Помощь в лечении систем от нечисти

**TVS** · 19 апреля, 2006

Вот-бы еще такую програмку иметь,которая-бы показывала все до одного запущенные процессы.А там ненужные закрывать.

А еще лучше AVZ - убъешь 1,4 мегабайтами сразу 10 зайцев.

Чего только не умеет эта программа Олега Зайцева!

http://z-oleg.com/secur/avz/download.php

Вот скрин окна с процессами:

Возможно, она у тебя уже есть.

Изменено 19 апреля, 2006 пользователем TVS

**kazan** · 20 апреля, 2006

Тебе нужен Process Explorer

Спасибо за совет.Буду юзать.

**Saule** · 21 апреля, 2006

Saule
После твоих рекомендаций все хорошо! Счетчик отправляемых файлов стоит на месте.

Спасибо!!!

Вот-бы еще такую програмку иметь,которая-бы показывала все до одного запущенные процессы.А там ненужные закрывать.

В том же HijackThis есть удобный просмоторщик запущенных процессов:

кнопка Open the Misc Tools selection > Open process manager

Oткроется нечто подобное, что можно видить в Task Manager (Диспетчер Задач) Windows в закладке Processes, но возможности HijackThis в этом плане гораздо превосходят возможности Диспетчерa Задач.

Во-первых, с помощью HijackThis можно видеть не только само название файла, который отвечает за какой-либо процесс, но и сразу же его точное местоположение, что очень удобно.

Во-вторых, если мы поставим галочку в верхнем правом углу, рядом с надписью Show DLLs (на

скрине

http://img84.imageshack.us/img84/7778/untitled49us.jpg' rel="external nofollow">

подчеркнуто красной линией), то у нас появится возможность видеть список всех DLL-файлы, которые используются любым из процессов.

Более того, если мы нажмем на кнопку, обведенную на

скрине

http://img84.imageshack.us/img84/7778/untitled49us.jpg' rel="external nofollow">

красным цветом (Save list to file), то список всех запущенных процессов, вместе со списком DLL-файлов, интересующего нас процесса, можно сохранить в текстовый файл (по умолчанию сохраняется в папке HijackThis с названием processlist.txt).

Или же кнопка рядом - Copy list to clipboard - автоматически скопирует эту информацию в память компьютера (дальше делаем просто "paste" в любом месте).

Кликнув по любому файлу двойным кликом, мы автоматически откроем его Параметры (Properties).

А с помощью кнопок Kill process, Refresh, Run соответственно возможно завершать, обновлять (весь список) и снова запускать любой из процессов.

А какую именно программу использовать для этих целей - скорее уже дело вкуса, кому что больше нравится и кому в чем удобнее

**TVS** · 21 апреля, 2006

Спасибо, Saule, за информацию.

Очень интересно. Пользуемся этими программами и даже не знаем, что они еще умеют.

**Dmitri** · 21 апреля, 2006

Установил у себя прогу по поиску и удалению шпионских программ. Точно не помню названия, но что-то вроде Adware/Spyware Remover. Прога имела ограничение по бесплатному использованию, и через какое-то время работать перестала.

Но, напоследок, она блокировала изменение скринсейвера, сделав неактивным управлением экрана, а вместо родного скрина прилепила на экран грозное предупреждение о том, что мой комп заражен! Черный прямоугольник на синем экране, в котором красными буквами вписано то самое предупреждение. Уже много времени не могу убрать это. Правая клавиша мыши теперь на экране не работает. По внешним признакам все выглядит так. При загрузке ОС ХР сначала появляемся мой родной рисунок экрана, затем грузятся все нужные проги из автозагрузки, а в самом конце загрузки рисунок экрана меняется на шпионское предупреждение.

Никакими антивирусными и антишпионскими программами данная гадость не выявляется, в автозагрузке, естественно, отсутствует, где еще искать, честно сказать, не знаю.

Если кто сталкивался с таким явлением - помогите?!

i

Уведомление:

задавайте вопросы по лечению вирей и прочей нечисти, по мере возможности Вам помогут советом. Прежде чем спросить просмотрите всю тему , так как возможно Вашу проблему уже обсудили и нашли решение. General.

Dmitri

Неудачный выбор-удалите эту программу без жалости. Скачайте одновременно Stocona Antivirus Pro 3.2 (sales@drweb.com) и DrWeb там же (обе проги совместимы и не конфликтуют), до полноценной их регистрации они в работе до 10-20 дней. Stocona поможет обнаружить видоизменённый файл и исправить либо удалить его, DrWeb ликвидирует всю заразу где бы она ни находилась, практически эти две проги вылечат Ваш комп как скорая помощь.

**Saule** · 21 апреля, 2006

Неудачный выбор-удалите эту программу без жалости. Скачайте одновременно Stocona Antivirus Pro 3.2 (sales@drweb.com) и DrWeb там же (обе проги совместимы и не конфликтуют), до полноценной их регистрации они в работе до 10-20 дней. Stocona поможет обнаружить видоизменённый файл и исправить либо удалить его, DrWeb ликвидирует всю заразу где бы она ни находилась, практически эти две проги вылечат Ваш комп как скорая помощь.

Я извиняюсь, но такое сравнение здесь неуместно

К тому же в том случае, это был не личный выбор того человека, а скорее выбор программы, которая различными способами заставляла себя установить (сначала вы получаете сообщение о том, что вы якобы заражены, при этом ни один антивирус/антитроян ничего у вас не находит, и "помочь" может только эта программа. Вы её устанавливаете, и она действительно сначала якобы удаляет ваш "вирус". После чего у вас какбы всё хорошо... но лишь до того момента, когда вы решите удалить эту программу; а нужно заметить, что через какое-то время, она начинат требовать денег за то, что вы ею пользуетесь... В этом, конечно, ничего страшного нету, если не иметь в виду тот факт, что изначально никаких вирусов, кроме трояна этой программы (которого до тех пор, пока этот конкретный экземпяр не попадет в руки того же Др. Вэба, антивирусы дэтэктировать не будут; по той простой причине, что ничем опасным он не занимается - время от времени выдает сообщения и всё - огромное количество нормальных программ делают то же самое) в вашей системе на самом деле и не было, и всё последующее время ничего полезного для вас эта программа делать не будет... А вы сравниваете с этим отличные антивирусные продукты ).

Поэтому давайте будем высказывать подобные мнения, если такого вопроса, конечно, ни от кого не наблюдалось, в других топиках... у этого немного другая специфика в общем-то :)

**TVS** · 23 апреля, 2006

Saule, не могли бы Вы посмотреть автозагрузку, которую показал мне AVZ, особенно несколько нижних позиций меня смутили. Другие программы этого не показывают.____________.htm

____________.htm

**Saule** · 23 апреля, 2006

Saule, не могли бы Вы посмотреть автозагрузку, которую показал мне AVZ, особенно несколько нижних позиций меня смутили. Другие программы этого не показывают.____________.htm

Eсли не сложно, приложите на всякий случай лог HijackThis, даже если в нём ничего подазрительного нету.

**TVS** · 23 апреля, 2006

Eсли не сложно, приложите на всякий случай лог HijackThis, даже если в нём ничего подазрительного нету.

Прикладываю лог.hijackthis.txt

Не работает обновление баз Касперского.

Уже из другой винды попробовала - там все нормально. Новую конфигурацию Autpost-а сделала, думала прописался не туда - не помогло. Обе винды и оба каспера на двух дисках одинаковые.

hijackthis.txt

**Saule** · 23 апреля, 2006

Прикладываю лог.hijackthis.txtНе работает обновление баз Касперского.
Уже из другой винды попробовала - там все нормально. Новую конфигурацию Autpost-а сделала, думала прописался не туда - не помогло. Обе винды и оба каспера на двух дисках одинаковые.

В логе HijackThis 2 процесса Explorer.EXE, и это мне очень не нравиться

Как ведет себя AVZ? Не предлагает кого-то убить?

**TVS** · 23 апреля, 2006

В логе HijackThis 2 процесса Explorer.EXE, и это мне очень не нравиться

Как ведет себя AVZ? Не предлагает кого-то убить?

Вот от AVZ:avz.htm

avz.htm

**Saule** · 24 апреля, 2006

Вот от AVZ:avz.htm

Если не сложно, сделайте следующее:

Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section"

Далее, напротив "Generate StartupList log" нужно поставить галочки около "List also minor sections" (full) и "List empty sections (complete).

И затем нажать на кнопку "Generate StartupList log"

скрин: http://i1.tinypic.com/mm381z.jpg

Затем в появившемся окошке нажимаем на "Yes". И перед вами, а также в папке hijackthis, появится текстовый файл с названием startuplist.txt. Возможно он сумеет рассказать нам о чем-нибудь.

------------------------

И еще посмотрите не добавлена ли в этот файл (открываем его с помощью блокнота):

C:\WINDOWS\SYSTEM.INI

какая-либо строчка, касающаяся Explorer.exe.

**TVS** · 24 апреля, 2006

Если не сложно, сделайте следующее:

Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section"

Далее, напротив "Generate StartupList log" нужно поставить галочки около "List also minor sections" (full) и "List empty sections (complete).

И затем нажать на кнопку "Generate StartupList log"

скрин: http://i1.tinypic.com/mm381z.jpg

Затем в появившемся окошке нажимаем на "Yes". И перед вами, а также в папке hijackthis, появится текстовый файл с названием startuplist.txt. Возможно он сумеет рассказать нам о чем-нибудь.

------------------------

И еще посмотрите не добавлена ли в этот файл (открываем его с помощью блокнота):

C:\WINDOWS\SYSTEM.INI

какая-либо строчка, касающаяся Explorer.exe.

Saule, вот файлы, посмотрите пожалуйста.startuplist.txt SYSTEM.txt

startuplist.txt

SYSTEM.txt

Изменено 24 апреля, 2006 пользователем TVS

**Saule** · 25 апреля, 2006

Saule, вот файлы, посмотрите пожалуйста.startuplist.txt SYSTEM.txt

Я не знаю в чем дело :(

Сейчас всё выглядит чистым, но сначало что-то действительно было не совсем так, с Explorer.exe :(

Это видно и по самому первому логу AVZ и по первому логу HijackThis. Поэтому скорее всего какая-либо модификация оболочки Windows была.

В данный момент есть 2 варианта: либо все "следы" этой модификации вирусу удалось благополучно скрыть, либо среда вашего компьютера ему по каким-то причинам не подошла, и он не прижился

Если есть возможность сравнить нынешний файл Explorer.exe с тем, каким он был у вас до этого, то это было бы супер, и это был бы выход из положения (сравнивать нужно в первую очередь вес).

-----------------------

Плюс рекомендую на всякий случай проверить систему с помощью Dr.Web CureIt! (это только лишь сканер, поэтому конфликтов с антивирусом не будет).

Хотя, хотелось бы верить, что у вас действительно уже всё в порядке.

**TVS** · 25 апреля, 2006

Saule, спасибо Вам за помощь.

Вообще - очень странно, что в течение суток у меня не запускалось обновление антивирусных баз. Хотя с другой винды тем же каспером, в тот же день - все обновлялось. То есть причина - не в сервере. А вчера вечером и сегодня каспер обновился без проблем. Я ничего не делала, ничего не изменяла. И причины этого мне неизвестны.

Dr.Web CureIt! я уже скачала. Поскольку ошибки CD-ROM у нас то же бывали (как сказано в другом топике этого раздела). Только хотела уточнить - ведь он не будет выдавать отчет - а сразу либо вылечит, либо отправит файлы в карантин. А если это будут какие то системные файлы, важные - что тогда делать?

А на счет Explorer.exe - то я могу сейчас найти только именно тот файл, который работает сейчас. И для сравнения есть в другой винде (чистенький) - в свойствах файлов и в той и в этой винде все абсолютно одинаково - размер и все, что на вкладке Версия. Число создания и изменения одно и то же от 2002г.

Размер файла 981 КБ (1 004 544 байт)

На диске 984 КБ (1 007 616 байт)

**alex_avto** · 25 апреля, 2006

Привет всем! Я как-то задавал вопрос в эту тему,сейчас снова проблема.

Поймал какую-то хворь.После выхода в интернет комп отправляет мегабайты неизвестно кому и куда. Update отключен.Просканировал Ewido и AVZ кое-что почистил ,но проблема осталась.

Че ето может быть?

У меня такая же проблема, только AVZ не запускаеться (вернее программа открываеться и через несколько секунд закрываеться)...

Вот мой лог:

Logfile of HijackThis v1.99.1

Scan saved at 22:52:25, on 25.04.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\САША\LOCALS~1\Temp\Rar$EX00.603\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adsl.by/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)

O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB57.dll (file missing)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB57.dll (file missing)

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [APS] C:\DOCUME~1\САША\LOCALS~1\Temp\Rar$EX00.824\aps\aps.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H

O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Program Files\WINnerTweak3\PopUp Blocker.exe

O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Program Files\WINnerTweak3\PopUp Blocker.exe

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://secure.gestrip.com (HKLM)

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O15 - Trusted Zone: http://update.randhi.com (HKLM)

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl7bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{17BA5129-491D-4C64-AE65-E9EFD61738A5}: NameServer = 81.25.32.34,81.25.32.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F20615-5791-4655-BEAD-74588464D953}: NameServer = 81.25.32.34 81.25.32.9

O17 - HKLM\System\CS1\Services\Tcpip\..\{17BA5129-491D-4C64-AE65-E9EFD61738A5}: NameServer = 81.25.32.34,81.25.32.9

O17 - HKLM\System\CS2\Services\Tcpip\..\{17BA5129-491D-4C64-AE65-E9EFD61738A5}: NameServer = 81.25.32.34,81.25.32.9

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Saule** · 25 апреля, 2006

Dr.Web CureIt! я уже скачала. Поскольку ошибки CD-ROM у нас то же бывали (как сказано в другом топике этого раздела). Только хотела уточнить - ведь он не будет выдавать отчет - а сразу либо вылечит, либо отправит файлы в карантин. А если это будут какие то системные файлы, важные - что тогда делать?

Там нужно обратить внимание скорее именно на внезапные перезагрузки системы, потому что настоящие ошибки cdroom'a всё-таки тоже могут иметь место.

А что касается Weba, то он при обнаружении вируса предлагает 4 варианта лечения:

Если вы вибираете вариант "Нет", то он этот файл не трогает.

**Saule** · 25 апреля, 2006

У меня такая же проблема, только AVZ не запускаеться (вернее программа открываеться и через несколько секунд закрываеться)...

Вот мой лог:

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)

O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB57.dll (file missing)

O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB57.dll (file missing)

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H

O4 - HKLM\..\Run: [Notification Utility] "C:\Program Files\ItBill\itbill.exe"

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl7bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

Затем нажимаем на кнопку "Fix Checked" (браузер при этом закрыт).

Плюс, если сами не добавляли следующие сайты в Trusted Zone в настройках интернета:

http://secure.gestrip.com

http://awbeta.net-nucleus.com

http://update.randhi.com

то следующие пункты также отмечаем галочкой:

O15 - Trusted Zone: http://secure.gestrip.com (HKLM)

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O15 - Trusted Zone: http://update.randhi.com (HKLM)

2. Скачиваем KillBox:

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Распаковываем и с помощью него удаляем файлы:

Процедура удаления файла с помощью Killbox выполняеться следующим образом:

В строку его окошка нужно скопировать точное местоположение файла (например, C:\WINDOWS\system32\vbsys2.dll).

Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

C:\Program Files\p2pnetworks\mpp2pl.exe

C:\Program Files\ItBill\itbill.exe

C:\WINDOWS\system32\vbsys2.dll

3. Перезагружаем компьютер и делаем новый лог HijackThis, так как с vbsys2.dll могут возникнуть (но это еще не значит, что они возникнут обязательно) кое-какие проблемки

**alex_avto** · 25 апреля, 2006

Все сделал как вы сказали...

Вот мой следующий лог: