Помощь в лечении систем от нечисти

**Saule** · 8 августа, 2006

Saule: Експлорером почти не пользуюсь...
Может быть что-то и сестренка добавила (максимум, например), хотя как она умудрилась найти это...

Ладно, почищу, еще раз спасибо!!

Обычно подобное успевают сделать некоторые виды троянов перед тем, как ты или твой антивирус их удалит.

**filoluh** · 8 августа, 2006

Здравствуйте. У меня такая проблема - при работе в интернете, а также при выключении компьютера (уменя ноутбук, если это важно) почти постоянно "падает" система. При выключении после слов "завершение работы windows" появляется синий экран с непонятными закорюками. У меня стоит свежий Avast! (вирусов не нашел), AVZ с обновленной базой (тоже ничего), Outpost Firewall, CCleaner. Проверку дисков тоже проводила, все в порядке. А система падает регулярно.

Прилагаю лог. Заранее большое спасибо за ответ!

Logfile of HijackThis v1.99.1

Scan saved at 14:10:43, on 08.08.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\atievxx.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\TrafficCompressor\TCompres.exe

C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

E:\distributive\анти\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livejournal.com/users/filoluh/friends?filter=4

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [TrafficCompressor] C:\Program Files\TrafficCompressor\TCompres.exe /Autorun

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Semagic - C:\Program Files\Semagic\link.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Копировать в Semagic - C:\Program Files\Semagic\copy.htm

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

**Saule** · 9 августа, 2006

Здравствуйте. У меня такая проблема - при работе в интернете, а также при выключении компьютера (уменя ноутбук, если это важно) почти постоянно "падает" система. При выключении после слов "завершение работы windows" появляется синий экран с непонятными закорюками. У меня стоит свежий Avast! (вирусов не нашел), AVZ с обновленной базой (тоже ничего), Outpost Firewall, CCleaner. Проверку дисков тоже проводила, все в порядке. А система падает регулярно.

Скажите, программа TrafficCompressor у вас какой версии?

С ней было досточно много несовместимостей (конфликты в системе) и её постоянно из-за этого подправляют. Попробуйте деинсталлировать и установить самую последнюю версию.

P.S. И еще неплохо было бы видеть хотябы краткое содержание этих закорюк на синем экране.

**filoluh** · 9 августа, 2006

Скажите, программа TrafficCompressor у вас какой версии?

TrafficCompressor v0.5 Build 313 beta

Спасибо!

Попробую то, что Вы посоветовали.

Закорюки, к сожалению, в нечитаемой кодировке.

Могу вот только цифры и то, что по-английски:

в конце обычно bad_pool_caller

а где-то в середине следующее:

stop: 0x000000C2 (0x00000007, 0x0000CD4,Ox00003AAF,OxFF8E63EO)

а вирусов, значит, судя по логу, нет?

**filoluh** · 10 августа, 2006

Добавка:

Вчера при загрузке прямо этой страницы система упала с такими словами:

stop:0x0000008E(0x0000005,0xF98OCDF,0XFAOEC904,0X0000000)

TDI.SYS-ADDRESS FC980CBF BASE AT FC980000,DATESTAMP 3B7D8535

**Saule** · 10 августа, 2006

TrafficCompressor v0.5 Build 313 beta
Спасибо!

Попробую то, что Вы посоветовали.

а вирусов, значит, судя по логу, нет?

Актуальная версия TrafficCompressor на данный момент: 0.5.324 beta

И вирусов, судя по логу, действительно нету.

Что касается синего экрана, надписи STOP и кодов ошибок, то тебе нужно в следующий топик:

Ошибки "STOP" или "Синий экран смерти"

в конце обычно bad_pool_caller
а где-то в середине следующее:

stop: 0x000000C2 (0x00000007, 0x0000CD4,Ox00003AAF,OxFF8E63EO)

К примеру, ошибка 0x000000C2 означает, что один из процессов/драйверов режима ядра попытался выполнить недопустимую операцию с памятью (поврежденные/некорректно работающие драйвера устройств/программное обеспечение).

http://support.microsoft.com/kb/314492/RU/

Изменено 10 августа, 2006 пользователем Saule

**Saule** · 10 августа, 2006

Добавка:
Вчера при загрузке прямо этой страницы система упала с такими словами:

stop:0x0000008E(0x0000005,0xF98OCDF,0XFAOEC904,0X0000000)

Ошибка 0x0000008E возникает, если программа ссылается на ошибочный адрес памяти.

http://support.microsoft.com/kb/827663/RU/

**filoluh** · 10 августа, 2006

Спасибо!

**alex_avto** · 16 августа, 2006

Подскажите пожалуйста!! AVZ все время пишет:

>> Опасно ! Обнаружена маскировка процессов

>>>> Обнаружена маскировка процесса 904 SVCHOST.EXE

что это такое и как это лечить.... :(

**DarkSup** · 16 августа, 2006

Здравствуйте.

Попался на ловушку типа SpySheriff или AdWare -- десктоп не меняется, на нём висит картинка в виде чёрного квадрата со зловещими красными буквами.

Бухгалтер на перекрёстном допросе так и не призналась, что скачивала себе на машину... удалил всё лишнее, что нашёл, перелопатил весь реестр, запустил Eido -- картинка с квадратом исчезла, однако ничего делать с десктопом не разрешается по прежнему. Не подскажете, как это полечить?

На диске c: никаких *.htm - файлов нет.

Лог из hijackthis:

Logfile of HijackThis v1.99.1Scan saved at 20:46:17, on 09.08.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINCORP\System32\smss.exeC:\WINCORP\system32\winlogon.exeC:\WINCORP\system32\services.exeC:\WINCORP\system32\lsass.exeC:\WINCORP\system32\svchost.exeC:\WINCORP\System32\svchost.exeC:\WINCORP\system32\spoolsv.exeC:\WINCORP\Explorer.EXEC:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exeC:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exeC:\Program Files\ICQLite\ICQLite.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exeC:\cure\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /autoO4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exeO4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Direct -p USB -pn "" -n 0 -l  -sl 120000O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimizeO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -traybootO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{88BC92E9-F9E2-4294-9C18-5EC6153A2EA3}: NameServer = 192.168.1.1,212.44.130.6O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINCORP\system32\services.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINCORP\system32\imapi.exeO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINCORP\system32\mnmsrvc.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINCORP\system32\services.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINCORP\system32\HPZipm12.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINCORP\system32\sessmgr.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINCORP\System32\SCardSvr.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINCORP\system32\smlogsvc.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINCORP\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINCORP\system32\wbem\wmiapsrv.exe

**Saule** · 16 августа, 2006

картинка с квадратом исчезла, однако ничего делать с десктопом не разрешается по прежнему. Не подскажете, как это полечить?
На диске c: никаких *.htm - файлов нет.

Лог из hijackthis:

Скачайте, пожалуйста, программу Олега Зайцева - AVZ

Запускаем и находим в верхнем меню:

Файл > Восстановление системы

Затем отмечаем галочкой пункт "Восстановление настроек рабочего стола".

И нажимаем на кнопку "Выполнить отмеченные операции".

**Saule** · 16 августа, 2006

Подскажите пожалуйста!! AVZ все время пишет:
>> Опасно ! Обнаружена маскировка процессов

>>>> Обнарукажена маскиров процесса 904 SVCHOST.EXE

что это такое и как это лечить....

Вы не могли бы приложить полный лог AVZ?

**alex_avto** · 16 августа, 2006

Вы не могли бы приложить полный лог AVZ?

1. Вот полный лог AVZ:

ротокол антивирусной утилиты AVZ версии 4.16

Сканирование запущено в 16.08.2006 23:38:30

Загружена база: 33448 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 16.08.2006 11:12

Загружены микропрограммы эвристики: 359

Загружены цифровые подписи системных файлов: 51225

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

1. Поиск RootKit и программ, перехватывающих функции API

>> Опасно ! Обнаружена маскировка процессов

>>>> Обнаружена маскировка процесса 964 SVCHOST.EXE

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo

Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo

Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo

Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo

Функция kernel32.dll:OpenProcess (629) перехвачена, метод APICodeHijack.JmpTo

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo

Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo

Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo

Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo

Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo

Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo

Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo

Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo

Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo

Анализ wininet.dll, таблица экспорта найдена в секции .text

Функция wininet.dll:HttpOpenRequestA (203) перехвачена, метод APICodeHijack.JmpTo

Функция wininet.dll:HttpOpenRequestW (204) перехвачена, метод APICodeHijack.JmpTo

Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo

Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo

Функция wininet.dll:InternetReadFile (272) перехвачена, метод APICodeHijack.JmpTo

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Функция ZwOpenProcess (7A) перехвачена (8057459E->FBEA068C), перехватчик C:\Program Files\ewido anti-malware\guard.sys

Функция ZwTerminateProcess (101) перехвачена (8058AE1E->F9FEF210), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Функция ZwWriteVirtualMemory (115) перехвачена (8057C123->F9FEF170), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Проверено функций: 284, перехвачено: 3, восстановлено: 0

2. Проверка памяти

Количество найденных процессов: 21

Количество загруженных модулей: 271

Проверка памяти завершена

3. Сканирование дисков

C:\Documents and Settings\Саша\Local Settings\Temporary Internet Files\Content.IE5\0Q2CGJO7\CAFULW5J.php%3Fshowforum%3D33&cc=100&u_h=600&u_w=800&u_ah=570&u_aw=800&u_cd=32&u_fs=t&u_tz=180&u_his=6&u_java=true&u_plist=ar5,f7,q4,qp,wmp,svg Cannot open file "C:\Documents and Settings\Саша\Local Settings\Temporary Internet Files\Content.IE5\0Q2CGJO7\CAFULW5J.php%3Fshowforum%3D33&cc=100&u_h=600&u_w=800&u_ah=570&u_aw=800&u_cd=32&u_fs=t&u_tz=180&u_his=6&u_java=true&u_plist=ar5,f7,q4,qp,wmp,svg". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом

C:\Documents and Settings\Саша\Local Settings\Temporary Internet Files\Content.IE5\UKILMHDO\index[4].php Cannot open file "C:\Documents and Settings\Саша\Local Settings\Temporary Internet Files\Content.IE5\UKILMHDO\index[4].php". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-501a5588-37b94f2e.zip/{ZIP}/Counter.class >>>>> Trojan.Java.ClassLoader.i

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-501a5588-37b94f2e.zip/{ZIP}/VerifierBug.class >>>>> Trojan.Java.ClassLoader.k

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jrl.jar-8e51641-1f870208.zip/{ZIP}/GetAccess.class >>>>> Trojan-Downloader.Java.OpenConnection.aj

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jrl.jar-8e51641-1f870208.zip/{ZIP}/Installer.class >>>>> Trojan-Downloader.Java.OpenConnection.aj

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-40db2b37-13287f4f.zip/{ZIP}/GetAccess.class >>>>> Trojan.Java.ClassLoader.c

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-40db2b37-13287f4f.zip/{ZIP}/InsecureClassLoader.class >>>>> Exploit.Java.Bytverify

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-40db2b37-13287f4f.zip/{ZIP}/Dummy.class >>>>> Trojan.Java.ClassLoader.Dummy.a

C:\Documents and Settings\Саша\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-40db2b37-13287f4f.zip/{ZIP}/Installer.class >>>>> Trojan-Downloader.Java.OpenConnection.v

D:\СД2\Интернет\robeta.zip Invalid file - not a PKZip file

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\mskh32.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\mskh32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 319 описаний портов

На данном ПК открыто 5 TCP портов и 11 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 71519, извлечено из архивов: 39908, найдено вредоносных программ 8

Сканирование завершено в 16.08.2006 23:59:28

Сканирование длилось 00:20:58

2. Почему то AVZ не удоляет эти Трояны

3. Постоянно пишет, но этого файла(mskh32.dll) не могу найти на диске

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\mskh32.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\mskh32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

**DAV** · 17 августа, 2006

Доброго времени суток всем посетителям форума!

У меня вот какой вопрос: под виндой запущен целый ряд процессов, которые появляются даже сразу после установки винды на чистый компьютер. Хотелось бы знать, что они такое и за что они отвечают. Вот список этих процессов:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

Заранее спасибо!

**DoctorG** · 17 августа, 2006

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe сеанс входа в систему виндовс

C:\WINDOWS\system32\services.exe Службы виндовс

C:\WINDOWS\system32\lsass.exe Системный процесс

C:\WINDOWS\system32\svchost.exe Системный процесс

C:\WINDOWS\System32\svchost.exe Системный процесс

C:\WINDOWS\system32\spoolsv.exe Системный процесс

C:\WINDOWS\system32\VTTimer.exe Какая то твоя прога

C:\WINDOWS\system32\VTtrayp.exe От той же какой то твоей проги

C:\WINDOWS\system32\ctfmon.exe - Мониторинг языковой панели

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

**Saule** · 17 августа, 2006

3. Постоянно пишет, но этого файла(mskh32.dll) не могу найти на диске

Верно, т.к. этот червь маскируется с помощью руткита.

И в системный процесс - SVCHOST.EXE - внедряется именно библиотека mskh32.dll, которая в вашем случае и является вирусом (на 100%).

-------------

Для его удаления вам обязательно нужно перезагрузить компьютер в безопасный режим (Safe Mode), по-другому действительно ничего не получится.

Безопасный режим:

при появлении меню загрузки Windows нужно нажать клавишу

F8

, и на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

Если будете сканировать с помощью AVZ, то перед сканированием обязательно поставьте галочку рядом с надписью "Выполнять лечение":

В дополнение было бы неплохо скачать бесплатный сканер Dr.Web - CureIT и также просканировать с его помощью память и диски компьютера, удаляя найденные инфицированные файлы:

http://download.drweb.com/drweb+cureit/?lng=ru

Только еще раз напомню, что запускать сканер нужно обязательно в безопасном режиме.

-------------

После удаления и перезагрузки компьютера в нормальный режим, было бы неплохо на всякий случай сделать лог с помощью программы HijackThis (включить и нажать на кнопку "Do a systemscan and save a logfile") и скопировать его в сюда, в сообщении.

Плюс если с программами, предназначенными для компьютерной безопасности (антивирус, файрвол и т.д.) наблюдаются глюки (т.к. данный червяк на это запрограммирован) - для восстановления их нормальной работы сделайте их полную переустановку.

**Saule** · 17 августа, 2006

Доброго времени суток всем посетителям форума!
У меня вот какой вопрос: под виндой запущен целый ряд процессов, которые появляются даже сразу после установки винды на чистый компьютер. Хотелось бы знать, что они такое и за что они отвечают.

На будущее: Справочник по процессам Windows

--------------

smss.exe (находится в папке WINDOWS\system32) - Session Manager Subsystem.

Системный процесс, обрабатывающий сессии/сеансы пользователя (в частности, запуск процессов Winlogon и Win32 (сsrss.exe) и установка системных переменных).

winlogon.exe (находится в папке WINDOWS\system32) - Microsoft Windows Logon Process.

Системный процесс, обрабатывающий процедуру входа пользователя в систему и выхода из нее.

services.exe (находится в папке WINDOWS\system32) - Windows Service Controller.

Диспетчер управления системными службами, ответственный за их запуск и остановку, а также взаимодействие с ними.

lsass.exe (находится в папке WINDOWS\system32) - Local Security Authority Service.

Системный процесс, связанный с локальной защитой и механизмами безопасности Microsoft Windows (проверка пользователей в службе Winlogon и проверка подлинности процессов, запускаемых этим пользователем).

spoolsv.exe (находится в папке WINDOWS\system32) - Microsoft Printer Spooler Service.

Системный процесс, управляющий распределением памяти при отправке заданий на печать и передачу факсимильных сообщений.

svchost.exe (находится в папке WINDOWS\system32) - Microsoft Service Host Process.

Системный процесс, который обрабатывает службы, запускаемые из различных DLL-библиотек.

Одновременно могут быть запущены несколько его экземпляров (с разными PID*), так как он вызывается каждый раз при запуске этих служб (примерный список служб, запускаемых с помощью svchost.exe: Alerter; Application Management; COM+ Event System; Computer Browser; Server; DHCP Client; Distributed Link Tracking Client; DNS Client; Logical Disk Manager; Messenger; Remote Access Auto Connection Manager; Remote Procedure Call (RPC); Remote Access Connection Manager; Remote Registry Service; Remote Registry Service; Removable Storage; Routing & Remote Access; System Event Notification; Task Scheduler; Telephony; Windows Time).

Также svchost.exe в процессе загрузки на основании записей в реестре составляет список служб, которые необходимо автоматически запустить.

VTTimer.exe и VTtrayp.exe - S3 Screentoys и S3 Screentoys Helper.

Процессы, принадлежащие продуктам Multimedia S3 Graphics Co (драйвера VIA Graphics Card Driver) и обеспечивающие дополнительные функциональные возможности для этих устройств.

ctfmon.exe (находится в папке WINDOWS\system32) - Alternative User Input Services.

Индикатор раскладки клавиатуры в Windows XP. На других ОС устанавливается вместе с MS Office.

MDM.exe - Machine Debug Manager.

Системный процесс, используемый для отладки программ в Visual Studio и обеспечивающий работу компонентов MS Office, а также помогающий отлаживать ошибки в скриптах IE.

--------------

* PID - идентификатор процесса.

**bnokus** · 17 августа, 2006

Привет! После посещения какого-то сайта стали периодически открываться окна с рекламой каких-то ублюдочных смайликов. Открываются 3 окна подряд примерно каждые 3 минуты даже если я ничего не делаю и даже если в этот момент нет инета (в этом случае- окна пустые) Помогите плз убрать эту напасть!!!

PS вот адрес на одном из всплывающихся окон http://www.bigdispatch.com/a124171064.html (если это поможет)

**Saule** · 17 августа, 2006

Привет! После посещения какого-то сайта стали периодически открываться окна с рекламой каких-то ублюдочных смайликов. Открываются 3 окна подряд примерно каждые 3 минуты даже если я ничего не делаю и даже если в этот момент нет инета (в этом случае- окна пустые) Помогите плз убрать эту напасть!!!
PS вот адрес на одном из всплывающихся окон http://www.bigdispatch.com/a124171064.html (если это поможет)

Ксли есть желание, скачайте HijackThis, распакуйте и запустите.

Дальше нажимаем на кнопку "Do a systemscan and save a logfile", после чего программа автоматически выдаст свой лог, содержимое которого просто скопируйте в своё сообщение.

**bnokus** · 17 августа, 2006

Ксли есть желание, скачайте HijackThis, распакуйте и запустите.

Дальше нажимаем на кнопку "Do a systemscan and save a logfile", после чего программа автоматически выдаст свой лог, содержимое которого просто скопируйте в своё сообщение.

вот!

Logfile of HijackThis v1.99.1

Scan saved at 22:54:50, on 17.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe

C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\TEMP\Rar$EX00.641\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\ugimdmat.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe

O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Saule** · 18 августа, 2006

вот!
Logfile of HijackThis v1.99.1

У вас инфекция Look2Me.

Лечение:

Скачиваем на рабочий стол Look2Me-Destroyer.exe, после чего закрываем все открытые окна и запускаем эту программу.

Ставим галочку рядом с надписью "Run this program as a task".

Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute...".

Нажимаем OK (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.

При повторном включении программы нажимаем на кнопку "Scan for L2M".

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M".

Затем ОК и, когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого ваш компьютер самостоятельно выключится.

Включаем его обратно, чтобы удостовериться, что рекламные окошки больше не появляются.

**КысЪ** · 20 августа, 2006

Приветствую!

почитала немного ваш форум, решила задать свой вопрос, может, сможете мне помочь, и надеюсь, создала именно в том топе, где следует )

есть две проблемы, скорее всего, не взаимосвязанные.

1) avast обнаружил в c/windows/system32/reset5.exe

насколько я поняла, reset5 - это кряк для винды, отключающий необходимость активации

вирус назвался Win32.Trojan-gen

полазив по интернету, я так и не поняла, вирус это или антивирусник по договоренности с производителями ос заключил сделку, чтобы гонять нелицензионных юзеров.

аваст кроме этого файла больше ничего подозрительного не обнаружил, лечить файл, впрочем, отказался.

нужно ли мне удалять этот файл и заменять на новый, или не стоит беспокоиться? винда была переустановлена буквально меньше месяца назад.

2) приблизительно 2-3 месяца назад возникла проблема с перегреванием бука.

отнесла в сервис - сказали, что около кулера перегорела какая-то маленькая черная штучка и ее заменили (как именно называется - не знаю). но это не решило проблему - кулер перестал жужжать, но по-прежнему перегревается и отключается 2-3-4 раза в день.

не может ли это быть вызвано каким-то конфликтом в работе программ или перегрузкой? 256 оперативки на винХП достаточно?

буду очень благодарна за помощь и совет, заранее благодарю.

**Jein** · 20 августа, 2006

Здравствуйте!

Помогите, пожалуйста разобраться.

Сегодня по почте получили письмо с расширением rar

Знакомая случайно запустила. Так как затем никакого архива не последовало, решила, что может быть вирус.

Скачала DrWeb, он выдал 2 файла srvany.exe как вирусы со статусом Program.SrvAny. Вылечить не смог, но смог удалить. Прочла в инете, что возможно это был файл для нелецензионного Windows. Как-то странно ведёт себя инет.

Запустила HijackThis, вот что он выдал:

Logfile of HijackThis v1.99.1

Scan saved at 1:16:01, on 21.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

G:\steam\steam.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\TEMP\Rar$EX00.023\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [steam] "g:\steam\steam.exe" -silent

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED42987-A227-4B31-A56C-9782B24AFE0B}: NameServer = 195.54.192.33,195.54.192.39

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe