Помощь в лечении систем от нечисти

[Saule]

2Saule, АХТУНГ! Пишу тебе по поводу вируса win32.HLLP.Jeefo.36352 (так его DrWeb определяет). Можно ли его вылечить? (Пишу по совету TVS)

Можно, не переживай :)

Ответила в твоём топике:

http://www.softboard.ru/index.php?s=&s...st&p=283803

Главное: проверить ВСЮ систему, и в последствии вылечить или удалить ВСЕ (!) зараженные файлы, без каких-либо коллебаний, и ничего не жалея.

[Old men]

Saule, приходится просить твоего совета. Симптомы:

1. Несколько дней назад при работе в инете начало появлятся сообщение (см. рисунок), на мой взгляд, чисто трояновское. Ни на какой сайт я конечно не ходил, но проверка (полная, не только системы) при помощи NOD32, DrWeb, AdAware & SpySweeper показала отсутствие всякой нечисти.

2. Примерно с этого же времени Outpost сообщает об изменении в реестре и в библиотеках и естествеенно спрашивает, пускать ли программы в инет (примеры на рисунке, кстати сделаны, пока я писал этот пост)

3. Усиленно ломятся в инет системные файлы.

Поскольку сам я найти ничего не смог, посмотри пожалуйста приложенный лог, и скажи, что ты обо всем этом думаешь

Message.rar

Мои_рисунки.rar

hijackthis.rar

Message.rar

Мои_рисунки.rar

hijackthis.rar

[DIMKA-vrn]

Old men:

1. сообщения читай топик служба сообщений

[Old men]

DIMKA-vrn:

1. сообщения читай топик служба сообщений

Если бы это было только сообщение, я бы сюда не писал :)

[Saule]

Saule, приходится просить твоего совета. Симптомы:

1. Несколько дней назад при работе в инете начало появлятся сообщение (см. рисунок), на мой взгляд, чисто трояновское. Ни на какой сайт я конечно не ходил, но проверка (полная, не только системы) при помощи NOD32, DrWeb, AdAware & SpySweeper показала отсутствие всякой нечисти.

2. Примерно с этого же времени Outpost сообщает об изменении в реестре и в библиотеках и естествеенно спрашивает, пускать ли программы в инет (примеры на рисунке, кстати сделаны, пока я писал этот пост)

3. Усиленно ломятся в инет системные файлы.

Поскольку сам я найти ничего не смог, посмотри пожалуйста приложенный лог, и скажи, что ты обо всем этом думаешь

Насчет первого пункта: действительно, если подобные сообщения достают, просто отключаем службу сообщений Windows:

Start > Run

Вписать services.msc

Нажать ОК.

Найти в списке сервисов - Messenger (в русской Windows - Служба сообщений).

Кликнуть по нему двойным кликом.

Затем, если возможно, нажать на кнопку Stop и изменить Startup type на положение Disabled.

Apply и ОК.

Если же служба сообщений по каким-то причинам нужна, то нужно просто блокировать с помощью файрвола входящие широковещательные пакеты NetBIOS и UDP (единственное, как это делаеться конкретно в Outpost - я не знаю).

---------

По второму: все библиотеки из скринов твои, и в связи с вирусами ни одна из них (кроме, wininet.dll, но это не тот случай) до сегодняшнего дня замечена не была.

И немного о том, почему у Outpost могут появляться подобные сообщения, касающиеся измененных компонентов: такие запросы подаются не только в тех случаях, когда компоненты приложения действительно были изменены, но и при первом запуске какой-либо библиотеки, которая до этого момента этому приложению нужна не была, и поэтому ранее им не загружалась. То есть когда Outpost Firewall создаёт правило для кого-либо приложения, сразу определить все его компоненты (динамически связанные библиотеки dll), которые будут использоваться им в будущем - невозможно, поэтому на подобные запросы в большинстве случаев обращать особое внимание не нужно (но, разумеется, не всегда, и я вполне понимаю твою обеспокоенность).

---------

А что касаеться третьего, то это уже слегка напрягает.

Хотя лог hijackthis чистый, и с точки зрения безопасности - компьютер действительно защищен хорошо.

Поэтому прокомментировать это я пока никак не могу.

Тебе остаёться самому понаблюдать за тем, что именно лезит в инет, и что можно блокировать, а что нет.

[Saule]

Еще раз спасибо!

Я, конечно поработаю, но такая ситуация у меня уже почти месяц. Как первый раз мне все поудаляли. И WIN 10 раз переустанавливали. Может еще раз попробовать? :sm(100):

Попробывать, конечно, можно. Хотя, видимо, переустановка системы на это никак не влияет.

Вы упоменули об ошибке 0х80090305, которая появляеться при поиске обновлений. Немного не понятно, где именно она появляеться? И что именно не удаеться, инсталляция обновлений или же сам поиск обновлений даже не начинается?

А если пробывать прямо с сайта Microsoft:

http://update.microsoft.com/

И по поводу ROL. Для чего именно вы его используете, требует ли эта программа какой-либо настройки (если да, то кто вам её настраивал), и что именно в нем на данный момент отказываеться работать?

Я извиняюсь, просто мне слово "ROL" ни о чем не говорит, поэтому в идеальном варианте, можно было бы просто ссылочку на эту программу, тогда я гляну сама и попробую разобраться

[Old men]

Saule: Спасибо за анализ, за компом я конечно посмотрю, но вопрос остался, потому что я давно (при установке ОС) отключил службу сообщений, смущает меня не столько их появление, сколько то, что практически одновременно пошли все эти непонятки. Я всегда при установке отключаю автоапдейт. Программы, а тем более система, просто не имеют права просится в инет без моего указания. Также всегда, при установке, отключаю службы NetBIOS, Telnet и еще многое, что могло бы позволить войти на комп сторонним лицам (разумеется все отключить невозможно, это защита от случайной атаки), но есть еще одно, что я ранее не говорил - все эти сообщения идут только тогда, когда я в инете. Причем раза три - четыре Outpost регистрировал атаки и у меня появились открытые UDP порты (явно я их не запрещал, лень было разбираться, какие мне нужны для контроля работы). Еще один симптом в дополнение - комп начал виснуть при выключении.

Ну и последнее - вот еще одно сообщение, сегодняшнее . Если вдруг что-то надумается - сообщи. Проблема не столько в том, чтобы избавится от всего этого, сколько в том, что не люблю непонятного :sm(100):

P.S. Кстати, может быть подскажешь, где можно прочитать о том, как сама ОС определяет несанкционированные изменения в реестре?

Изменено 2 июля, 2006 пользователем Old men

[TALA]

Saule!

Эта ошибка появляется, когда я по стрелке нажимаю Поиск обновлений.

"произошла ошибка Windows Update. Не удается отобразить запрашиваемую страницу.

Ошибка..... По вашей ссылке то же сообщение.

А Rol.ru - это сайт провайдера ONLINE.

Я хотела там скачать ROL ускоритель, который у меня работал, до удаления.

И еще не могу попасть в свою почту на HOTMAIL.com.

Тоже не соединяет, сервер не доступен.Сама страница загружается, а в почту не пускает, и новый адрес не дает ввести...

Остальное пока работает.

[Saule]

Saule!

Эта ошибка появляется, когда я по стрелке нажимаю Поиск обновлений.

"произошла ошибка Windows Update. Не удается отобразить запрашиваемую страницу.

Ошибка..... По вашей ссылке то же сообщение.

А Rol.ru - это сайт провайдера ONLINE.

Я хотела там скачать ROL ускоритель, который у меня работал, до удаления.

И еще не могу попасть в свою почту на HOTMAIL.com.

Тоже не соединяет, сервер не доступен.Сама страница загружается, а в почту не пускает, и новый адрес не дает ввести... :(

Остальное пока работает.

Самое простое для начала - это попробовать поиспользовать какой-либо альтернативный браузер (Firefox, Opera). Если ситуация будет такая же - значит, сам интернет. Если же что-то измениться в лучшую сторону, то проблему нужно искать конкретно в настройках теперешнего браузера.

---------

И еще, в логе есть подобная строчка:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

И она мне как-то не нравится :)

Поэтому как у тебя насчет proxy? Пользуешься или нет? И это действительно твои настройки?

Хотя эта опция может быть вообще отключена, но всё-таки, если особой уверенности по поводу proxy не чувствуешь, посмотри:

Control Panel > Internet Options > Connections

далее твоё подключение - Settings или LAN Settings

И не стоит ли там галочки напротив Use a proxy server for this connection...?

Если стоит, и ты proxy, вроде как, не пользуешься, то уберай её (в любом случае, если вдруг что - потом её просто можно вернуть).

Еще можно попробовать:

Start > Help and Support > Networking and the Web > Fixing networking or Web Problems > Diagnose network configuration and run automated networing tests > Scan your system

И потом посмотреть, где именно возникает ошибка соединения...

Пока я это писала, вспомнила, что у тебя Windows 98 Поэтому последний пункт, скорей всего, отпадает(((

Изменено 3 июля, 2006 пользователем Saule

[TALA]

local host я использовала, когда пользоваласт ROL ускорителем, теперь эта опция отключена.

А какие настройки браузера нужно проверить, что может влиять, все вроде бы стандартно?

А Opera уже ставили, когда интернет не работал совсем ( это тот горе-специалист, из фирмы).

[Saule]

local host я использовала, когда пользоваласт ROL ускорителем, теперь эта опция отключена.

А какие настройки браузера нужно проверить, что может влиять, все вроде бы стандартно?

А Opera уже ставили, когда интернет не работал совсем ( это тот горе-специалист, из фирмы).

То есть Опера работает нормально? Или всё-таки нет?

(и кстати, на всякий случай - обновления Windows через Оперу сделать тоже нельзя, так как в ней нет поддержки Active-X компонентов).

-------------------

Еще можешь попробывать утилиту Олега Зайцева - AVZ

Запусти и в верхнем меню:

Файл > Восстановление системы

скрин на тот случай, если вместо русского языка будут отображаться вопросики (так как такое бывает):

Затем отметь галочками то, что посчитаешь нужным. Я бы на твоем месте отметила следующее:

И на кнопку "Выполнить отмеченные операции"

-------------------

Затем снова в верхнем меню:

Сервис > Менеджер Winsocks SPI

Заходим в последнюю закладку - "Поиск Ошибок"

И нажимаем на кнопку "Автоматическое исправление найденных ошибок"

Никакого вреда это не принесёт.

Плюс заодно можно смело просканировать им систему, может еще чего-нибудь да найдет.

[TALA]

Saule!

Спасибо за советы. Программу AVZ запускала со всеми рекомендациями и все просканировала. Кое-что она еще обнаружила, но с WIN UPDATE и Hotmail все осталось по-прежнему. На всякий случай посылаю файлы протоколов AVZ.

Может на какие-нибудь действия Вас натолкнет?

avz_sysinfo.zip

avz_log.txt

avz_spi.htm

avz_sysinfo.zip

avz_log.txt

avz_spi.htm

[TALA]

Saule!

Забыла уж до кучи новый HIJAC

hijackthis.txt :)

hijackthis.txt

[Saule]

Saule!

Забыла уж до кучи новый HIJAC

hijackthis.txt :)

Нужно открыть HijackThis, нажать на кнопку "Do a system scan only" и отметить галочкой следующую строчку:

O13 - Home Prefix: home://

Затем на кнопку "Fix Checked".

---------------

Страшного ничего в этом нету; правда, сначала обьяснений тому, откуда у вас могло появится такое изменение - я для себя найти не могла. Но потом выяснилось, что это появилось из-за небольшой случайной ошибки у AVZ, которая теперь уже исправлена, за что хочу сказать вам спасибо :sm(100): так как нашла я её только благодаря вашему логу.

Больше в протоколах ничего особенного не вижу, и пока просто не представляю из-за чего могут возникать такие странности с ROL, Windows Update и Hotmail. Но если вдруг что-нибудь придет в голову - обязательно напишу.

[Мифодий]

ВСЕМ ВСЕМ!!!!кто столкнулся с mssvcc.exe для удаления делаем следующее:

ПУСК/ ВЫПОЛНИТЬ/пишем в строке msconfig/АВТОЗАПУСК/убираем галочку с mssvcc /далееПУСК/ВЫПОЛНИТЬ/пишем regedit/и далее идем по дереву HKLM(Local Mashin)/Microsoft/windows/ Corrent Version/ Run(в этой папке находим нашу гадость и правой мышки выкидываем вон из своего виртуального домика)/ далее открываем RunServices( и проделываем тоже самое) а затем перезагружаем комп И ВСЕ ВАШ ДРУГ СПАСЕН И НЕ НАДО ЗАМОРАЧИВАТСЯ НИ НА КАКИЕ AVI вот только если бы мне кто нибудь расказал mssvcc что это за гадость а то я ее уже 2 раза ловил как бы ей запретить доступ ко мне если кто знает буду признателен за предоставленную информацию!!! ДА ЗДРАВСТВУЕТ СВОБОДА В НЕТЕ И ПУСТЬ ЗАЕ-Т ИКОТА ТОГО КТО ПОКУШАЕТСЯ НА ПРОСТЫХ И МИРНЫХ ТУРИСТОВ ЭТОГО ВИРТУАЛЬНОГО МИРА НАПАДАЙТЕ НА ТЕХ КТО ИЗВЛЕКАЕТ ИЗ СОФТА КОМЕРЧ ВЫГОДУ А НЕ НА ПРОСТЫХ ТУРИСТОВ НЕ ЗНАЮЩИХ В ЭТОМ МИРЕ ДОРОГ И ТРОПИНОК!!!!!!

[Saule]

ВСЕМ ВСЕМ!!!!кто столкнулся с mssvcc.exe для удаления делаем следующее:

ПУСК/ ВЫПОЛНИТЬ/пишем в строке msconfig/АВТОЗАПУСК/убираем галочку с mssvcc /далееПУСК/ВЫПОЛНИТЬ/пишем regedit/и далее идем по дереву HKLM(Local Mashin)/Microsoft/windows/ Corrent Version/ Run(в этой папке находим нашу гадость и правой мышки выкидываем вон из своего виртуального домика)/ далее открываем RunServices( и проделываем тоже самое) а затем перезагружаем комп И ВСЕ ВАШ ДРУГ СПАСЕН

Этим ты его обезвредишь, но не удалишь с диска ;)

То есть вирус после этих действий больше не будет автоматически запускатся каждый раз при загрузке системы, но он останется лежать в папке Windows.

Поэтому сделай поиск по всему системному диску на файл mssvcc.exe и затем удали его. Предположительно он будет находится вот здесь (если речь идет о Windows XP):

WINDOWS\system32\mssvcc.exe

вот только если бы мне кто нибудь расказал mssvcc что это за гадость а то я ее уже 2 раза ловил как бы ей запретить доступ ко мне если кто знает буду признателен за предоставленную информацию!!!

Самый обычный сетевой червь (саморазмножающийся вирус) с функциями Backdoor, дееспособен под всеми существующими на сегодняшний день ОС Windows.

Для своего размножения вирус использует несколько методов, в том числе легкий пароль для входа в операционную систему и эксплуатацию некоторых уязвимостей Windows (DCOM-RPC, LSASS, АРМ и ASN.1). Поэтому проверь у себя наличие следующих заплаток от Microsoft:

MS04-011

MS04-012

MS03-049

MS04-007

[Maikll]

Здравствуйте, уважаемые...

Подскажите плиз как удалить троянца с машины. При загрузке DrWeb пишет о нахождении инфицированного объекта и блокировании его Вот кусочек лога

08-07-2006 00:55:41 [RN] C:\Documents and Settings\All Users\Документы\Settings\artm_new.dll - инфицирован Trojan.DownLoader.1063308-07-2006 00:55:41 [RN] C:\Documents and Settings\All Users\Документы\Settings\artm_new.dll - доступ к файлу запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\LocalService\ntuser.dat - доступ запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\NetworkService\ntuser.dat - доступ запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен08-07-2006 00:57:07 [CL] C:\Documents and Settings\User\ntuser.dat - доступ запрещен

Но при этом файла artm_new.dl по этому пути не существует, вернее такой подпапки C:\Documents and Settings\All Users\Документы попусту нет остальные файлы нашел, но удалить их не могу даже в безопасном режиме, может они вообще системные и нужны для работы?

Посоветуйте, как от этой напасти избавиться.

[Saule]

Здравствуйте, уважаемые...

Подскажите плиз как удалить троянца с машины. При загрузке DrWeb пишет о нахождении инфицированного объекта и блокировании его Вот кусочек лога

Но при этом файла artm_new.dl по этому пути не существует, вернее такой подпапки C:\Documents and Settings\All Users\Документы попусту нет остальные файлы нашел, но удалить их не могу даже в безопасном режиме, может они вообще системные и нужны для работы?

Посоветуйте, как от этой напасти избавиться.

Для его удаления тебе понадобится - AVZ

И далее делаем следующее:

1. Закрываем все посторонние программы, чтобы нам ничего не мешало, и в любом случае компьютер очень скоро нужно будет перезагрузить.

2. Запускаем AVZ и в верхнем меню нажимаем:

AVZ Guard > Включить AVZ Guard

Делаю скрины, на случай, если вместо русских букв в программе у тебя будут вопросительные знаки (т.к. иногда такое бывает):

И в появившемся окошке нажимаем ОК:

3. Далее опять-таки в верхнем меню AVZ нажимаем:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню находим: Winlogon; и затем удаляем строчку напротив, которая будет ссылаться на файл artm_new.dll (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с файлом artm_new.dll и затем нажимаем на кнопку "X", которая обведена на скрине в красный кружок):

Если строчки, ссылающейся на artm_new.dll вдруг там не окажется, то переходим к следующему пункту, так как о ней уже позаботился AVZ Guard.

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно).

5. После перезагрузки artm_new.dll уже не будет активным, и папка "C:\Documents and Settings\All Users\Документы\Settings" станет видимой.

Находим файл artm_new.dll и удаляем.

6. Выключаем AVZ Guard:

AVZ Guard > Отключить AVZ Guard

-----------------

Либо удаление без AVZ (сама этим методом artm_new.dll удалять не пробывала, но по идее должно сработать):

1. Start > Run; вписываем regedit; нажимаем ОК.

2. Находим следующий ключ:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

И кликаем правой кнопкой мыши по разделу с названием близким artm_new. В появившемся меню выбираем "Permissions" ("Разрешения").

В появившемся окне кликаем на каждого пользователя поочередно и ставим для каждого 2 галочки под словом "Deny" ("Запретить") и каждый раз жмем на "Apply" ("Применить"), соглашаясь с предупреждением Windows.

Скрин:

Разрешение останется только у CREATOR OWNER.

3. Перезагружаем компьютер.

4. Вручную удаляем папку вместе с находящимся в ней трояном (отображение скрытых директорий и файлов должно быть включено):

C:\Documents and Settings\All Users\Документы\Settings

5. Теперь снова идем в тот же раздел реестра, снимаем установленные запреты и удаляем весь раздел artm_new, со всеми его ключами внутри (до удаления artm_new.dll бесполезно - восстановит).

Изменено 8 июля, 2006 пользователем Saule

[Maikll]

Saule

Большое спасибо за подробное объяснение как удалить трояна, все получилось, программулина просто супер, возьму на вооружение.

Однако остался еще один вопрос - дело в том, что при заражении компа троянами ( а было их несколько) мой фаерволл докладывал о попытках сканирования портов со стороны нескольких IP и фиксировал передачу пакетов на эти адреса. По мере того, как находились и удалялись трояны, эта кипучая деятельностьсошла на нет, но однако осталось по крайней мере одно постоянно появляющееся соединение с 131.107.1.6(7) по 25 порту. Каждый раз, когда я выхожу в инет, раз в среднем за 10-15 мин. происходит попытка передать туда пакет.

[08/Jul/2006 00:18:01] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:1883 -> 131.107.1.7:25, flags: SYN , seq:3737857166 ack:0, win:8192, tcplen:0[08/Jul/2006 00:18:04] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:1883 -> 131.107.1.7:25, flags: SYN , seq:3737857166 ack:0, win:8192, tcplen:0[08/Jul/2006 00:18:10] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:1883 -> 131.107.1.7:25, flags: SYN , seq:3737857166 ack:0, win:8192, tcplen:0[08/Jul/2006 00:33:29] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:2526 -> 131.107.1.7:25, flags: SYN , seq:829876166 ack:0, win:8192, tcplen:0[08/Jul/2006 00:33:34] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:2526 -> 131.107.1.7:25, flags: SYN , seq:829876166 ack:0, win:8192, tcplen:0[08/Jul/2006 00:33:39] DENY "Блокировка" packet to Inet, proto:TCP, len:48, ip/port:мой IP:2526 -> 131.107.1.7:25, flags: SYN , seq:829876166 ack:0, win:8192, tcplen:0

Командой tracert определяю имя хоста = mail1.microsoft.com. Пока я эти пакеты ловлю, но уже немного напрягает.

Вопрос: не может ли это быть проявлением какого-либо вируса или трояна, или это какая-нибудь програма отсылает вполне "безопасный отчет" дяде Биллу и я зря бью тревогу?

[Saule]

Каждый раз, когда я выхожу в инет, раз в среднем за 10-15 мин. происходит попытка передать туда пакет.

Командой tracert определяю имя хоста = mail1.microsoft.com. Пока я эти пакеты ловлю, но уже немного напрягает.

Вопрос: не может ли это быть проявлением какого-либо вируса или трояна, или это какая-нибудь програма отсылает вполне "безопасный отчет" дяде Биллу и я зря бью тревогу?

Обычно так ведут себя сетевые черви, рассылающие себя по электронной почте и использующие собственные SMTP-сервера...

Но не факт :(

Поэтому, если есть желание, скачай, пожалуйста HijackThis

Включи и нажми на кнопку "Do a systemscan and save a logfile", после чего программа автоматически выдаст свой лог.

Содержимое этого лога просто скопируй в свой следующий пост или пришли мне в ПМ (как удобнее).

Изменено 10 июля, 2006 пользователем Saule

[Maikll]

Содержимое этого лога просто скопируй в свой следующий пост или пришли мне в ПМ (как удобнее).

Выкладываю

[Flaksman]

Vsem privet!

Mojet kto znaet, 4to eto za faili takie : cssrs.exe /ctrlsd.exe /msmtc.exe /svhost.exe........ ? I po4emu oni u mena' proizvol'no otkrivayuza v MS-DOS rejime? Ostavil komp rabotat', prixoju a tam ix 28 wtuk, komp zavis bedna'ga, i zakrit' ix nikak, toka 4erez Despet4er........Ni NOD32, ni McAfee, ni AVZ ni4ego podozritel'nogo ne nawli, Panda(on-line) toje ni4e ne obnarujila. Vrode ZoneAlarm 4eto nakopal, udalil........poka netu, no 4to eto mojet takoe bit'? Tut .... http://daxa.com.ua/vir.php?hnum=16 opisania' etix failov net, ni odnogo.........Da, ewe........kajdiy raz pri zapuske podnimaeza slujba 4to to vrode"Trustpop\TrustURL", ves' Regestry oblazil, tak i ne nawel otkuda nogi u etogo procesa rastut, prixodiza kajdiy raz ego UnInstallirovat'........Pomogite pliz, mena' k vam otpravili, skazali tut pomogut :D

Da, vot ewe.......tut ...... http://daxa.com.ua/vir.php?hnum=16

pro eti fayli vrode 4to to poxojee, no ne napisano kak ix v ru4nuyu vilovit'.

[Saule]

Vsem privet!

Mojet kto znaet, 4to eto za faili takie : cssrs.exe /ctrlsd.exe /msmtc.exe /svhost.exe........ ? I po4emu oni u mena' proizvol'no otkrivayuza v MS-DOS rejime? Ostavil komp rabotat', prixoju a tam ix 28 wtuk, komp zavis bedna'ga, i zakrit' ix nikak, toka 4erez Despet4er........Ni NOD32, ni McAfee, ni AVZ ni4ego podozritel'nogo ne nawli, Panda(on-line) toje ni4e ne obnarujila. Vrode ZoneAlarm 4eto nakopal, udalil........poka netu, no 4to eto mojet takoe bit'? Tut .... http://daxa.com.ua/vir.php?hnum=16 opisania' etix failov net, ni odnogo.........Da, ewe........kajdiy raz pri zapuske podnimaeza slujba 4to to vrode"Trustpop\TrustURL", ves' Regestry oblazil, tak i ne nawel otkuda nogi u etogo procesa rastut, prixodiza kajdiy raz ego UnInstallirovat'........Pomogite pliz, mena' k vam otpravili, skazali tut pomogut :D

Cкачайте, пожалуйста HijackThis, распакуйте и запустите.

Затем нужимаем на кнопку "Do a systemscan and save a logfile", и программа автоматически выдаст вам свой лог-файл, содержимое которого, нужно просто скопировать в своё следующее сообщение.

Без этого помочь будет сложно((

[Saule]

Выкладываю

1. В верхнем меню AVZ нажимаем:

Сервис > Менеджер Winsocks SPI

Последняя закладка - "Поиск Ошибок"

И нажимаем на кнопку "Автоматическое исправление найденных ошибок":

Так как с LSP что-то не так..

2. Затем открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.rover-host.com/infected.html

O20 - Winlogon Notify: artm_newreg - C:\WINDOWS\

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_21.dll (file missing)

И на кнопку "Fix Checked" (браузер при этом нужно закрыть).

3. Еще стоит запрет на изменения некоторых настроек IE, поэтому если он был создан без твоего ведома, точно также "почини" с помощью HijackThis строчку:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Только обязательно предупреждаю, что вполне возможно этот запрет был установлен какой-либо программой, имеющей отношение к безопасности (например, Browser Sentinel), как своеобразная защита от вредоносных программ.

----------

Если ситуация после исправления LSP к лучшему не изменится, то желательно сделать следующее:

Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section"

Далее, напротив "Generate StartupList log" ставим галочки около "List also minor sections" (full) и "List empty sections (complete). И нажимаем на кнопку "Generate StartupList log":

Затем в появившемся окне нажимаем на "Yes", и перед нами откроется файл с названием startuplist.txt (с очень полным анализом автозапускающихся приложений операционной системы).

Вот на него мне бы и хотелось посмотреть, так как обычного лога тут, видимо, не достаточно.

[Maikll]

Saule

И нажимаем на кнопку "Автоматическое исправление найденных ошибок":

AVZ ошибок не нашел.

2. Затем открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее...И на кнопку "Fix Checked"

Выполнил

3. Еще стоит запрет на изменения некоторых настроек IE, поэтому если он был создан без твоего ведома

Возможно это произошло после установки IE7, он у меня теперь отказывается в часности менять стартовую страницу, даже если меняю ее Browser Sentinel, но это уже к теме не имеет отношения. Запрет на всякий случай снял.

Если ситуация после исправления LSP к лучшему не изменится:

Вероятно, не изменилась, поэтому выкладываю полный лог.