Помощь в лечении систем от нечисти

**-=stalnoy=-** · 10 марта, 2007

ай ай ай ай ай.

Отвалился правый клик мышкой в IE.

Что же это такое?

Не открываются новые окна по ссылкам.

У кого было что подобное?

где посмотреть?

Касперыч ничего не находит.

Вот лог повторно

Logfile of HijackThis v1.99.1

Scan saved at 17:42:16, on 10.03.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\cmd.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

F:\!!!!!RESERV!!!!!!\!!!SOFTWARE!!!\!!!ЗАЩИТА!!!\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://my.foto.mail.ru/ImageUploader4.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.117.66.227:84/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{703DF741-1021-4A5A-875E-6870F967684D}: NameServer = 192.168.100.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing)

O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Program Files\Common Files\Logitech\Bluetooth\LBTSERV.EXE (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Intel NCS NetService (NetSvc) - Unknown owner - c:\Program Files\Intel\NCS\Sync\NetSvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

ай ай ай ай ай... Спасите помогите ...

Да ... win XP SP1. но со всеми заплатками от win update.

**Saule** · 10 марта, 2007

Ссылки на некоторые сайты в наглую перехватывает сайт на спайшериф. И время от времени при запуске ИЕ стартует новая страница с каким то левым сайтом. Где искать сие?

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\cryptexts.dll

O2 - BHO: ContextualAds Class - {3AAC4C68-AFC8-11DB-80EF-8AF955D89593} - C:\Program Files\TrustIn Contextual\trustincontext.dll

O2 - BHO: Clicker Class - {631f7200-642e-11db-bd13-0800200c9a66} - C:\WINDOWS\system32\mscoriezb.dll

O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll

O2 - BHO: SpoofBHO Class - {F67EEB12-AB09-11DB-A6F1-260856D89593} - C:\WINDOWS\se_spoof.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

После перезагрузки компьютера всё должно нормализоваться.

**Saule** · 10 марта, 2007

Да ... win XP SP1. но со всеми заплатками от win update.

Поддержка win XP SP1 была прекращена еще в октябре прошлого года. То есть никаких заплаток для SP1 под новые уязвимости давно уже не выпускается

**mark_seo** · 10 марта, 2007

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll

O3 - Toolbar: &SEOBar - {9AE6E6A3-9EE9-43A0-9D54-CE70CDBB8FC6} - "C:\Program Files\Developing.ru\seobar\seobar.dll" (file missing)

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\arm32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

После чего снова проверяем по логу, исчезла ли строка "O20 - Winlogon Notify: arm32reg..."

В том случае, если она не исчезла, приложите новый лог HijackThis.

Saule, все сделал, плюс прогнал все свежим касперским ... arm32reg пропал, но при включении интернета, фаирволл сразу начинает блокировать исходящий трафик на какие-то левые сервера. Скриншот и свежие логи прилагаю.

hijackthis_10032007.txt

**Gevara** · 10 марта, 2007

Кажется всё получилось. Огромное СПАСИБО!!!

**-=stalnoy=-** · 10 марта, 2007

Saule

Поддержка win XP SP1 была прекращена еще в октябре прошлого года. То есть никаких заплаток для SP1 под новые уязвимости давно уже не выпускается

Так, нашел я пару SP2 на русский winXP. Вопрос. Если я его сейчас залью, он не попросит активации дней так через ;).

Кто знает?

**asd62** · 11 марта, 2007

Saule Не подскажешь, что это за служба у меня странная появилась:

##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##

исполняемый файл "C:\Program Files\Bonjour\mDNSResponder.exe"

Я эту службу отключил, ничего не произошло, после перезагрузки все работает нормально. Может её удалить ? Впервый раз увидел такую службу, поэтому вызвает опасения её наличие.

**A1ndrey** · 12 марта, 2007

Logfile of HijackThis v1.99.1

Scan saved at 12:35:44, on 12.03.2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

D:\WINNT\System32\smss.exe

D:\WINNT\system32\winlogon.exe

D:\WINNT\system32\services.exe

D:\WINNT\system32\lsass.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\system32\spoolsv.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\system32\nvsvc32.exe

D:\WINNT\system32\regsvc.exe

D:\WINNT\system32\MSTask.exe

D:\Program Files\DrWeb\SpiderNT.exe

D:\WINNT\system32\stisvc.exe

D:\WINNT\System32\WBEM\WinMgmt.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\Explorer.EXE

D:\Program Files\ScanSoft\OmniPageSE\opware32.exe

D:\WINNT\SOUNDMAN.EXE

D:\PROGRA~1\DrWeb\spidernt.exe

D:\Program Files\DrWeb\spiderml.exe

D:\Program Files\DU Meter\DUMeter.exe

D:\WINNT\system32\internat.exe

D:\WINNT\system32\RUNDLL32.EXE

D:\WINNT\system32\msiexec.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\WinRAR\WinRAR.exe

D:\WINNT\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rekom.ru:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - Default URLSearchHook is missing

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Omnipage] D:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "D:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DU Meter] D:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [Windows Service Agent] agl.exe

O4 - HKLM\..\Run: [Managment Service] pcpmadncsgur.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] agl.exe

O4 - HKLM\..\RunServices: [Managment Service] pcpmadncsgur.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Windows Service Agent] agl.exe

O4 - Startup: DVB Data Control (Budget).lnk = D:\Program Files\TechnoTrend\TT-budget\DVBData.exe

O4 - Global Startup: DVB Data (TT-budget).lnk = D:\Program Files\TechnoTrend\TT-budget\DVBData.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: d:\winnt\system32\drwebsp.dll

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...bridge-c411.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3CA7FE07-A6C0-4DB7-A031-4B8C41E658DE}: NameServer = 84.17.224.1,84.17.230.100

O17 - HKLM\System\CS1\Services\Tcpip\..\{3CA7FE07-A6C0-4DB7-A031-4B8C41E658DE}: NameServer = 84.17.224.1,84.17.230.100

O17 - HKLM\System\CS2\Services\Tcpip\..\{3CA7FE07-A6C0-4DB7-A031-4B8C41E658DE}: NameServer = 84.17.224.1,84.17.230.100

O20 - Winlogon Notify: NetCache - D:\WINNT\system32\mvlsl9371.dll (file missing)

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - D:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe" /Service (file missing)

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINNT\wOTs6O3o8fLw4PLu8AAA\command.exe (file missing)

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - D:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - D:\WINNT\system32\faxsvc.exe

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINNT\system32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - D:\WINNT\system32\lsass.exe

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - D:\WINNT\system32\lsass.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - D:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv50.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - D:\WINNT\system32\lsass.exe

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: NT HASP internal emulator (RHASPEMU) - //UCL Dongle Labs. - D:\WINNT\system32\RHASPEMU.EXE

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - D:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - D:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Still Image Service (StiSvc) - Корпорация Майкрософт - D:\WINNT\system32\stisvc.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - D:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - D:\WINNT\system32\tlntsvr.exe

O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - D:\WINNT\system32\services.exe

O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - D:\WINNT\System32\services.exe

O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - D:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - D:\WINNT\system32\Services.exe

**antr** · 12 марта, 2007

Добрый день. Надеюсь на Вашу помощь. Ситуация такая: В папке C:\windows\temp стали появлятся файлы типа win1.tmp Никаким антивирусом ничего заразного обнаружить не удалось. Прочитал на вашем форуме про похожую ситуацию у человека. Скачал SdFix, VundoFix, AtfCleaner. Проверил ими все как было написано, но и они ничего не нашли, пишут нет файлов для удаления. AtfCleaner стёр конечно эти временные файлы, но они все равно появляются чуть ли не каждую секунду :D Может что еще посоветуете.

Вот мой лог

Logfile of HijackThis v1.99.1

Scan saved at 16:08:15, on 12.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\crypserv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\WINDOWS\system32\cba\pds.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\cba\xfr.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\Agnitum Shared\Aupdate\aupdrun.exe

C:\WINDOWS\system32\svchost.exe

D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.ru/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://store.adobe.com/store/general/redir...376001997392233

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=031807 serial=DR12CND-5621042-EHB lang=EN

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Start HASP-Emu.lnk = C:\Program Files\Sable\WINNT\startnt.bat

O4 - Global Startup: MonacoGamma.lnk = C:\Program Files\Monaco Systems\MonacoOPTIX 2.0\MonacoGamma.exe

O4 - Global Startup: MonacoReminder.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: <PRODUCT> Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: winjvd32 - C:\WINDOWS\SYSTEM32\winjvd32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Клиент Symantec AntiVirus (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Denison** · 12 марта, 2007

УУУУУУУУРРРРРРРРРАААААААААА спасибо вам за помощь, вообщем я на рабочий бук подхватил вирус и именно благодаря Вашему форуму я почти от него избавился Хочу выразить огромную благодарность Saule !!! Проблемка всеже небольшая осталась на месте часов слово на букву «Б» (пробовал менять часовые пояса – не помогает), в остальном вроде всё нормуль,

Logfile of HijackThis v1.99.1

Scan saved at БЛЯДЬ, on 13.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\CyberLink\Power DVD v6.0\PDVDServ.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program Files\PC Connectivity Solution\NclBTHandler.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\DOCUME~1\1\LOCALS~1\Temp\Rar$EX00.266\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU2970.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\Power DVD v6.0\PDVDServ.exe"

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Windows Media Connect (WMC) (WmcCds) - Unknown owner - c:\program files\windows media connect\mswmccds.exe (file missing)

O23 - Service: Справочная служба Windows Media Connect (WMC) (WmcCdsLs) - Unknown owner - C:\Program Files\Windows Media Connect\mswmcls.exe (file missing)

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Прошу Вас помочь с часами, если конечно не затруднит и если можно подскажите пожалуйста, что из вышеперечисленного можно отключить (чтобы комп не глючил) ну и конечно же не пропала его работоспособность. Заранее благодарен, хотя что там заранее, уже помощь неоценимая Вами мне оказана!!! Буду очень признателен если не оставите без внимания!!!

**ser208** · 12 марта, 2007

Проблемка всеже небольшая осталась на месте часов слово на букву «Б»

Дико извиняюсь, матерное? Ну надо же

И какая же "б.." такое рассылает?

Да еще на рабочие машины

Изменено 12 марта, 2007 пользователем ser208

**Denison** · 13 марта, 2007

Saul я получил Ваше письмо, спасибо Вам огромное, откликнулись, Респект и уважуха Вам!!!

**Denison** · 13 марта, 2007

Ну может всетаки??? ;)

Кто нибудь выручайте ПЛИЗЗЗЗЗЗЗЗ :)

**Saule** · 13 марта, 2007

Saule, все сделал, плюс прогнал все свежим касперским ... arm32reg пропал, но при включении интернета, фаирволл сразу начинает блокировать исходящий трафик на какие-то левые сервера.

Если проблема всё еще актуальна, попробуйте сделать исследование системы с помощью AVZ и приложить к сообщению его протокол (программу нужно скачать, распаковать, запустить, сделать сканирование и после этого нажать в верхнем меню AVZ: Файл > Исследование системы; только на всякий случай обращаю ваше внимание на то, что галочку напротив "Создать ZIP архив с протоколом исследования системы" - ставить не нужно, т.к. в этом случае, помимо протокола, в архив будут скопированы все подозрительные для AVZ файлы).

Так, нашел я пару SP2 на русский winXP. Вопрос. Если я его сейчас залью, он не попросит активации дней так через ;).

На оф. сайте: Service Pack 2 для русской Windows XP

И по поводу твоего вопроса - с этим делом там всё слишком индивидуально + извини, но на всякий случай: из Правил СофтФорума > ...на форуме запрещено обсуждать незаконную регистрацию софта и т.п...

Saule Не подскажешь, что это за служба у меня странная появилась:
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##

Bonjour Service от Apple Computer, Inc. - служба для создания компьютерной сети или сети интеллектных устройств.

Подробнее можно посмотреть тут (возможно, вдруг вспомниться, что действительно что-то подобное с чем-либо устанавливалось): http://www.apple.com/bonjour/

**Saule** · 13 марта, 2007

AtfCleaner стёр конечно эти временные файлы, но они все равно появляются чуть ли не каждую секунду Может что еще посоветуете.

1. Скачиваем KillBox, распаковываем и запускаем.

Копируем в строку его окошка следующую строчку:

C:\WINDOWS\SYSTEM32\winjvd32.dll

Затем отмечаем опцию "Delete on Reboot" и нажимаем на кнопку, которая выглядит как красный кружок с белым крестиком внутри:

После этого программа спросит, желаете ли вы перезагрузить компьютер сейчас? Нажимаем на "Yes" и ждем, пока система автоматически перегрузиться.

2. После перезагрузки удаляем временные файлы, которые были созданы этим трояном + фиксим в логе HijackThis следующую строчку, если такая будет присутствовать (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

O20 - Winlogon Notify: winjvd32 - C:\WINDOWS\SYSTEM32\winjvd32.dll (file missing)

**Saule** · 13 марта, 2007

Logfile of HijackThis v1.99.1

1. Пофиксите с помощью HijackThis следующие строки (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Windows Service Agent] agl.exe

O4 - HKLM\..\Run: [Managment Service] pcpmadncsgur.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] agl.exe

O4 - HKLM\..\RunServices: [Managment Service] pcpmadncsgur.exe

O4 - HKCU\..\Run: [Windows Service Agent] agl.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} -

http://207.234.185.217/ABoxInst_int12.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -

http://static.windupdates.com/cab/180solut...bridge-c411.cab

http://static.windupdates.com/cab/180solutions/ie/bridge-c411.cab' rel="external nofollow">

O20 - Winlogon Notify: NetCache - D:\WINNT\system32\mvlsl9371.dll (file missing)

2. Затем:

Start > Run (Пуск > Выполнить)

Копируем в строку:

sc delete Command Service

Нажимаем ОК или клавишу ENTER.

P.S. Тему после того, как человек отпишется, перенесу.

**NickGolovko** · 13 марта, 2007

только на всякий случай обращаю ваше внимание на то, что галочку напротив "Создать ZIP архив с протоколом исследования системы" - ставить не нужно, т.к. в этом случае, помимо протокола, в архив будут скопированы все подозрительные для AVZ файлы).

Это утверждение является неверным. При установке этой галочки в архив avz_sysinfo.zip попадает только протокол исследования системы. Функция автокарантина в этом случае не работает.

**Saule** · 13 марта, 2007

Saul я получил Ваше письмо, спасибо Вам огромное, откликнулись, Респект и уважуха Вам!!!

Скопируйте в Блокнот и затем сохраните этот текстовый файл с расширением .reg:

REGEDIT4[HKEY_CURRENT_USER\Control Panel\International]"sTimeFormat"="HH:mm:ss"

Затем запустите и добавьте информацию в реестр (при вопросе Windows - отвечаем "Да").

P.S. И, сорри, конкретно на ваш лог времени у меня нет (и навряд ли будет). Так как хотелось бы, чтобы лично вы, Denison, поняли, что не смотря на то, что я регулярно (а точнее, по мере своих возможностей) помогаю таким образом в этом топике, я вам не "девочка на побегушках" + пропускать мимо ушей совершенно неуместные упрёки по поводу того, что, видите ли, я за целый день вам так и не ответила - тоже не буду.

**Saule** · 13 марта, 2007

Это утверждение является неверным. При установке этой галочки в архив avz_sysinfo.zip попадает только протокол исследования системы. Функция автокарантина в этом случае не работает.

В таком случае была бы очень признательна, если бы вы подсказали каким образом некоторые пользователи умудряются создавать ZIP-архивы с отчетом AVZ весом в нес-ко мб? После чего жалуются, что отправить его никак не получается, так как у отчёта слишком большой вес...

Речь идёт ни об одном-двух человеках - такое происходило регулярно. До тех пор, пока я не начала отмечать так, как отметила тут выше, в случаях, когда прошу отчёт от AVZ.

Была почему-то уверенна, что это происходит именно из-за того, что они устанавливают там в опциях эту галочку

**NickGolovko** · 13 марта, 2007

Эффект, должен признать, странный. Я никогда с такими моментами не сталкивался за свою практику. Предположительно такое может возникнуть в случае, если пользователь выберет в выпадающем списке позицию DLL для каждого процесса. Так или иначе, механизм исследования системы не предполагает автокарантина. Во избежание такого эффекта могу предложить использование Стандартного скрипта номер 2 и при необходимости 4 - в этом случае от пользователя следует требовать архивы из подпапки LOG в папке, куда распакована AVZ - virusinfo_syscheck.zip и virusinfo_syscure.zip соответственно. Помимо прочего, этот подход гарантирует, что более 20 кБ архивы не создадутся.

**antr** · 14 марта, 2007

1. Скачиваем KillBox, распаковываем и запускаем.

Копируем в строку его окошка следующую строчку:

C:\WINDOWS\SYSTEM32\winjvd32.dll

Затем отмечаем опцию "Delete on Reboot" и нажимаем на кнопку

Saule Огромнейшее спасибо за помощь, все теперь конечно же работает нормально. Респект!

**Saule** · 14 марта, 2007

Эффект, должен признать, странный. Я никогда с такими моментами не сталкивался за свою практику. Предположительно такое может возникнуть в случае, если пользователь выберет в выпадающем списке позицию DLL для каждого процесса. Так или иначе, механизм исследования системы не предполагает автокарантина. Во избежание такого эффекта могу предложить использование Стандартного скрипта номер 2 и при необходимости 4 - в этом случае от пользователя следует требовать архивы из подпапки LOG в папке, куда распакована AVZ - virusinfo_syscheck.zip и virusinfo_syscure.zip соответственно. Помимо прочего, этот подход гарантирует, что более 20 кБ архивы не создадутся.

Дело в том, что функции 'стандартных скриптов' на тот момент в AVZ еще просто не было.

Ради интереса немного сейчас посмотрела и, кажется, на этот раз разобралась, какая именно "галочка" так кардинально влияла на размер протокола:

вторая закладка ("Типы файлов") > опция "Отчет о чистых объектах".

Но, видимо, если обращаешь внимание пользователя на то, чтобы он не ставил галочку "там-то и там-то", он автоматически как бы уже не старается отмечать какие-либо лишние опции. В результате и получался подобный эффект

Поэтому спасибо за вашу заметочку.

**Denison** · 14 марта, 2007

P.S. И, сорри, конкретно на ваш лог времени у меня нет (и навряд ли будет). Так как хотелось бы, чтобы лично вы, Denison, поняли, что не смотря на то, что я регулярно (а точнее, по мере своих возможностей) помогаю таким образом в этом топике, я вам не "девочка на побегушках" + пропускать мимо ушей совершенно неуместные упрёки по поводу того, что, видите ли, я за целый день вам так и не ответила - тоже не буду.

Уважаемая Saule !!! Я написал выше именно так, потому что получил письмо на свой майл от siahelp@walla.com (если честно то я подумал что оно от вас потому как я получил его после того как обратился к вам на форуме). Письмо следующего содержания: Ну вот видишь как хорошо всплеск эмоций ... отлично! - а Для удаления этой программы нужно прислать мне на мой e-mail код и номер авторизации карты webmoney на 10$ Вот две ссылки http://geo.webmoney.ru/aspx/GeoMain.aspx и http://www.guarantee.ru/Default.aspx?tabid=168 Там ты можешь найти свой регион и город, где тебе удобнее купить карточку webmoney. После получения мной кода и номера активации карты я пришлю программу для удаления этой.

Вот такое письмецо Ну и теперь я думаю можно понять мою реакцию, (Вчера, 13.03.2007, 09:56 Saul я получил Ваше письмо, спасибо Вам огромное, откликнулись, Респект и уважуха Вам!!! )

Она конечно неприятна для Вас, но согласитесь в такой ситуации (достаточно курьезной), когда все кипит внутри от злости, получив на майл письмо с вышеуказанным текстом, я еще ангельски ответил вам:=) Прошу прощения, ошибочка вышла, ИЗВИНТИЛЯЮСЬ. И еще раз выражаю Вам огромную благодарность, и признательность за помощь, кстати и часики теперь есть Я очень рад, пасиб, ато как то это нелепо на рабочем буке слово «Б». Saule я прошу прощения еще раз, мой лог рассматривать и помогать мне убивая свое драгоценное время, тож не требую. Подскажите пожалуйста еще мне одну интересную вещицу: В момент загрузки Винды у меня ошибка появляется msmsgs.exe – не удалось найти компонент и в окошке с ошибкой написано не удалось запуститься, поскольку gdiplus.dll не был найден. Повторная установка приложения поможет разрешить проблему. Можно ли как нить исправить эту ошибку? Наверно в моем логе с помощью Ваших ценных познаний возможно еще что нить исправить

С уважением Denison!!!

**ser208** · 14 марта, 2007

Denison

Вот сволочи, иначе и слов нет. Кинут заразу и за десятку удаляют.

Я бы на твоем месте ответил соответственно по этому адреску (правда, однажды выйдя в сеть, можешь нарваться на некоторые неприятности :))

Не, ну ты мог бы догадаться, что тут с такими вещами борьба идет.

msmsgs.exe--убери из автозагрузки MS Messenger.

Или можешь пофиксить в HijackThis строки:

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Изменено 14 марта, 2007 пользователем ser208

**Denison** · 14 марта, 2007

Denison

Вот сволочи, иначе и слов нет. Кинут заразу и за десятку удаляют.

Я бы на твоем месте ответил соответственно по этому адреску (правда, однажды выйдя в сеть, можешь нарваться на некоторые неприятности :))

Не, ну ты мог бы догадаться, что тут с такими вещами борьба идет.

msmsgs.exe--убери из автозагрузки MS Messenger.

Или можешь пофиксить в HijackThis строки:

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Не то слово заразы!!! По адреску я ответил тоже, но так как думал что это именно Saule - я ответил крайне корректно, так как мне помощь уже оказана ошибки не вылетали на тот момент, кстати такие прикольные эмоции когда видишь от человека реальную помощь, а потом получаешь от него (мои заблуждения) такое сообщение. Подумал что это всё моему компу ХАНА, и всё что мною проделано согласно форума это так профилактика для того чтобы немного продлить жизнеспособность моего компа :) , а конечный итог проплтить денег.

Пофиксить в HijackThis строки - ща попробую :)

Слушайте а зачто тут штрафные баллы дают?

Войти

Помощь в лечении систем от нечисти

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на другие сайты

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Saule

Saule

Saule

Изображения в теме

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Последние посетители 0 пользователей онлайн

Объявления