Помощь в лечении систем от нечисти

**TVS** · 25 апреля, 2006

Я не знаю в чем дело :)

Сейчас всё выглядит чистым, но сначало что-то действительно было не совсем так, с Explorer.exe :)

Это видно и по самому первому логу AVZ и по первому логу HijackThis. Поэтому скорее всего какая-либо модификация оболочки Windows была.

В данный момент есть 2 варианта: либо все "следы" этой модификации вирусу удалось благополучно скрыть, либо среда вашего компьютера ему по каким-то причинам не подошла, и он не прижился :sm(100):

Если есть возможность сравнить нынешний файл Explorer.exe с тем, каким он был у вас до этого, то это было бы супер, и это был бы выход из положения (сравнивать нужно в первую очередь вес).

-----------------------

Плюс рекомендую на всякий случай проверить систему с помощью Dr.Web CureIt! (это только лишь сканер, поэтому конфликтов с антивирусом не будет).

Хотя, хотелось бы верить, что у вас действительно уже всё в порядке.

Saule DrWeb нашел только остатки того, что с Вашей помощью я чистила недавно: SmileyCentralFFSetup2.0.4.18.exe инфицирован Trojan.MulDrop.1326 - удален (он у меня лежал для информации - чтобы дочистить реестр) и в папке для восстановления системы такой же файл.

Еще в логе есть вот такая запись:

>C:\WINDOWS\system32\srvany.exe является потенциально опасной программой Program.SrvAny - проигнорирован

И вот такая:

C:\System Volume Information\_restore{1F114C99-A32A-4D4A-B68A-4B724B936BB3}\RP79\A0051720.exe является программой взлома Tool.ProxyHLTV - проигнорирован

Восстановление я отключила, хочу спросить в папке System Volume Information лежит файл tracking.log 190 КБ - его не надо удалить тоже?

**Saule** · 26 апреля, 2006

Еще в логе есть вот такая запись:
>C:\WINDOWS\system32\srvany.exe является потенциально опасной программой Program.SrvAny - проигнорирован

Компонент Windows Resource Kit, который используется для того, чтобы запускать сервисом программы, не предназначенные для этого. Может использоваться некоторыми вирусами (но это не ваш случай), поэтому занесен в список потенциально опасных программ.

И вот такая:
C:\System Volume Information\_restore{1F114C99-A32A-4D4A-B68A-4B724B936BB3}\RP79\A0051720.exe является программой взлома Tool.ProxyHLTV - проигнорирован

Это на ваше усмотрение, но если вам это не нужно, то удалять можно смело.

Восстановление я отключила, хочу спросить в папке System Volume Information лежит файл tracking.log 190 КБ - его не надо удалить тоже?

Файл tracking.log из этой папки лучше не трогать совсем

**TVS** · 26 апреля, 2006

Спасибо, Saule, за помощь, за DrWeb-а и за разъяснения..

Пока все в порядке, враги удалены, каспер обновляется, проблем нет. :) :)

**Yuri_P** · 27 апреля, 2006

Доброе Вам время суток!

Увидел здесь обсуждение похожей темы, и решил просит помощи!

"Тормоза" у компа конкретные, а сносит всё не очень хочется, обязательно пропадёт что то существенное

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

c:\Program Files\Norton Utilities\NPROTECT.EXE

F:\WINNT\System32\PGPsdkServ.exe

F:\WINNT\system32\regsvc.exe

F:\WINNT\system32\MSTask.exe

c:\PROGRA~1\SPEEDD~1\nopdb.exe

F:\WINNT\System32\WBEM\WinMgmt.exe

F:\WINNT\system32\svchost.exe

C:\Program Files\Network Associates\PGP for Windows 2000\PGPservice.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

F:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

F:\WINNT\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

F:\WINNT\system32\internat.exe

F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

F:\Program Files\Punto Switcher\ps.exe

C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe

F:\Program Files\Okidata\OKI LPR Utility\okilpr.exe

C:\Program Files\Network Associates\PGP for Windows 2000\PGPtray.exe

C:\Program Files\VitalSigns\Net.Medic\Program\syshook.exe

F:\Program Files\ICQ\Icq.exe

F:\Program Files\Outlook Express\msimn.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\WINNT\explorer.exe

C:\Program Files\WinRAR\WinRAR.exe

F:\DOCUME~1\YURI~1.YUR\LOCALS~1\Temp\Rar$EX00.407\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - F:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx

O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - F:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "F:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MAgent] c:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [sunJavaUpdateSched] c:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQ.exe -minimize

O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Punto Switcher] F:\Program Files\Punto Switcher\ps.exe HideIcon

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Net.Medic.lnk = C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe

O4 - Global Startup: OKI LPR Utility.lnk = F:\Program Files\Okidata\OKI LPR Utility\okilpr.exe

O4 - Global Startup: PGPtray.lnk = C:\Program Files\Network Associates\PGP for Windows 2000\PGPtray.exe

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - F:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - F:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - c:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bns-od.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BA54F87-E604-41EE-A977-8487FE7F408E}: NameServer = 172.16.0.1,172.16.0.55

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bns-od.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bns-od.com

O21 - SSODL: SysTray.Exlv - {5368DCFC-4F5C-4f5b-B134-E67294FC78E9} - (no file)

O21 - SSODL: IEFilter - {E3260623-5376-461B-9F84-EB3392AF86A9} - (no file)

O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

O21 - SSODL: mskk32.dll - {595D3ADE-13F2-95DA-ED68-CF2E98847797} - (no file)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - F:\WINNT\system32\vbsys2.dll

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Unknown owner - F:\WINNT\System32\drivers\CDAC11BA.EXE (file missing)

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Distributed Link Tracking Client Helper - Unknown owner - F:\WINNT\system32\vebaaaaa.exe (file missing)

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - F:\WINNT\system32\faxsvc.exe

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - F:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - F:\WINNT\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - F:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - F:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - F:\WINNT\System32\lsass.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - c:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - F:\WINNT\System32\lsass.exe

O23 - Service: PGPsdkService (PGPsdkServ) - Network Associates Technology, Inc. - F:\WINNT\System32\PGPsdkServ.exe

O23 - Service: PGPService - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\PGP for Windows 2000\PGPservice.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - F:\WINNT\System32\lsass.exe

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - F:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - F:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - F:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - F:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Service - Unknown owner - F:\WINNT\system32\Service.exe (file missing)

O23 - Service: Speed Disk service - Symantec Corporation - c:\PROGRA~1\SPEEDD~1\nopdb.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - F:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - F:\WINNT\system32\tlntsvr.exe

O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - F:\WINNT\system32\services.exe

O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - F:\WINNT\System32\services.exe

O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - F:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - F:\WINNT\system32\Services.exe

**Saule** · 27 апреля, 2006

Доброе Вам время суток!
Увидел здесь обсуждение похожей темы, и решил просит помощи!

"Тормоза" у компа конкретные, а сносит всё не очень хочется, обязательно пропадёт что то существенное

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O21 - SSODL: SysTray.Exlv - {5368DCFC-4F5C-4f5b-B134-E67294FC78E9} - (no file)

O21 - SSODL: IEFilter - {E3260623-5376-461B-9F84-EB3392AF86A9} - (no file)

O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

O21 - SSODL: mskk32.dll - {595D3ADE-13F2-95DA-ED68-CF2E98847797} - (no file)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - F:\WINNT\system32\vbsys2.dll

Затем нажимаем на кнопку "Fix Checked" (браузер при этом закрыт).

2. Скачиваем KillBox:

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Распаковываем и с помощью него удаляем файл:

F:\WINNT\system32\vbsys2.dll

Для того, чтобы удалить файл с помощью KillBox, нужно в строку его окошка скопировать точное местоположение файла (F:\WINNT\system32\vbsys2.dll).

Затем выбираем Delete on Reboot и нажимаем на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

3. Перезагружаем компьютер и желательно делаем новый лог HijackThis

**kazan** · 28 апреля, 2006

to alex_avto

Счас вообще стал без остановки куда то отпровлять и принимать... что может это значить?

Знаешь,я тоже долго маялся по этому поводу,а вышел из ситуации вот как:

Перво-наперво следовал рекомендациям Saule. Потом запускал AVZ, обновлял.Параметры поиска- тут все галки надо выставить.Эвристический анализ-максимум. "Выполнять лечение"-тоже галка.Сканируем.Все что нашел-удалить.

Плюс к этому почисть систему с помощью Ewido

http://download.ewido.net/ewido-setup.exe]

Обновляем,сканируем,чистим.

Дерзай.

**Yuri_P** · 28 апреля, 2006

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O21 - SSODL: SysTray.Exlv - {5368DCFC-4F5C-4f5b-B134-E67294FC78E9} - (no file)

O21 - SSODL: IEFilter - {E3260623-5376-461B-9F84-EB3392AF86A9} - (no file)

O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

O21 - SSODL: mskk32.dll - {595D3ADE-13F2-95DA-ED68-CF2E98847797} - (no file)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - F:\WINNT\system32\vbsys2.dll

Спасибо Saule, помогло но не очень. Хотя всё указанное исчезло, видимо проблема в чём-то другом. Бум искать

**iveco** · 28 апреля, 2006

Здраствуйте

У меня похожие проблемы...

Все было хорошо, потом сестра посидела в инете,и после нее поменялись обои на Warning! и то что комп заражен spyware и т.п., винда все время выкидывает в трее, сообщения типа критическая ошибка и т.п.

Качал разные проги, удалял spyware, но одни пишут все, другие что нет, но не удаляют, т.к. платные. К примеру AdwareSheriff пишет о 41 spyware, но он shareware...

Посоветуйте как быть или проги для лечения...

Hijackthis написал такое:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\spywarebegone\SpywareBeGone.exe

C:\WINDOWS\wupdmgr.exe

C:\WINDOWS\osaupd.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Некрасов Юрий\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/5Ud9wToNhpSG...er/random_chat/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: asheriff.lnk = C:\Program Files\AdwareSheriff\asheriff.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: wupdmgr.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6962AC9A-837C-4A43-B707-0E6F5BDCFBFD}: NameServer = 62.148.128.1 62.148.128.22

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

**Saule** · 28 апреля, 2006

Здраствуйте

У меня похожие проблемы...

Все было хорошо, потом сестра посидела в инете,и после нее поменялись обои на Warning! и то что комп заражен spyware и т.п., винда все время выкидывает в трее, сообщения типа критическая ошибка и т.п.

Качал разные проги, удалял spyware, но одни пишут все, другие что нет, но не удаляют, т.к. платные. К примеру AdwareSheriff пишет о 41 spyware, но он shareware...

Посоветуйте как быть или проги для лечения...

В вашей системе есть только одна гадость; а что касаеться AdwareSheriff, то это программа сама является своеобразной инфекцией, и если вы попытаетесь её деинсталировать обычным способом, то она может попытаться как минимум испортить вам ваш рабочий стол

Подробнее в этом посте:

http://www.softboard.ru/index.php?s=&showt...ndpost&p=263457

Или вот ссылка по этому поводу:

http://vil.nai.com/vil/content/v_138377.htm

Значит, делаем следующее:

1. Нажимаем кнопки: Alt + Ctrl + Delete

Вторая закладка: Processes

Находим там следующий процесс: wupdmgr.exe

И завершаем его нажатием на кнопку "End Process".

2. Далее открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)

O4 - Startup: asheriff.lnk = C:\Program Files\AdwareSheriff\asheriff.exe

O4 - Global Startup: wupdmgr.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

3. Перезагружаем компьютер, после чего удаляем:

ФАЙЛ:

C:\WINDOWS\wupdmgr.exe

ПАПКУ:

C:\Program Files\AdwareSheriff

**pinmix** · 28 апреля, 2006

У меня такая проблемма:

Dr.Web мне периодически выдает сообщение: "C:\WINDOWS\system32\mssvcc.exe - инфицирован Win32.HLLW.MyBot"

Я нажимаю лечить - ничего не происходит, снова появляется это окошко, я нажимаю запреть доступ.

Удалять все подряд у меня давно вышло из превычки, темболее что этот файл у меня всегда после переустановки винды у оутпоста просил доступ в инет, винда вроде чистая, значит файл - родной...

Ну вот: чё это за файл и че мне с вирем делать?

**Saule** · 28 апреля, 2006

У меня такая проблемма:
Dr.Web мне периодически выдает сообщение: "C:\WINDOWS\system32\mssvcc.exe - инфицирован Win32.HLLW.MyBot"

Я нажимаю лечить - ничего не происходит, снова появляется это окошко, я нажимаю запреть доступ.

Удалять все подряд у меня давно вышло из превычки, темболее что этот файл у меня всегда после переустановки винды у оутпоста просил доступ в инет, винда вроде чистая, значит файл - родной...

Ну вот: чё это за файл и че мне с вирем делать?

Удаляй Webom смело.

Изменено 28 апреля, 2006 пользователем Saule

**iveco** · 28 апреля, 2006

Спасибо за ответ, но не очень помогло... Минуты через две опять обои с Варнингом и в трее восклицательные знаки - критикал эрор.

На всякий случай. Опять логи.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\osaupd.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Некрасов Юрий\Рабочий стол\Новая папка (2)\hijackthis\HijackThis.exe