта программа в каталоге Softodrom.ru. Туда попадают только самые лучшие программы, и если такой программы там нет, то стоит задуматься. У Софтодрома, кстати, недавно появился раздел под названием "Программы, которых у нас еще нет" - это программы, заявка на помещение которых в софтодромный каталог поступила, но которые еще не были протестированы. Если этой "хорошей" программы нету и в этом разделе, то нужно вдвойне задуматься. Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью.

Link to comment
Share on other sites

Вообще Интернет кишит программами, которые, на первый взгляд, совершенно замечательные, но на самом деле напичканы spyware и всякой другой мерзостью.

Угу, с прискорбием могу подтвердить- скачал одну ( далее следует звук "BEEEEEEP") хрень- вот, только что, комп перестал в синий экран вылетать, два(!!!!!) дня, извиняюсь, трахался, что бы системник отладить. А ведь был обычный, казалось бы, антишпиЁн... :g: Всё, пойду на радостях MS Blast скачаю- Нортона опробирую :blink: Шутка! :D

Link to comment
Share on other sites

Прогу давно уже деинсталировал, но "подарок" от нее не убирается.

Со всеми советами согласен, но задача все же не на будущее, а на настоящее - как убрать дурацкую заставку с экрана?

Хотелось бы конкретнее - в каких местах системы могут сидеть эти файлы?

Пользуюсь AVG антивирусом, плюс Stocona antivirus. Постоянно чищу систему, проверяю на наличие вирусов, троянов, шпионов. Работает AD-aware and RegOrganizer.

Шпионский скринсейвер продолжает блокировать экран...

Link to comment
Share on other sites

А ты не пробовал отключить запуск скринсейверов в ручную

Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе

HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop

Link to comment
Share on other sites

А ты не пробовал отключить запуск скринсейверов в ручную

Для данной блокировки присвой параметру типа DWORD ScreenSaveActive значение 0 в разделе

HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop

Ок! Спасибо. Попробую и отвечу...

Link to comment
Share on other sites

Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.

Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен!

Програма называлась Spy Sheriff и твоя проблема находиться тут:

c:\secure32.html

Чтобы избавиться от неё тебе нужно сделать следующее:

1. Запусти HijackThis (все окошки закрыты, открыт только HijackThis).

Сделай сканирование и отметь галочкой следующие пункты:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Нажми на кнопку Fix Checked. Когда он закончит, закрывай.

2. Удали файл:

с:\secure32.html

3. Теперь нужно избавиться от временных файлов.

Сделать это можно либо с помощью какой-нибудь специальной программы (например CleanUp, CCleaner).

Либо в ручную:

1) Идешь сюда - C:\Windows\Temp
Затем в верхнем меню нажимаешь на Edit > Select All
И удаляешь всё содержимое (если что-то удаляться не захочет, ничего страшного).
2) Далее: Start > Run
вписываешь %temp%
Откроеться Temp фолдер. Также удаляешь всё его содержимое.
3) Control Panel > Internet Options
Жмешь на кнопку Delete Files.
Ставишь галочку напротив Delete Offline Content и жмешь на OK.
И заодно еще можешь в верхнем меню, здесь же (в Internet Options) выбрать Programs и нажать на кнопку Reset Web Settings.
Затем Apply и OK.

3. Очисти мусорную карзину.

Перезагрузись :dntknw:

Если это тебе не поможет, придеться капаться поглубже :)

И еще, можешь поискать в реестре (Start > Run, вписываешь regedit, жмешь ОК. Чтобы начать поиск, в верхнем меню выбираешь Edit > Find, вписываешь нужное тебе слово и жмешь на кнопку Find Next) любые ключи, в которых есть слово SpySheriff и удалить их.

Link to comment
Share on other sites

Если это тебе не поможет, придеться капаться поглубже :bye1:

Аналогичная проблема.. Все сделал как ты сказала.. Стартовая страница категорически не хочет изменятся C:\secure32.html. Этот %:*%:; файл удаляется, а при обновлении папки появляется снова. Перепробовал несколько прог - ничего не помогает.. :dontgetit:

В реестре искал C:\secure32.html - все удалил. Если искать SpySheriff - ничего не находит.. HELP!!!

Link to comment
Share on other sites

Спасибо за лог. :blink:

Вот лечение:

1. Скачай и распакуй на рабочем столе KillBox.exe

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Он понадобиться позже.

2. Скачай триал-версию Ewido Security Suite

http://www.ewido.net/en/download/

Инсталируй и сразу сделай его update.

Пока тоже ничего не сканируем.

3. Временно отключи функцию System Restore.

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives.

4. Перезагрузи компьютер в режим Safe Mode.

5. Запусти HijackThis. Отметь галочкой следующее и нажми на кнопку Fix Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\paoqaw.exe reg_run

O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

O4 - Startup: Ярлык для Ninja.lnk = ?

И еще. Если это появилось не по твоей инициативе, и ты не знаешь, что это такое, то тоже отмечаем галочкой и чиним. Лучше чинить.

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

6. Удостоверься, что ты можешь видеть скрытые файлы системы.

Control Panel > Folder Options; в верхнем меню вибираешь столбик View; и ставишь точку напротив Show hidden files and folders.
Аpply и ОК.

И теперь с помощью Killbox нужно удалить эти файлы:

C:\WINDOWS\system32\paytime.exe

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe

C:\WINDOWS\system32\paoqaw.exe

c:\secure32.html

Процедура удаления файла с помощью Killbox выполняеться следующим образом:
В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html).
Затем выбираешь Delete on Reboot и нажимаешь на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

8. Сделай полное сканирование системы с помощью Ewido Security Suite. Он найдет всё, что не отображаеться в логе HijackThis и находиться в скрытых папках системы.

Когда он закончит, сохрани его лог (кнопка Save report, которая в конце покажеться внизу его окошка).

9. Затем нажми

Start > Control Panel > Display > Desktop и на кнопку Customize Desktop. Выбери Web.

Отметь галочкой и удали всё, что ты там найдешь, включая "My current home page".

10. Перезагрузись и войди в систему в обычном режиме.

Включи обратно функцию System Restore.

Link to comment
Share on other sites

Вобщем получилось следующее:

После инсталляции Evido SS он сразу начал обнаруживать эту хрень (и не только), но я пока не стал ничего удалять..

п.7. Killbox.

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe - такого там не было, был ibm00001.dll.

Все эти файлы отметил к удалению после перезагрузки (перезагружаться сразу не стал, т.к в инструкции не было :1eye: )

Запустил Ewido и он мне стал предлагать удалить файлы из папки !Killbox, куда тот по всей видимости поместил заразу к удалению. Это я соответсвенно проигнорил, чтобы не было конфликтов, так же как и их реальное расположение.. (в отчете учтено)

п.9.

Ничего кроме "My current home page" там не было и кнопка "удалить" была не активна. Соотвественно удалить не удалось.

Итог:

C:\secure32.html -больше не появляется :bleh: и с homepage теперь все ок!!!!!!!! :bleh:

ОГРОМНОЕ :bleh:

НО: Папка !Killbox осталась и вся эта дрянь там еще осталась. Что с ней делать? Удалить в рукопашную?

Так же выкладываю report EvidoSS... Заразы было не мало..

лучше так..

C:\!KillBox\ibm00001.dll -> Trojan.Sinowal.a : Ignored

C:\!KillBox\paoqaw.exe -> Downloader.Qoologic.at : Ignored

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.a : Ignored

C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.at : Ignored

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ozqw.exe -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\country.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\drsmartload95a.exe -> Downloader.Adload.j : Cleaned with backup

C:\WINDOWS\hosts -> Trojan.Qhost.el : Cleaned with backup

C:\WINDOWS\kl.exe -> Logger.Small.dg : Cleaned with backup

C:\WINDOWS\system32\ipuspep.dll -> Downloader.Qoologic.az : Cleaned with backup

C:\WINDOWS\system32\jvbvvfv.exe -> Trojan.Pakes : Cleaned with backup

C:\WINDOWS\system32\kmkqm.dll -> Downloader.Small : Cleaned with backup

C:\WINDOWS\system32\paradise.raw -> Proxy.Lager.f : Cleaned with backup

C:\WINDOWS\system32\vgactl.cpl -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\system32\wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.at : Cleaned with backup

C:\WINDOWS\tool3.exe -> Downloader.Small.bwr : Cleaned with backup

C:\WINDOWS\tool4.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\tool5.exe -> Trojan.Small : Cleaned with backup

C:\WINDOWS\toolbar.exe -> Downloader.Adload.j : Cleaned with backup

Scan_report_20051220.txt.txt

Scan_report_20051220.txt.txt

Link to comment
Share on other sites

Проверил еще раз..

C:\WINDOWS\system32\paoqaw.exe -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\wuygu.dat -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\__delete_on_reboot__ipuspep.dll -> Downloader.Qoologic.ax : Cleaned with backup

C:\WINDOWS\system32\__delete_on_reboot__wuauclt.dll -> Downloader.Qoologic.at : Cleaned with backup

Теперь-то надеюсь все.. :bleh::bleh:

Link to comment
Share on other sites

Отличная работа. Молодец! :bleh:

Всю папку Killbox можно смело удалять вообще, так как он тебе в ближайшее время наврятли понадобиться. Его используют только в крайних случаях.

Link to comment
Share on other sites

Искренне хочу заплюсить тебе репутацию, но не знаю как... :blink: Скромно намекни?... :1eye:

i

Уведомление:

Набираем двадцать постов и плюсуем.

Главное - не оффтопим. :)

Shurr.

Edited by Shurr
Link to comment
Share on other sites

  • 2 weeks later...

С прошедшим вас всех новым годом!Принимайте новичка)

Столкнулся вот с аналогичной проблемой( "Програма называлась Spy Sheriff и твоя проблема находиться тут:

c:\secure32.html" (с) ). Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему..

вот лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 17:04:52, on 01.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\nvsvc32.exe

C:\Program Files\StarForce\Safe'n'Sec\safensec.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe

C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe

C:\Program Files\Punto Switcher\ps.exe

C:\windows\System32\devldr32.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\Дмитрий\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {C9C5459B-50AE-4177-BA3E-C351B9FC8B69} - C:\WINDOWS\System32\nbdon.dll (file missing)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009"

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [safe'n'Sec] C:\Program Files\StarForce\Safe'n'Sec\snsmcon.exe autostart

O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack

O4 - HKCU\..\Run: [aGSM] C:\Documents and Settings\Дмитрий\Рабочий стол\aGSM\aGSM\aGSM.exe /minimize

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: MKS.bat

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Парсить, используя LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Скачать, используя LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O8 - Extra context menu item: Скачать, используя Мастер LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS1\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS2\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS3\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O18 - Filter: text/html - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O18 - Filter: text/plain - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll (file missing)

O20 - Winlogon Notify: reset5 - C:\windows\SYSTEM32\reset5.dll

O20 - Winlogon Notify: SafenSec - C:\windows\SYSTEM32\snsntfy.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\windows\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\windows\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\windows\system32\srvany.exe (file missing)

O23 - Service: SafenSec - StarForce - C:\Program Files\StarForce\Safe'n'Sec\safensec.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт -

C:\WINDOWS\System32\wbem\wmiapsrv.exe

Мож я чего не приметил? Подскажите плиз)

Link to comment
Share on other sites

Последовал вашим инструкциям,и вроде исчезла эта "гадость" с десктопа,но на время проверки ewido - после окончания оной, всё осталось по прежнему..
Такие инструкции пишутся под конкретный лог и под конкретный компьютер. Так как могут отличаться операционные системы и вообще всё программное обеспечение (обьясняя другими словами, любой вирус может действовать именно на такие процессы и файлы, которых в первом случае могло просто не быть).

И на том компьютере, кстати, было 3 вируса :doh:

Когда в системе есть Downloader, то он может успеть загрузить и побольше.

В вашем логе сразу бросаеться в глаза то, что в конце нужно было обязательно избавиться от всех временных файлов. Много чего повылезало оттуда.

В течение часа, максимум двух, как только освобожусь, отпишу всё нормально. Держитесь :rolleyes:

Link to comment
Share on other sites

Спасибо на добром слове) Буду ждать помощи)

Мне очень стыдно, что я так пропала. Но раньше никак не смогла :(

1. На время лечения желательно отключить функцию Восстановление системы.

Кликнуть на Мой Компьютер правой кнопкой мыши и нажать на Свойства. Зайти в раздел Система восстановления и поставить галочку напротив Отключить восстановление системы.

2. Думаю, что пригодиться вот эта программка - System Security Suite.

Удобная для удаления временных файлов и контроля за автозагрузкой и BHO (Browser Helper Objects).

3. Делаем update для Ewido Security Suite.

4. Из автозагрузки необходимо убрать следующее:

a) Возможно, что его уже там не будет, так как он во время лога находится в папке временных файлов. Потом тогда будем смотреть.

Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009"

1) Если удаляем с помощью System Security Suite, то нам нужно 3-ье отделение - AutoRun Tasks - отметить нужное галочкой и нажать кнопку "Lock" Checked ("Unlock" Checked - в любой момент это изменение можно вернуть это на место).
2) Либо следующим образом: Пуск > Выполнить; вписать msconfig; нажать ОК.
В последнем отделении - Автозагрузка - убираем напротив нужного галочку. Сохраняем изменения

b) Если вы не в курсе, откуда это у в автозагрузке и что это такое не знаете, то также обязательно убираем:

c:\office_patch.exe hack

MKS.bat

5. Перезагружаемся в систему в безопасном режиме (Safe Mode).

6. Сначала включаем Hijackthis. Все остальные окошки должны быть обязательно закрыты (открыт только Hijackthis).

a) Делаем сканирование и отмечаем галочкой следующее, если это еще будет присутствовать в его логе:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)

O2 - BHO: (no name) - {C9C5459B-50AE-4177-BA3E-C351B9FC8B69} - C:\WINDOWS\System32\nbdon.dll (file missing)

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [LanzarTitanium2006] "C:\DOCUME~1\ДМИТРИЙ\LOCALS~1\Temp\{0DEF9A75-1F3C-4279-B937-4F852B6EE609}\{98032D6F-3EE6-4646-B68C-40BF012AC89B}\..\..\T2006tmp\Install.exe" /SETUP:"/l0x0009"

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O18 - Filter: text/html - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O18 - Filter: text/plain - {73B4FD99-D7C6-4474-A971-D610776EF6AB} - C:\WINDOWS\System32\nbdon.dll

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll (file missing)

O20 - Winlogon Notify: SafenSec - C:\windows\SYSTEM32\snsntfy.dll

b) Плюс следующее, если вам это всё-таки не знакомо (см. пункт 3b):

O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack

O4 - Startup: MKS.bat

с) Подумайте, знакомы ли вам эти ip-адреса\домены? Возможно к ним имеет какое-то отношение ваш провайдер:

195.34.32.11 ns1.mtu.ru (ZAO MTU-Intel)

195.7.162.244 beta.tagtech.ru (SONI Company)

195.42.69.18 gamma.tagtech.ru (Home Internet club)

Если же вы никак с ними не связаны, то отмечаем и это галочкой:

O17 - HKLM\System\CCS\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS1\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS2\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

O17 - HKLM\System\CS3\Services\Tcpip\..\{387CDF2A-38EE-4189-8890-B6B07956BF1D}: NameServer = 195.34.32.11,195.7.162.244,195.42.69.18

d) Нажимаем на кнопку Fix Checked. Подтверждаем удаление нажатием на Yes и закрываем Hijackthis.

6. Нужно найти и удалить следующие файлы.

Только перед тем как искать их, удостоверьтесь, что у вас включена функция видеть все скрытые файлы.

C:\WINDOWS\System32\msctl32.dll

C:\WINDOWS\System32\nbdon.dll

C:\windows\SYSTEM32\snsntfy.dll

Если же они удаляться не захотят, то попробуй переназвать их (всё равно на что) и потом удалить.

Либо нажимаем Пуск > Выполнить, вписываем следующее и нажимаем ОК:

regsvr32 /u msctl32.dll

Для остальных точно также:

regsvr32 /u snsntfy.dll

regsvr32 /u nbdon.dll

7. Удаляем этот файл:

C:\Recycled\Q330995.exe

8. Запускаем и делаем сканирования Ewido Security Suite.

После которого желательно все зараженные файлы, которые он найдет удалить и сохранить его лог.

9. Теперь очень важно избавиться от всех временных файлов.

Любым из этих 3-ех способов:

a) Если вы будите это делать с помощью System Security Suite, то отметьте в настройках галочкой следующее:

Internet Explorer: Cookies; Temporary Files;

My Computer: Recycle Bin; Temporary Files;

Остальное по желанию.

b) Хорошо чистить от временных файлов вот эта программа - CleanUp

с) Либо в ручную:

1) Идем сюда - C:\Windows\Temp
И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного).
2) Дальше: Пуск > Выполнить
вписываем %temp%
Откроеться Temp фолдер. Также удаляем всё его содержимое.
3) И через контрольную панель заходим в настройки интернета и нажимаем на кнопку Удалить файлы.

10. Всё. Перезагружаемся в нормальный режим.

Если признаков вируса нету, включаем обратно функцию Восстановление системы.

И желательно в любом случае, если не очень сложно, показать лог Ewido Security Suite и новый лог Hijackthis (можно просто в PM или тут).

Так как я боюсь, что придется еще кое что в конце подредактировать.

Удачи :mellow:

Link to comment
Share on other sites

С наступившим !

Не подскажете что это может быть :

При каждом открытии нового окна ИЕ, AntiVir Guard for Windows XP(200+NT) выдаёт следующее

"C:\WINDOWS\SYSTEM32\YPQCZ.DLL

Is the Trojan horse TR/Dldr.Age.td.55.B"

Прилагаю лог Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 4:12:26, on 03.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\netnw.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE

C:\WINDOWS\adduz32.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\CPUCooL\CooLSrv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Downloads\всякое\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {6B30852F-DA6D-F58F-FBA4-E16DF5389605} - C:\WINDOWS\system32\sysda.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MemoryGuard] C:\Program Files\ParticleG\Memory Guard\MemoryGuard.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe"

O4 - HKLM\..\Run: [netnw.exe] C:\WINDOWS\netnw.exe

O4 - HKLM\..\Run: [2E6.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe

O4 - HKLM\..\Run: [2E7.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe

O4 - HKLM\..\Run: [2E6.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe

O4 - HKLM\..\Run: [2E7.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F6EC218-24A9-4A7E-ABC5-82B30C9092D8}: NameServer = 192.168.10.1

O23 - Service: Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Зарание установил System Security Suite.

Зарание спасибо.

Link to comment
Share on other sites

С наступившим !

Не подскажете что это может быть

1. На время лечения желательно отключить функцию System Restore.

Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в раздел System Restore и поставить галочку напротив Turn off System Restore on all drives.

2. Теперь первым делом открываем Task Manager (для этого нужно вместе нажать кнопки Alt + Ctrl + Delete). Зайдите во второй раздел - Processes - и остановите следующие процессы (для этого выбираете процесс, который нужно остановить и нажимаете на кнопку Еnd Process):

netnw.exe

adduz32.exe

3. Далее из автозагрузки нужно убрать:

netnw.exe

2E6.tmp.exe

2E7.tmp.exe

2E6.tmp.exe

2E7.tmp.exe

1) Если удаляем с помощью System Security Suite, то 3-ье отделение - AutoRun Tasks - отметить нужное галочкой и нажать кнопку "Delete" Checked.
2) Либо следующим образом: Start > Run; вписать msconfig; нажать ОК.
В последнем отделении - StartUp - убираем напротив нужного галочку. Сохраняем изменения (Apply и ОК). Еще не перезагружаемся!

4. Нужно отключить этот сервис:

Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe

Нажмите Start > Run
Впишите services.msc
Затем OK.
Найдите в списке серсисов
Remote Procedure Call (RPC) Helper
(Убедитесь, что название действительно соответствует выделенному, это важно!).
Кликните по нему 2 раза и в окошке, которое появиться, сначала нажмите на кнопку Stop, а затем в небольшом меню Startup Type выберите функцию Disabled.
Теперь Apply и OK.
Закройте это окно.

5. Теперь закрываем абсолютно все открытые окошки и открываем HijackThis.

Делаем в помощью него сканирование и отмечаем галочкой следующие пункты, если они еще будут присутствовать в его логе:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ypqcz.dll/sp.html#10001%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {6B30852F-DA6D-F58F-FBA4-E16DF5389605} - C:\WINDOWS\system32\sysda.dll

O4 - HKLM\..\Run: [netnw.exe] C:\WINDOWS\netnw.exe

O4 - HKLM\..\Run: [2E6.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe

O4 - HKLM\..\Run: [2E7.tmp] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe

O4 - HKLM\..\Run: [2E6.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E6.tmp.exe

O4 - HKLM\..\Run: [2E7.tmp.exe] C:\DOCUME~1\Alexandr\LOCALS~1\Temp\2E7.tmp.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\adduz32.exe

6. Пытаемся найти и удалить следующие файлы:

C:\WINDOWS\adduz32.exe

C:\WINDOWS\netnw.exe

C:\WINDOWS\system32\sysda.dll

C:\WINDOWS\system32\ypqcz.dll

7. Скачиваем триал-версию Ewido Security Suite -

http://www.ewido.net/en/download/

Инсталируем, делаем его update и сканируем им систему, удаляя всё, что он найдет (в конце желательно сохранить его лог).

Если ничего инсталировать желания нет, то делаем его on-line сканирование, также удаляя всё, что он найдет:

http://www.ewido.net/en/onlinescan/

8. В конце, перед перезагрузкой, избавляемся от всех временных файлов (см. пункт 10 в моем предыдущем посте).

9. Перезагружаемся и желательно делаем новый лог HijackThis, который показываем мне.

P.S. Совет: После лечения смените все ваши более-менее важные пароли!

  • Upvote 1
Link to comment
Share on other sites

Сделал всё как написала, вот лог :

Logfile of HijackThis v1.99.1

Scan saved at 14:25:30, on 03.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\CPUCooL\CooLSrv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Downloads\всякое\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe"

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F6EC218-24A9-4A7E-ABC5-82B30C9092D8}: NameServer = 192.168.10.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Открыл несколько раз окно ИЕксплорера, сообщение не появляется, наверно всё ).

Огромное человеческое СПАСИБО !

П.С.

Систем Рестор можно вернуть ?

Link to comment
Share on other sites

Открыл несколько раз окно ИЕксплорера, сообщение не появляется, наверно всё ).

Огромное человеческое СПАСИБО !

П.С.

Систем Рестор можно вернуть ?

Можно. Я за вас очень рада. И желаю в Новом году более не болеть :bye1:

Link to comment
Share on other sites

Прогу давно уже деинсталировал, но "подарок" от нее не убирается.

Со всеми советами согласен, но задача все же не на будущее, а на настоящее - как убрать дурацкую заставку с экрана?

Хотелось бы конкретнее - в каких местах системы могут сидеть эти файлы?

Пользуюсь AVG антивирусом, плюс Stocona antivirus. Постоянно чищу систему, проверяю на наличие вирусов, троянов, шпионов. Работает AD-aware and RegOrganizer.

Шпионский скринсейвер продолжает блокировать экран...

У меня таже проблема! Все сделал как вы советовали, осталась только надпись, как с ней бороться?

Link to comment
Share on other sites

У меня таже проблема! Все сделал как вы советовали, осталась только надпись, как с ней бороться?

Нужен лог HijackThis :doh:

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.



×
×
  • Create New...