Помощь в лечении систем от нечисти

[Saule]

Saule: вот и мой лог

*****************************

У тебя чисто :)

[kent2006]

:) Люди добрые скажите пожалуйста что это за вирус Trojan Horse в неизвестном

файле help.com чем он опасен и как его гада побороть на системе

Windows 95 кто-то из доброжелателей на работе зарядил эту падлу в

наш и без того дохлый комп. обнаружил его чисто случайно вставив

у себя дома дискету своим Nortonom- 2005

Заранее благодарен.

[Saule]

;) Люди добрые скажите пожалуйста что это за вирус Trojan Horse в неизвестном

файле help.com чем он опасен и как его гада побороть на системе

Windows 95 кто-то из доброжелателей на работе зарядил эту падлу в

наш и без того дохлый комп. обнаружил его чисто случайно вставив

у себя дома дискету своим Nortonom- 2005

Заранее благодарен.

А просто удалить этот неизвестный файл не получается?

Если не получается, то скачай, пожалуйста, HijackThis

Включи и нажми на кнопку "Do a systemscan and save a logfile". И программа автоматически выдаст тебе свой лог-файл.

После чего просто скопируй содержимое этого лога в следующий пост.

[Laren]

Saule:

Не подскажешь,

У меня на компе Аваст нашел вирусы в папке Windows/sistem32

reset5.dll и resetservice.exe. Пишет что обнаружены «win32:trojan-gen.(other)

Вот что бы это значило? Как я понимаю это файл библиотеки активации ключа Виндовс и сам файл активации. Откуда в них вирусам взятся? Винда стоит лицензионная, так что никаких кряков для нее не ставилось. Можешь сказать с какого перепуга аваст там видит вирус и вчем причина? :)

[Saule]

Saule:

Не подскажешь,

У меня на компе Аваст нашел вирусы в папке Windows/sistem32

reset5.dll и resetservice.exe. Пишет что обнаружены «win32:trojan-gen.(other)

Вот что бы это значило? Как я понимаю это файл библиотеки активации ключа Виндовс и сам файл активации. Откуда в них вирусам взятся? Винда стоит лицензионная, так что никаких кряков для нее не ставилось. Можешь сказать с какого перепуга аваст там видит вирус и вчем причина? :)

Ты верно всё понимаешь. Это False-Positive (ложное срабатывание антивируса) на 100%

В последнее время у Аваста подобное, к сожалению, очень часто случается, уже надоело ругаться :)

Но надеюсь, что скоро исправят :)

[ZardoZ]

запоздал ответ) касперский все-таки удалил этот файл...но (!) терь пир каждой загрузке видовс (которая терь занимает намного больше времени)мне ласково пишет, что не удается найти это т файл...очень бесит.

Рекомендую найти ссылку в реестре или конфигурационных файлах на загрузку этого файла и заменить её ссылкой на оригинальный файл. Процесс csrss.exe отвечает за работу клиент-серверных процессов, поэтому он важен для системы посмотрите - есть ли он он у вас в процессах. Оригинальный путь к этому файлу C:\%WINDIR%\System32\csrss.exe. Если его нету или он повреждён вирусом, то нужно копирнуть его с дистриба винды.

Saule:

Не подскажешь,

У меня на компе Аваст нашел вирусы в папке Windows/sistem32

reset5.dll и resetservice.exe. Пишет что обнаружены «win32:trojan-gen.(other)

Вот что бы это значило? Как я понимаю это файл библиотеки активации ключа Виндовс и сам файл активации. Откуда в них вирусам взятся? Винда стоит лицензионная, так что никаких кряков для нее не ставилось. Можешь сказать с какого перепуга аваст там видит вирус и вчем причина?

Раз у тебя видно 2 этих файла, то винда у тебя не лицензионная, а просто ты использовал уже пропатченный дистриб. Скорее всего у тебя WinXP SP1.

И некоторые анитивирусные программы по договрённости с производителем (или без таковой) включают все эти пачи и кряки в свои базы как вирусы. К слову сказать в их базы часто попадают и крякерские инструменты и т.п.

[pinmix]

Saule: Прошу помочь, у меня последнее время комп начал долго грузиться, а еще последние два дня - выдал ошибку STOP (вчера вроде 0х1D или D1, а сегодня 0х0А) (кстати это может быть связано с тем, что пару месяцев назад - мне подключили анлимный инет и теперь много чего качаю, вот и грешу что скачал что-то не то....)

Вот лог:

Logfile of HijackThis v1.99.1Scan saved at 11:44:28, on 21.06.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Acronis\Schedule2\schedul2.exeC:\Program Files\Nero\Nero 7\InCD\InCDsrv.exeC:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEC:\WINDOWS\system32\nvsvc32.exeC:\Program Files\Agnitum\Outpost Firewall\outpost.exeC:\Program Files\CyberLink\Shared files\RichVideo.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\wuauclt.exeC:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exeC:\Program Files\Acronis\TrueImage\TrueImageMonitor.exeC:\Program Files\Acronis\TrueImage\TimounterMonitor.exeC:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exeC:\WINDOWS\system32\rundll32.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Nero\Nero 7\InCD\InCD.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exeC:\Program Files\Punto Switcher\ps.exeC:\Program Files\Logitech\SetPoint\SetPoint.exeC:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeC:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXEC:\WINDOWS\system32\taskmgr.exeC:\Documents and Settings\Дмитрий\Рабочий стол\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dl32.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dllO3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dllO4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitserviceO4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startupO4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exeO4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exeO4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentO4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startupO4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -startO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizeO4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exeO4 - HKLM\..\Run: [inCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exeO4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLMO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exeO4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exeO4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Download with Rapget - I:\emule downloaded\rapget106\rapget.htmO8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htmO8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htmO9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dllO9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146230785421O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146231235250O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cabO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cabO20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exeO23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exeO23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exeO23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

посмотри пожалуйста...

[Saule]

Saule: Прошу помочь, у меня последнее время комп начал долго грузиться, а еще последние два дня - выдал ошибку STOP (вчера вроде 0х1D или D1, а сегодня 0х0А) (кстати это может быть связано с тем, что пару месяцев назад - мне подключили анлимный инет и теперь много чего качаю, вот и грешу что скачал что-то не то....)

Лог чистый.

А что касается долгой загрузки компа, это никак не может быть связано с заменой Dr.Web'a на Антивирус Касперского?

Плюс ошибки STOP в 99% никакого отношения к вирусам не имееют :)

[pinmix]

А что касается долгой загрузки компа, это никак не может быть связано с заменой Dr.Web'a на Антивирус Касперского?

не знаю...

думаешь может?..

..и чево тогда делать, если это так?... :)

(реестр вроде чистил... но если ты это из лога поняла - значит плохо чистил?.. :) или как?... )

[Laren]

Раз у тебя видно 2 этих файла, то винда у тебя не лицензионная, а просто ты использовал уже пропатченный дистриб. Скорее всего у тебя WinXP SP1.

И некоторые анитивирусные программы по договрённости с производителем (или без таковой) включают все эти пачи и кряки в свои базы как вирусы. К слову сказать в их базы часто попадают и крякерские инструменты и т.п.

Вообще то у меня 4 этих файла : reset.exe, reset5.exe, reset5.dll, resetservice,

Аваст видит вирусы в двух. А винда лицензионная это 100% - сам покупал и к тому же проверял через сайт Майкрософта. И не SP1, а SP2

Ты верно всё понимаешь. Это False-Positive (ложное срабатывание антивируса) на 100%

В последнее время у Аваста подобное, к сожалению, очень часто случается, уже надоело ругаться

Но надеюсь, что скоро исправят

Точно, оказалось что ложное срабатывание, сегодня после обновлений аваст уже не видит там вируса. cпасибо за поддержку. :)

[Saule]

И некоторые анитивирусные программы по договрённости с производителем (или без таковой) включают все эти пачи и кряки в свои базы как вирусы. К слову сказать в их базы часто попадают и крякерские инструменты и т.п.

Да нет, в данном случае (конкретно касающего двух файлов: reset5.dll и resetservice.exe) - это действительно была ошибка, допущенная в свежем обновлении вирусных баз, которую необходимо было исправить (кстати, за оперативность исправления в этом вопросе спасибо Laren может сказать только себе, так как только благодаря его посту на это обратилось внимание ).

В противном же случае антивирус так и должен предупреждать, что это никак не троян, а потенциально опасная или нежелательная программа... Недавно у Аваста было нечто подобное с парочкой драйверов от принтера EPSON, вот тогда вообще было весело

[Saule]

не знаю...

думаешь может?..

..и чево тогда делать, если это так?... :)

(реестр вроде чистил... :) но если ты это из лога поняла - значит плохо чистил?.. или как?... )

Всё гораздо проще :)

Я часто автоматически запоминаю антивирус, которым пользуется тот или иной человек. Можно назвать этот мой маленький пунктик, как "профессиональное" - кто-то запоминает имя, кто-то возраст, а я вот антивирус ;)

И про Веба я просто хорошо помню, что он у тебя стоял, так как видела твой лог ни раз.

Далее обьясню свои выводы.

Ты упоменул о том, что система стала гораздо дольше грузиться... Наверное, ни для кого не секрет, что на это вполне может влиять и антивирус, тем более в данном случае при переходе с Веба на Касперский - это не могло не почувствоваться (если же есть желание снизить скорость загрузки системы, то можно попробывать в настройках Касперского убрать автоматическую проверку обьектов автозапуска и критических областей при включении компьютера, если эта опция еще не убрана. Но это уже только на твоё усмотрение, так как - кому что важнее).

И опять-таки об ошибках STOP, которые у тебя начали переодически появлятся. Скорей всего это из-за какой-либо несовместимости (к примеру, и только к примеру (!) не понимаем эти слова очень буквально! - несовместимость Outpost и Касперского) или же из-за каких-либо проблем с самим железом (что-то где-то не тянет). Поэтому тебе нужно самому поэкспериментировать, поотключая на время тот или иной компонент системы, чтобы можно было понять из-за чего это у тебя происходит.

Я же тебе могу немного помочь, сравнив 2 твоих лога и дав примерный(!) список программ, которых согласно твоему логу 2 месяца назад в твоей автозагрузке еще не было:

BluetoothAuthenticationAgent (rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent)

RemoteControl (C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe)

LanguageShortcut (C:\Program Files\CyberLink\PowerDVD\Language\Language.exe)

ISUSPM Startup (C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe)

ISUSScheduler (C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe)

NvMediaCenter (RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit)

KAVPersonal50 (C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe)

NeroFilterCheck (C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe)

InCD (C:\Program Files\Nero\Nero 7\InCD\InCD.exe)

FinePrint Dispatcher v5 (C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe)

BgMonitor (C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe)

Punto Switcher (C:\Program Files\Punto Switcher\ps.exe)

Adobe Gamma Loader (C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe)

Ускоренный запуск Adobe Reader (C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe)

Плюс новые приложения, занруженные через Active-X (папка C:\WINDOWS\Downloaded Program Files):

ICQDevilImg Control (http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cab)

PopCapLoader Object (http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab)

А также новые библиотеки, грузящиеся через Winlogon Notify и Shell Service Object Delay Load:

Windows Genuine Advantage - WgaLogon (C:\WINDOWS\SYSTEM32\WgaLogon.dll)

Windows Portable Device Shell Service Object - WPDShServiceObj (C:\WINDOWS\system32\WPDShServiceObj.dll)

--------------

В общем, ясно только одно - твои проблемы никак не связаны с вирусом, поэтому помочь я, к сожалению, в данном случае не могу.

[pinmix]

Saule: Ясно! И большое спасибо!

Если это ни как не связанно с безопасностью системы - то это меня радует и пусть он долбше грузится....

Главное чтобы работал!

А отключать проверку автозагрузки...

Это не повредит системе, при том что, как я уже говорил, много чего качаю?..

А про то что ты помнишь - даже прияно что ли...

[Saule]

SauleА отключать проверку автозагрузки...

Это не повредит системе, при том что, как я уже говорил, много чего качаю?..

Если хоть капельку сомневаешься - лучше не отключай

А вообще, благодаря этой проверке антивирус по умолчанию проверяет все файлы, автоматически запускающиеся при старте системы, на наличие в них вредоносного кода. Поэтому это дело полезное, но соответственно скорость загрузки системы при этом довольно значительно понижается, так как пользователю приходится ждать, пока антивирус всё это проверит.

[SETTER]

Попал в неприятную ситуацию

Случайно запустил файл-картинку, который выдал ошибку и еще через пару минут мой антивирус вообще как будто бы помер! Пытался переустановить, не получается! Хотел поставить другой, такая же история. В безопасном режиме в систему тоже никак не зайти! Помогите, пожалуйста!

Вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 11:56:51, on 24.06.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\mHotkey.exe

C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\ICQLite\ICQLite.exe

D:\FTP\Downlowd\SOFT NEW\RAPGET\rapget110\rapget.exe

C:\Documents and Settings\Setter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.0.0.90/ru/download

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Pragma] C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [servUTrayIcon] C:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

O4 - Global Startup: STARNET.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download with Rapget - D:\FTP\Downlowd\SOFT NEW\RAPGET\rapget110\rapget.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1150699521359

O17 - HKLM\System\CCS\Services\Tcpip\..\{788B24AE-9EE0-4742-9EFC-C9ED3A26D204}: NameServer = 217.172.16.8 217.172.17.1

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Serv-U FTP сервер (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Попал в неприятную ситуацию

Случайно запустил файл-картинку, который выдал ошибку и еще через пару минут мой антивирус вообще как будто бы помер! Пытался переустановить, не получается! Хотел поставить другой, такая же история. В безопасном режиме в систему тоже никак не зайти! Помогите, пожалуйста!

Сочувствую. Этот вирус действительно очень агрессивно настроен против всех антивирусов и умудряется их "выносить" за считанные секунды. Как говориться, чтобы не расслаблялись :(

Поэтому в следующий раз старайся не открывать писем от неизвестного адресата, чтобы бы там не писали в заголовке письма.

1. Отключаем функцию восстановления системы.

Для этого (в Windows XP): нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в закладку System Restore и поставить галочку напротив Turn off System Restore on all drives.

2. Теперь скачиваем и запускаем этот командный файл:

killB_part1.rar

Всё что тебе нужно знать, это то, что при появлении надписи "Press any key to continue..." - необходимо нажать любую клавишу клавиатуры.

скрин:

Плюс имей в виду, что после выполнения всех команд твой компьютер автоматически перегрузится.

3. После перезагрузки запускаем еще один командный файл:

killB_part2.rar

4. Далее нормально переустанови свой антивирус (то есть деинсталлируй его остатки и полностью сделай всю установку заново).

5. И действительно неприятная вещь: весь раздел реестра SafeBoot, отвечающий за загрузку системы в безопасном режиме, полностью был удален этим вирусом.

Поэтому, если безопасный режим тебе еще всё-таки будет нужен, то для того, чтобы его восстановить, берем еще один файлик:

SafeBoot.rar

И также запускаем его, разрешив добавить эту информацию в твой реестр.

killB_part1.rar

killB_part2.rar

SafeBoot.rar

[SETTER]

Просто хотел сказать большое спасибо. Да и с компом всё теперь в ажуре!!! Не знаю чтоб я без тебя делал!

[TALA]

Saule!

Пока не удаляла NEtDot, запустила Hij..., вот результат

В прикрепленном файле.

Что делать дальше. Какой же я чайник...

HIJACK.txt

HIJACK.txt

[Saule]

Saule!

Пока не удаляла NEtDot, запустила Hij..., вот результат

В прикрепленном файле.

Что делать дальше. Какой же я чайник...

Насчет чайника - не переживаем, так как в данном случае это нормально, все мы такими были

1. Скачиваем программу LSPFix, так как она будет нужна в том случае, если у нас пропадет интернет.

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...count_id=138770

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...count_id=138770

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\PROGRAM FILES\SIDEFIND\SFBHO.DLL (file missing)

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\LOCALNRD.DLL (file missing)

O2 - BHO: HomepageProtector.Protector - {7D6BEC01-15E2-46F0-8ED3-D715DE09A8F9} - C:\HOMEPAGEPROTECTOR\886\HOMEPAGEPROTECTOR.DLL (file missing)

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAM FILES\ISTBAR\ISTBAR.DLL (file missing)

O3 - Toolbar: IE Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [vmcleaner] gxlib.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAM FILES\SIDEFIND\SIDEFIND.DLL (file missing)

O9 - Extra button: (no name) - {7D6BEC01-15E2-46F0-8ED3-D715DE09A8F9} - C:\HOMEPAGEPROTECTOR\886\HOMEPAGEPROTECTOR.DLL (file missing)

O9 - Extra 'Tools' menuitem: Homepage Protector - {7D6BEC01-15E2-46F0-8ED3-D715DE09A8F9} - C:\HOMEPAGEPROTECTOR\886\HOMEPAGEPROTECTOR.DLL (file missing)

O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (NMInstall Control) - http://a14.g.akamai.net/f/14/7141/1d/www.n...GAPANEL_USA.cab

O16 - DPF: {2A6BEC01-15E2-46F0-8ED3-D715DE09A8F9} - http://www.homepageprotector.com/data/homeproinstall.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540012} (CInstall Class) - http://www.funnytaf.com/fun/installer/Install.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

Затем нажимаем на кнопку "Fix Checked" (единственное, браузер при этом нужно закрыть).

3. Перезагружаем компьютер.

4. После удаляем папку:

C:\Program Files\NewDotNet

5. Теперь, если интернет работать не будет, делаем следующее:

Запускаем LSPFix. Откроется окно программы.

Слева в таблице указаны LSP, установленные на компьютере.

Вам необходимо:

- поставить птичку в окошке "I know what I'm doing" ("Я знаю, что делаю")

- нажать кнопку "Finish" в нижнем правом углу (обведена на скриншоте зеленой линией).

6. Еще раз для верности перезагружаем компьютер, после чего всё должно быть хорошо.

---------------------------

Либо для начала можно попробывать использовать специальный деинсталлятор для NewDotNet:

Этот:

http://www.new.net/support/uninstall6_38.exe

Или этот:

http://www.new.net/support/NNuninstall.exe

(но он не всегда помогает).

Затем точно также в случае проблем с интернетом, используем LSPFix.

P.S. Если что-то вдруг не получиться, то смело пиши.

[TALA]

Огромное спасибо!!!!

Сделала 1 часть рекомендаций и удалила NETDOT через установка/удаление программ, при этом произошло подключение к Интернету и программа деинсталляции работала с сайта. Все удалилось. Avast нашел еще кое-что , я переместила в хранилище. В интернет вхожу без проблем.

Вот только после всех моих мучений не могу работать с Windows Update, пишет ошибку при поиске обновлений 0х80090305, и ROL работают не все режимы.

На всякий случай прикрепляю файл, может что-то еще убрать или добавить?

Наглость, да?

hijackthis3.txt

hijackthis3.txt

[Saule]

Огромное спасибо!!!!

Сделала 1 часть рекомендаций и удалила NETDOT через установка/удаление программ, при этом произошло подключение к Интернету и программа деинсталляции работала с сайта. Все удалилось. Avast нашел еще кое-что , я переместила в хранилище. В интернет вхожу без проблем.

Вот только после всех моих мучений не могу работать с Windows Update, пишет ошибку при поиске обновлений 0х80090305, и ROL работают не все режимы.

На всякий случай прикрепляю файл, может что-то еще убрать или добавить?

Наглость, да?

Да нет, не наглость, а вполне нормальное беспокойство

Лог чистый, и активных троянов больше не видно.

А вот про Windows Update и ROL - пока сложно что-то сказать. Попробуйте просто немного еще поработать, может быть через некоторое время всё нормализуеться и войдет в нужную калею само собой (как это было с провайдерами Аваста).

[TALA]

Еще раз спасибо!

Я, конечно поработаю, но такая ситуация у меня уже почти месяц. Как первый раз мне все поудаляли. И WIN 10 раз переустанавливали. Может еще раз попробовать?

[Coby]

Logfile of HijackThis v1.99.1

Scan saved at 7:27:46 PM, on 6/30/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\winlogin.exe

c:\dfndrc_2.exe

C:\WINDOWS\VVNFUg\command.exe

C:\WINDOWS\TEMP\isinst.exe

C:\WINDOWS\system32\wisptis.exe

C:\Program Files\QIP\qip.exe

c:\dfndrb_3.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

D:\Maxthonnn\Maxthon.exe

D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

O1 - Hosts: <HTML><HEAD>

O1 - Hosts: <TITLE>404 Not Found</TITLE>

O1 - Hosts: </HEAD><BODY>

O1 - Hosts: <H1>Not Found</H1>

O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>

O1 - Hosts: </BODY></HTML>

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\DOWNLO~1\FlashGet\fgiebar.dll

O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL

O4 - HKLM\..\Run: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [Winlogin] C:\WINDOWS\system32\winlogin.exe

O4 - HKLM\..\Run: C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrb_3.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_3.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmb_3.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Documents and Settings\Administrator\My Documents\le_TK4\emule_TK4\emule_TK4.exe -AutoStart

O8 - Extra context menu item: Alexa Web Search - http://client.alexa.com/holiday/script/actions/search.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Get Alexa Data - http://client.alexa.com/holiday/script/actions/sitedata.htm

O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm

O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm

O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\DOWNLO~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\DOWNLO~1\FlashGet\flashget.exe

O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B860C4E9-4B01-4CEF-801B-E135E89F40B2}: NameServer = 212.179.95.51 62.219.186.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\mcvcirt.dll

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ngtcfgx.dll

O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\dfnet.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VVNFUg\command.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

[Saule]

Logfile of HijackThis v1.99.1

1. На всякий случай скачиваем программу LSPFix, так как она будет нужна в том случае, если у нас пропадет интернет:

http://www.cexx.org/LSPFix.exe

Плюс заодно сразу скачиваем на рабочий стол Look2Me-Destroyer.exe:

http://www.atribune.org/ccount/click.php?id=7

2. На время лечения отключаем функцию System Restore:

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties.

Затем в закладку System Restore и поставить галочку напротив Turn off System Restore on all drives.

3. Нажимаем комбинацию кнопок Alt + Ctrl + Delete

Откроется Task Manager.

Заходим во вторую закладку - Processes.

Теперь находим в этом списке процессов следующие и завершаем каждый из них с помощью кнопки End Process:

dfndrc_2.exe

dfndrb_3.exe

winlogin.exe (именно winlogin, не winlogon)

4. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

O1 - Hosts: <HTML><HEAD>

O1 - Hosts: <TITLE>404 Not Found</TITLE>

O1 - Hosts: </HEAD><BODY>

O1 - Hosts: <H1>Not Found</H1>

O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>

O1 - Hosts: </BODY></HTML>

O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL

O4 - HKLM\..\Run: [Winlogin] C:\WINDOWS\system32\winlogin.exe

O4 - HKLM\..\Run: C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567

9012345678901234567890123456789012345678901234567890123456789012345678901234567

9012345678901234567890123456789012345678901234567890123456789012345678901234567

9012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrb_3.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_3.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmb_3.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Documents and Settings\Administrator\My Documents\le_TK4\emule_TK4\emule_TK4.exe -AutoStart

O8 - Extra context menu item: Alexa Web Search - http://client.alexa.com/holiday/script/actions/search.htm

O8 - Extra context menu item: Get Alexa Data - http://client.alexa.com/holiday/script/actions/sitedata.htm

O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm

O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm

O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VVNFUg\command.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

Затем нажимаем на кнопку "Fix Checked" (только браузер при нажатии на эту кнопку обязательно нужно закрыть).

5. Перезагружаем компьютер.

6. Теперь удаляем (всё, что найдем из нижеперчисленного):

C:\WINDOWS\system32\winlogin.exe

C:\WINDOWS\VVNFUg\command.exe

C:\Program Files\Network Monitor\netmon.exe

c:\\dfndrb_3.exe

c:\\kybrdb_3.exe

c:\\nwnmb_3.exe

7. Избавляемся от всех временных файлов:

Либо с помощью специальной прграммы, например

CleanUp

(нужно инсталировать, запустить и нажать на кнопку CleanUp) или

ATF-Cleaner

(удобен тем, что не требует инсталяции).

Либо в ручную:

1) Идем сюда - C:\Windows\Temp

И удаляем всё содержимое.

2) Дальше: Start > Run

вписываем %temp%

Откроеться Temp фолдер. Также удаляем всё его содержимое (если что-то удаляться оттуда не захочет, ничего страшного, это нормально).

3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.

8. Если вдруг после этого возникнут какие-либо проблемы с интернетом (хотя не должно, но на всякий случай), то делаем следующее:

Запускаем LSPFix, скаченный ранее.

Откроется окно программы.

Нам необходимо:

- поставить галочку в окошке "I know what I'm doing" ("Я знаю, что делаю")

- нажать кнопку "Finish" в нижнем правом углу (обведена на скриншоте зеленой линией).

скрин:

Только ничего удалять с помощью этой программы не нужно. Делаем только то, что написано выше.

9. Теперь запускаем Look2Me-Destroyer, так же скаченный ранее.

Ставим галочку рядом с надписью "Run this program as a task"

Далее выскочит сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute..."

Нажимаем OK (в сообщение говорится о том, что программа закроется и затем приблизительно через минуту включится повторно.

скрин:

Ждем и при повторном её включении нажимаем на кнопку "Scan for L2M"

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M"

Затем ОК и когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого компьютер выключится.

10. Включаем компьютер обратно. После чего система должна быть чистой.

Но желательно всё-таки сделать и показать новый лог HijackThis.

[golberg]

2Saule, АХТУНГ! Пишу тебе по поводу вируса win32.HLLP.Jeefo.36352 (так его DrWeb определяет). Можно ли его вылечить? (Пишу по совету TVS)