Помощь в лечении систем от нечисти

[KodY]

Добрый день, у меня появилась небольшая (надеюсь небольшая) проблема. С недавнего времени,точнее дня 3 назад я заметил что загрузка моего ЦП очень часто ровна 100 % и еще очень снижена производительность системы. Прилагаю лог программы hijackthis.Помогите пожалуйста решить проблему.

Logfile of HijackThis v1.99.1

Scan saved at 11:11:01, on 13.07.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINXP\system32\nvsvc32.exe

C:\Program Files\Common Files\System\Program\winpost.exe

C:\PROGRA~1\Aston\aston.exe

C:\PROGRA~1\Aston\XP\internat.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINXP\system32\RUNDLL32.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Anti-Blaxx 1.18\Anti-Blaxx.exe

C:\Program Files\Xfire\Xfire.exe

C:\WINXP\system32\wuauclt.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\mIRC\mirc.exe

C:\Program Files\Far\Far.exe

C:\WINXP\system32\spoolsv.exe

C:\DOCUME~1\9335~1\LOCALS~1\TEMP\FTMP00AK.690\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Crack Find Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINXP\SrchPlug.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx 1.18\Anti-Blaxx.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKCU\..\Run: [winpost] C:\Program Files\Common Files\System\Program\winpost.exe

O4 - Startup: mirc.lnk = C:\Program Files\mIRC\mirc.exe

O4 - Startup: qip.lnk = C:\Program Files\QIP\qip.exe

O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=about:blank

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FF28883-AFA5-498A-BE99-CF6DC4455FF9}: NameServer = 87.240.1.1,87.240.1.2

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINXP\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINXP\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINXP\system32\sessmgr.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Program Files\Common Files\System\Program\winpost.exe" /service (file missing)

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINXP\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINXP\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINXP\system32\wbem\wmiapsrv.exe

[Saule]

Добрый день, у меня появилась небольшая (надеюсь небольшая) проблема. С недавнего времени,точнее дня 3 назад я заметил что загрузка моего ЦП очень часто ровна 100 % и еще очень снижена производительность системы. Прилагаю лог программы hijackthis.Помогите пожалуйста решить проблему.

Я так понимаю, всё дело в этом приложении (в том случае, если вы его сами не устанавливали):

C:\Program Files\Common Files\System\Program\winpost.exe

Если это ваша программа, то ничего из нижеперечисленного делать не нужно, просто сообщите об этом, пожалуйста.

1. Открываем Диспетчер Задач/Task Manager (Alt + Ctrl + Delete), во второй закладке - Процессы/Processes - находим и завершаем процесс (с помощью кнопки Завершить Процесс/End Process):

winpost.exe

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe

O4 - HKCU\..\Run: [winpost] C:\Program Files\Common Files\System\Program\winpost.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Program Files\Common Files\System\Program\winpost.exe" /service (file missing)

И затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Если это вам тоже не нужно, то точно также отмечаем галочкой и нажимаем на кнопку "Fix Checked":

O3 - Toolbar: Crack Find Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINXP\SrchPlug.dll

3. Нажимаем:

Пуск > Выполнить (Start > Run)

Вписываем: sc delete Remote Administrator Service

Нажимаем ОК.

4. Перезагружаем компьютер.

5. После перезагрузки удаляем:

C:\Program Files\Common Files\System\Program\winpost.exe

[amstel]

помогите разобраться.при включении компа,появляется окно ошибка winlogon.exe,далее комп вырубается.и так каждый раз.что это вирус или что-то другое? спасибо

[Saule]

помогите разобраться.при включении компа,появляется окно ошибка winlogon.exe,далее комп вырубается.и так каждый раз.что это вирус или что-то другое? спасибо

Это в первую очередь говорит о повреждениях файла winlogon.exe.

И причины повреждения уже могут быть очень разными (самая распостраненная - это активация ОС).

Пробуйте восстановить всеми возможными способами.

[amstel]

попробую.спасибо.(если бы я знал как это сделать)

[picasso]

Добрый вечер спасателям :(

Почитал ветку и остался довлен тем что нашёл такой полезный форум..

А попал я на него наверно так же как и все в поисках решения проблемы..

Вопщем вот в чём дело

Хапанул я сегодня вот такого трояна

C:\WINDOWS\wpzuv3qh.exe - a variant of Win32/TrojanDownloader.Small.NKM trojan

C:\Documents and Settings\picasso\Local Settings\Temporary Internet Files\Content.IE5\01UZGD2V\exefile[1].exe - a variant of Win32/TrojanDownloader.Small.NKM trojan

C:\Documents and Settings\picasso\Local Settings\Temporary Internet Files\Content.IE5\01EROLUB\exefile[1].exe - a variant of Win32/TrojanDownloader.Small.NKM trojan

Это то что нашёл при глубокой проверке Нод32..

Ну вроде как разобрался и удалил этих троянов..Но... Аутпост начал выкидывать окна с инфой что какой-то файл экзешный требует сетевой активности, ну вот я пару раз и заблокировал так как вапще непонимал что это за файл такой, ну ествно на фоне тока что пойманного вируса подумал что ет его проделки.. После чего Аутпост начал загружать на 100% ЦП ...смотрю в сетевой активности постоянно мелькает mssvcc.exe ..так вот я и попал на форум в поисках чтож это за файл грузящий фаервол... Всё сделал с помощью HijackThis, но чтото файлы mssvcc.exe и csrss.exe(вообще не удаляется) остались на компе, правда аутпост больше не грузит ЦП...

Выкладываю свой лог и хотелось бы услышать мнение спецов если что не так..хочется быть уверенным что я удалил этих гадов и они мне ничего не оставили :(

Logfile of HijackThis v1.99.1

Scan saved at 0:58:38, on 20.07.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Damafon 2\Damafon.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\picasso\Мои документы\Новая папка\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Damafon 2] "C:\Program Files\Damafon 2\Damafon.exe" /MINIMIZED

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{03EA5FDB-F31F-47CF-8204-22BAA3D60E8B}: NameServer = 213.158.0.6 213.158.0.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{03EA5FDB-F31F-47CF-8204-22BAA3D60E8B}: NameServer = 213.158.0.6 213.158.0.3

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Saule]

...смотрю в сетевой активности постоянно мелькает mssvcc.exe ..так вот я и попал на форум в поисках чтож это за файл грузящий фаервол... Всё сделал с помощью HijackThis, но чтото файлы mssvcc.exe и csrss.exe(вообще не удаляется) остались на компе, правда аутпост больше не грузит ЦП...

Выкладываю свой лог и хотелось бы услышать мнение спецов если что не так..хочется быть уверенным что я удалил этих гадов и они мне ничего не оставили :(

Гады действительно более не активны и, следовательно, на данный момент вреда не причиняют :(

Но удалить их из системы - всё же желательно.

Попробуй просто сделать это руками (должно получиться).

Найти их можно в следующих папках:

C:\WINDOWS\system32\mssvcc.exe

C:\WINDOWS\winsock\csrss.exe (с точно таким же названием - csrss.exe - есть еще и системный файл, который находится в папке WINDOWS\system32; поэтому главное тут - не перепутать и не удалить по ошибке системный).

----------------

Если же по каким-то причинам руками сделать этого не удастся, то скачиваем KillBox, распаковываем и удаляем их с его помощью:

Для удаления двух или более файлов:

в строку его окошка нужно скопировать точное местоположение одного из удаляемых файлов:

C:\WINDOWS\winsock\csrss.exe

Затем выбираем Delete on Reboot, нажимаем на кнопку All Files, и затем на красный кружок с белым крестиком внутри. Всё это выделено на скрине:

Далее последует вопрос - Желаете ли вы перезагрузить компьютер сейчас? - нажимаем на No, после чего копируем в окошко точное местоположения второго файла:

C:\WINDOWS\system32\mssvcc.exe

И снова на красный кружок с белым крестиком внутри. Но на вопрос о перезагрузке в этот раз отвечаем уже утвердительно.

[picasso]

Большое спасибо за ответ;)

По этим адресам парни не проживают

C:\WINDOWS\system32\mssvcc.exe (последний раз видел его тут C:\WINDOWS\Prefetch, но щас исчез)

C:\WINDOWS\winsock\csrss.exe ---папки winsock я вапсче необнаружил..есть ток файл dll такой в system32

Но вроде как ничего не беспокоит больше..Один вопросец есть..

Аутпост блокировал апдейт винды.. не пускал файлик SVCHOST.EXE а так как нужно было скачать обновления я поставил SVCHOST.EXE в доверенные приложения..Так вот терзает меня вопрос а не безопасно ли доверять этому приложению ;)

[Stolik]

picasso

Аутпост знает стандартные правила доступа для svchost. Поставь файер в режим обучения и запусти апдейт.

[picasso]

picasso

Аутпост знает стандартные правила доступа для svchost. Поставь файер в режим обучения и запусти апдейт.

Благодарю

[Гость avb_constructor]

Здравствуйте, доктор Юлия! (Меня, кстати, Саша зовут).

А не посмотрите, нет ли какой нечисти на моем компе (у меня на работе)? А то временами winlogon.exe вместе с explorer.exe вешают систему, почему, не знаю: ни один антивирус не находит ничего, все знакомые сисадмины лишь разводят руками. И эта бяка появилась еще задолго до подключения моего компа к инету. Самое интересное, зависание происходит почему-то при запуске игр (в основном, пасьянсов).

Итак, вот лог HiJackThis:

Logfile of HijackThis v1.99.1

Scan saved at 15:43:03, on 21.07.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\FLEXLM\lmgrd.exe

C:\FLEXLM\SW_D.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Documents and Settings\Admin\Рабочий стол\HiJackThis\HijackThis.exe

C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Program Files\NavExcel\NavHelper\v2.0.4d\NHelper.dll

O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [YandexDesktopSearch] "C:\Program Files\Yandex\Desktop\yandesk.exe"

O4 - HKCU\..\Run: [VisualTaskTips] D:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Mozilla Thunderbird.lnk = D:\Program Files\Mozilla Thunderbird\thunderbird.exe

O4 - Startup: NumLock Calculator.lnk = C:\Program Files\NumLock Calculator\NLCalc.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: &CHMSaver - Save to chm... - C:\Program Files\CHMSaver\run.html

O8 - Extra context menu item: &CHMSaver - Settings... - C:\Program Files\CHMSaver\run_settings.html

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Get File Size - res://C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe/130

O8 - Extra context menu item: Translate with Lingvo - res://D:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx

O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C77B853-CDE5-4A51-A996-12EFA08A0649}: NameServer = 213.137.248.2,80.72.124.2

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\FLEXLM\lmgrd.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Гость avb_constructor]

Самое интересное, зависание происходит почему-то при запуске игр (в основном, пасьянсов).

Но сказывается на работе всего остального софта.

[Saule]

Здравствуйте, доктор Юлия! (Меня, кстати, Саша зовут).

А не посмотрите, нет ли какой нечисти на моем компе (у меня на работе)? А то временами winlogon.exe вместе с explorer.exe вешают систему, почему, не знаю: ни один антивирус не находит ничего, все знакомые сисадмины лишь разводят руками. И эта бяка появилась еще задолго до подключения моего компа к инету. Самое интересное, зависание происходит почему-то при запуске игр (в основном, пасьянсов).

Здравствуйте, Саша

У вас есть две потенциально нежелательные программы: NavExcel и Burn4Free. Обе представляют из себя Adware-приложения, поэтому на ваше усмотрение, но желательно удалить.

Либо через Панель Управления > Установка и удаление программ/Control Panel > Add or Remove Programs. Либо, в случае сопротивления, следующим образом:

1. Alt+Ctrl+Delete - откроется Диспетчер Задач/Task Manager.

Во второй закладке - Процессы/Processes - находим процесс:

navapp.exe

и завершаем его с помощью кнопки Завершить процесс/End Process.

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Program Files\NavExcel\NavHelper\v2.0.4d\NHelper.dll

O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

3. Перезагружаем компьютер и после этого удаляем папки:

C:\Program Files\NavExcel

C:\Program Files\Burn4Free Toolbar

[Rasim]

привет всем!!!

Здравствуйте Юлия! Немогли бы вы и у меня посмотреть и определить всёли здесь нормально? Заранее благодарен! :(

Logfile of HijackThis v1.99.1

Scan saved at 1:09:39, on 24.07.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\ДАР\Главное меню\Программы\Автозагрузка\CDC.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Samsung\EasyGPRS\EasyGPRS.exe

C:\Program Files\27 Tools-in-1 Wichio Browser\Wichio.exe

C:\Program Files\Диагностика\Lavalys\EVEREST Ultimate Edition\everest.bin

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\macromed\flash\GetFlash.exe

C:\DOCUME~1\80C2~1\LOCALS~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: CDC.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Автоматическое определение шаблона тематики - C:\Program Files\PRMT6\PRMTIE\aot.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Перевести - C:\Program Files\PRMT6\PRMTIE\translat.htm

O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT6\PRMTIE\page.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.jcash.biz/l/5aaf96a11f327db278...64d5ccdd_13.exe

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/pro...436342D2D2D.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4160FED3-1859-4C8E-A946-75F71D165F15}: NameServer = 10.38.47.75 195.85.238.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{4160FED3-1859-4C8E-A946-75F71D165F15}: NameServer = 10.38.47.75 195.85.238.65

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - D:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Здравствуйте Юлия! Немогли бы вы и у меня посмотреть и определить всёли здесь нормально? Заранее благодарен!

Привет :(

Один троянчик сидит точно.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/pro...436342D2D2D.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. В реестре есть запреты на изменения некоторых настроек браузера. Если ты об этом знаешь или это было сделано тобой, то всё ок. Если не знаешь, то точно также, как и в первом пункте, с помощью HijackThis, пофикси эти строчки:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

3. Плюс не знаю насчет jCASH. Посмотри сайт http://code.jcash.biz

Если ты сам загружал какое-либо программное обеспечение оттуда, то опять-таки всё ок. Если нет, то точно также, как и в первом пункте, с помощью HijackThis, пофикси строчку:

O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.jcash.biz/l/5aaf96a11f327db278...64d5ccdd_13.exe

4. И программа CDC.exe, которая запускается из автозагрузки:

C:\Documents and Settings\ДАР\Главное меню\Программы\Автозагрузка\CDC.exe

Так как она не является стандартной.

Если установлена тобой, то всё в порядке. Если нет - нужно посмотреть, что это такое, и в случае чего - удалить.

[Гость avb_constructor]

Почти все сделал, как Вы сказали. Только пока Burn4Free оставил: я ее использую вместо Неро (Burn4Free умеет делать некоторые вещи, которые недоступны Неро: создание ISO-образов, кроме того, весит мало и, самое главное, бесплатная). А чем она так опасна? И можно ли ее чем-то заменить подобным? Неро, Алкоголь и AVSDiskCreator не пойдут (первые две - платные, последняя не умеет работать с двумя приводами и не импортирует предыдущие сессии).

[KodY]

Я так понимаю, всё дело в этом приложении (в том случае, если вы его сами не устанавливали):

C:\Program Files\Common Files\System\Program\winpost.exe

Если это ваша программа, то ничего из нижеперечисленного делать не нужно, просто сообщите об этом, пожалуйста.

1. Открываем Диспетчер Задач/Task Manager (Alt + Ctrl + Delete), во второй закладке - Процессы/Processes - находим и завершаем процесс (с помощью кнопки Завершить Процесс/End Process):

winpost.exe

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe

O4 - HKCU\..\Run: [winpost] C:\Program Files\Common Files\System\Program\winpost.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Program Files\Common Files\System\Program\winpost.exe" /service (file missing)

И затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Если это вам тоже не нужно, то точно также отмечаем галочкой и нажимаем на кнопку "Fix Checked":

O3 - Toolbar: Crack Find Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINXP\SrchPlug.dll

3. Нажимаем:

Пуск > Выполнить (Start > Run)

Вписываем: sc delete Remote Administrator Service

Нажимаем ОК.

4. Перезагружаем компьютер.

5. После перезагрузки удаляем:

C:\Program Files\Common Files\System\Program\winpost.exe

Спасибо большое за помощь,но проблему решил сам,я понял что процессор загружался каким то образом из-за автоматического обновления,отключил его и все прошло. Но все равно спасибо,теперь буду знать, что есть такой полезный форум!

[Saule]

Почти все сделал, как Вы сказали. Только пока Burn4Free оставил: я ее использую вместо Неро (Burn4Free умеет делать некоторые вещи, которые недоступны Неро: создание ISO-образов, кроме того, весит мало и, самое главное, бесплатная). А чем она так опасна? И можно ли ее чем-то заменить подобным? Неро, Алкоголь и AVSDiskCreator не пойдут (первые две - платные, последняя не умеет работать с двумя приводами и не импортирует предыдущие сессии).

Копирую то, что я в тот раз ответила:

...две потенциально нежелательные программы: NavExcel и Burn4Free. Обе представляют из себя Adware-приложения, поэтому на ваше усмотрение, но желательно удалить...

------------

Немного теории:

Adware

- приложение, предназначенное для загрузки информации рекламного характера для последующей демонстрации этой информации пользователю.

При этом мне показалось, что Burn4Free этого совсем не скрывает, так как распространяется по Adware-лицензии:

Т.е. программа изначально подразумевает воспроизведение рекламы в качестве неявной оплаты за её использование (и в лицензионном соглашении Burn4Free действительно об этом говорится + также говорится и о скачивании/установке каких-либо обновлений программы без уведомления пользователя), и каждый сам в праве решать, нужно ему это или не нужно.

Burn4Free

Кстати, в установке второго Adware-приложения (NavExcel) также была виновата она.

------------

Что же касаеться самого удаления, то речь идет не о самой программе, а именно о её приложении - Burn4Free Toolbar (конкретно файл: C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll), которое на основную работу по идее влиять никак не должно, так как является дополнительным расширением браузера.

Поэтому я бы на твоем месте просто попробывала отключить эти строчки с помощью HijackThis, как это было описано в предыдущем посте, и затем проверила бы работоспособность программы:

O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll

В любом случае, если запускать HijackThis не из архивного файла (.zip), то он автоматически создает резервные копии удаляемых элементов, и в случае чего, всё это можно вернуть (кнопка View the list of backups - посмотреть список бэкапов).

Но повторюсь, всё это уже на твоё усмотрение :)

[mesha]

Здравствуйте, Saule!

Несколько дней назад обнаружила новую учетную запись, защищенную паролем, под названием "Machine.Net.A..." . Проверка на вирусы и прочую гадость ничего не выявила. Запись я удалила. Посмотрите, пожалуйста, мой лог, так терзают сомнения - что это было.

Logfile of HijackThis v1.99.1

Scan saved at 12:54:57, on 24.07.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

E:\Program Files\Alwil Software\Avast4\ashServ.exe

E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\Program Files\DRTools\daemon.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\IDA\ida.exe

E:\Program Files\Messenger\msmsgs.exe

E:\WINDOWS\system32\devldr32.exe

E:\Program Files\Kleptomania\k-mania.exe

E:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe

E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

E:\Program Files\Alwil Software\Avast4\ashWebSv.exe

E:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

E:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

E:\Program Files\AVerTV\QuickTV.exe

E:\Program Files\Arsenal Company\Сократ Персональный 4.1\spv.exe

E:\PROGRA~1\ARSENA~1\4024E~1.1\Spe.exe

E:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe

E:\WINDOWS\system32\wuauclt.exe

C:\Уст.проги\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yandex.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yandex.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Internet Download Accelerator - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - E:\PROGRA~1\IDA\idaiehlp.dll

O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - E:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\DRTools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [internet Download Accelerator] E:\Program Files\IDA\ida.exe -autorun

O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Kleptomania] E:\Program Files\Kleptomania\k-mania.exe

O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] E:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe

O4 - Startup: QuickTV.lnk = E:\Program Files\AVerTV\QuickTV.exe

O4 - Startup: Сократ Персональный 4.1.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?

O4 - Global Startup: SnagIt 8.lnk = E:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Download ALL with IDA - E:\Program Files\IDA\idaieall.htm

O8 - Extra context menu item: Download with IDA - E:\Program Files\IDA\idaie.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - E:\Program Files\IDA\ida.exe

O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - E:\Program Files\IDA\ida.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1153172354390

O23 - Service: Adobe LM Service - Unknown owner - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - E:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - E:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - E:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - E:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - E:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - E:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - E:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - E:\WINDOWS\system32\wbem\wmiapsrv.exe

Заранее спасибо!

[Maikll]

mesha, ничего страшного в этом нет, вы просто установили NET Framevork,(видимо в процессе установки приложения или отдельно) это она автоматом добавляет такую учетную запись, удаляйть ее можно спокойно.

З.Ы. Извините, что отвечаю вместо Saule.

[Гость avb_constructor]

Юля! Я сделал, как ты сказала. Все нормально работает. Спасибо большое. И тебе плюсик в репутацию. :) :)

[mesha]

mesha, ничего страшного в этом нет, вы просто установили NET Framevork,(видимо в процессе установки приложения или отдельно) это она автоматом добавляет такую учетную запись, удаляйть ее можно спокойно.

Дело в том, что я не устанавливала такую программу.

[mesha]

Прошу прощения, "Framework" есть, но вот установлен вместе с системой. А учетная запись появилась совсем недавно. Может такое быть?

[Saule]

Прошу прощения, "Framework" есть, но вот установлен вместе с системой. А учетная запись появилась совсем недавно. Может такое быть?

В логе нет ничего подозрительного

Что же касается папки, то она действительно связана с Microsoft и их технологиями/приложениями .NET:

http://www.asp.net/downloads/default.aspx?tabid=62

Учетная запись могла появиться после каких-либо обновлений, либо после запроса какой-либо программы дополнительных компонентов от Microsoft, тем более если Framework.NET сразу интегрированный в систему.

[Rasim]

привет всем!!!

Один троянчик сидит точно.

Юлия...

Огромнейшее тебе спасибо...

Кроме CDC.exe(это он у меня по клавише"Scroll Lock" дисковод открывает-закрывает), всё удалю, а вот реестру никакие запреты вроде бы не вводил.

Ещё раз спасибо!!! Пока