Помощь в лечении систем от нечисти

[Laren]

Подобное имело место около двух месяцев назад. Имеется в виду ложное срабатывание Аваста (которое получалось из-за слишком разреженной сигнатуры) на приложение для активации Windows - Reset5. Но после первого же обращения к разработчикам, эту ошибку сразу исправили

Привет Saule

Если помнишь, я уже писал здесь раньше про этот reset5 , так вот, Аваст почему то все таки снес у меня этот файл без возможности восстановить. Не подскажешь, чем это может грозить системе и где его можно найти в инете?

[SERGSM]

Ну что за урод здесь завелся!!! Три дня назад читаю эту конфу, получаю удовольствие, как вдруг заверещал OUTPOST, на атаку пожаловался, бог с ним, думаю, ан нет тут же системный процесс 32 начал ломиться в интернет, да так настойчиво... По опыту (грустному)знаю, что это ж-ж-ж-ж-ж-ж- не спроста. По очереди запустил TAUSKAN. AVZ. AVAST. F-SECURE. НИКТО НИЧЕГО НЕ ВИДИТ! !! А этот процесс все на воля да на волю... Ладно, отформатировал систему, восстановил(благо ACRONIS еще никто не отменил!), все прошло. Около 2 часов назад опять все повторилось, мой любимец PUNTO SWITCHER, обычно белый и пушистый опять же начал ломиться в интернет как больной, и опять никто ничего не видит.Снес я его. Все прошло. Минут 20 назад, опять по тем же портам, опять на этом же сайте, таже история. Жду очередной бесиловки от какого- нибудь BEHOLDERа. Опять систему сносить?

[КысЪ]

Добрый вечер еще раз ;)

Спасибо, что откликнулись ) ;)

по поводу reset5.exe - отослала Вам на мыло письмо

по поводу лога, привожу ниже:

Logfile of HijackThis v1.99.1

Scan saved at 23:33:48, on 21.08.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\T-Mobile Communication Centre\Centre.exe

C:\Program Files\GPRSpeed Plus\GPRSpeed Plus Client\NGSpawner.exe

C:\Program Files\GPRSpeed Plus\GPRSpeed Plus Client\GPRSpeed_c.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Ks\LOCALS~1\Temp\Rar$EX01.386\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:9090 ftp=localhost:9093 https=localhost:9092

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [T-Mobile Communication Centre] C:\Program Files\T-Mobile Communication Centre\Centre.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: GPRSpeed Plus Client.lnk = C:\Program Files\GPRSpeed Plus\GPRSpeed Plus Client\NGSpawner.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: ФЪFoxmailЦРМнјУёГRSSЖµµА/ЖµµАЧй - res://C:\WINDOWS\System32\fmrsslink.dll/201

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{880B5BEE-23FF-43AF-B4B3-C2AE69EB2B82}: NameServer = 62.141.0.1 62.141.0.2

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

спасибо!

[KaCCNp]

Добрый день если вас не затруднит немоглили вы мне помочь заранее благодарю

мой лог

Logfile of HijackThis v1.99.1

Scan saved at 6:41:54, on 22.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINDOWS\Mixer.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\rpcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Alwil Software\Avast4\ashChest.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Downloads\Архивы\hijackthis\HijackThis.exe

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - Startup: Инструмент проверки носителя для Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O21 - SSODL: CallBack Ware - {8e29f930-135a-4568-3338-24cbc8cbbfc1} - C:\WINDOWS\system32\pisia32.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Saule]

по поводу reset5.exe - отослала Вам на мыло письмо

Если помнишь, я уже писал здесь раньше про этот reset5 , так вот, Аваст почему то все таки снес у меня этот файл без возможности восстановить.

КысЪ

Если avast! и у Laren'a ведет себя также, то в этом случае прошу прощение, устаревшими базами проверяла я, а не вы. У пользователей, видимо, они обновляются намного быстрее

Поэтому ваш файл reset5 - точно такой же, как и у остальных, кто с помощью этого приложения активировал свою Windows (т.е. опасности для вас не представляет). Чуть позже узнаю, почему его опять занесли в черный список, и если причина будет в ошибке или разреженной сигнатуре, то разработчики это вскоре исправят.

А пока просто постарайтесь игнорировать сообщения от Аваста об этом файле; либо занесите то, на что он ругается в исключения антивируса:

В верхнем меню Аваста выбираем:

Настройки > Исключения

Затем нажимаем на кнопку

Обзор

, и в открывшемся приложении находим в папке WINDOWS\system32 необходимые файлы.

Напротив каждого ставим галочку, после чего сделанные изменения сохраняем (т.е. везде жмем ОК).

И местонахождение кнопки меню в стандартном скине Аваста, т.к. немногие её там замечают:

по поводу лога, привожу ниже:

Активных вирусов в логе у вас не присутствует.

И что касается конфликтных программ - тоже ничего в глаза не бросается. Поэтому уверена, что проблема остановки компьютерных кулеров всё же не в этом.

-----------------

Не подскажешь, чем это может грозить системе и где его можно найти в инете?

Laren

Системе по идее это может грозить только тем, что Windows через какое-то время начнет у тебя просить денежку.

Если же ты уверен, что этого точно не произойдет (т.к. насколько я помню, у тебя стоит SP2), то, наверное, можно не переживать.

И в случае чего - обращайся, пожалуйста, через ПМ, так как на форуме всё-таки запрещено обсуждать приложения, связанные с незаконной регистрацией какого-либо софта.

[Saule]

Сегодня по почте получили письмо с расширением rar

Знакомая случайно запустила. Так как затем никакого архива не последовало, решила, что может быть вирус.

Скачала DrWeb, он выдал 2 файла srvany.exe как вирусы со статусом Program.SrvAny. Вылечить не смог, но смог удалить. Прочла в инете, что возможно это был файл для нелецензионного Windows. Как-то странно ведёт себя инет.

Jein

srvany.exe - это компонент Windows Resource Kit, благодаря которому можно запустить какую-либо программу в качестве системного сервиса/службы, даже если эта программа для этого не предназначена. И именно по этой причине srvany.exe занесен в список потенциально опасных, так как он и его технология легко может использоваться вирусами (в том числе и некоторыми приложениями для незаконной активации Windows).

Что касается именно вашего случая, то srvany.exe, скорее всего, был установлен вместе в приложением Reset5, остатки которого, не смотря на то, что они уже не нужны, у вас всё еще в системе присутствуют (не нужны из-за установленного пакета обновлений для Windows - Servise Pack 2). Поэтому его удаление на вашей системе сказаться никак не должно.

Далее. Попробуйте вспомнить, что именно последовало после попытки открыть то приложение с расширением rar.

Сообщение об ошибке? Или может текстовый файл, в котором, кроме непонятных иероглифов, ничего больше не было?

Либо постарайтесь объяснить в чем выражаются появившиеся странности интернета.

Т.к. в логе ничего подозрительного не видно(

Либо, если письмо сохранилось, перешлите его мне на мейл: saule[at]sp0raw.ru, тогда с установкой диагноза всё будет гораздо проще. Но вероятность того, что вы всё-таки чем-либо заразились - совсем небольшая.

Плюс к вашей текущей проблеме никак не относиться, но если стартовая страничка браузера (APEHA.ru) была установлена не вами, а какой-либо игрой, то для "избавления" от неё можете пофиксить* с помощью HijackThis следующую строчку:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru

------------------

пофиксить* - открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"

Изменено 23 февраля, 2007 пользователем Saule

[Jein]

...

Далее. Попробуйте вспомнить, что именно последовало после попытки открыть то приложение с расширением rar.

Сообщение об ошибке? Или может текстовый файл, в котором, кроме непонятных иероглифов, ничего больше не было?

Либо постарайтесь объяснить в чем выражаются появившиеся странности интернета.

Т.к. в логе ничего подозрительного не видно(

Либо, если письмо сохранилось, перешлите его мне , тогда с установкой диагноза всё будет гораздо проще...

Спасибо огромное!

При его открытии ничего не произошло. Opera сразу запустила загрузку и ...тишина. Такой архив через поиск не нашёлся. Это и насторожило! (Был печальный опыт, когда пришлось переустанавливать Windows)

А инет плохо загружал страницы, зависал на ровном месте, чтобы перейти на следущую стр. надо было нажимать стрелку назад , такого раньше никогда не было! Измучилась, пока пыталась прочесть форум и написать ответ. Может это и ни при чём, так как сегодня всё вроде работает обычно.

Письмо сохранилось, отправила Вам (название не меняла "Fw: 571")

P.S. простите чайника.

[Saule]

Рабочий стол блокирован полностью. Кнопка пуск - только интернет, сетевое окружение, принтеры и факсы. На панели управления справа где время написано слово на букву "Б". И вообще, где должно указываться время стоит это слово.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: МОЯ ПИЗДА СГНИЛА И ХУЙ ПРОТУХ ::::::::::::::::::

O4 - HKLM\..\Run: [ALG] C:\WINDOWS\ime\imkr6_1\dicts\SVCHOST.exe

O4 - HKLM\..\Run: [sERVICES] C:\WINDOWS\WinSxS\Manifests\SMSS.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Затем на кнопку "Fix Checked".

2. Скачиваем AVZ

Запускаем и находим в верхнем меню:

Файл > Восстановление системы

Затем в открывшемся приложении ставим галочки напротив всех пунктов и нажимаем на кнопку "Выполнить отмеченные операции".

3. Перезагружаем компьютер.

4. Открываем Control Panel/Панель управления.

Folder Options > View > Advanced settings (Свойства папки > Вид > Дополнительные параметры)

Изменяем настройку "Hidden files and folders/Скрытые файлы и папки" на "Show hidden files and folders/Показывать скрытые файлы и папки".

Затем находим папки Windows и Program Files, заходим в их свойства и убераем оттуда атрибут "hidden/скрытый".

Сохраняем изменения.

5. Открываем Control Panel/Панель управления > Regional and Language Options/Язык и региональные стандарты

И затем временно измените региональные настройки (сначало на любой другой регион, а затем обратно на тот, который у вас установлен).

Это вернет ваши часы в трее.

Если какие-либо последствия трояна всё же остануться (т.к. его постоянно модифицируют и там вполне могут появиться новые функции), то вам придеться их описать.

[Мистик]

Если какие-либо последствия трояна всё же остануться (т.к. его постоянно модифицируют и там вполне могут появиться новые функции), то вам придеться их описать.

:) Пасиба, огромное!!! Что бы я без Вас делала!!!! Тока, вот атрибуты папок Windows и Program Files не меняются! :) значок скрытый отмечен и неактивен! Убрать его я не могу.

[Saule]

:) Пасиба, огромное!!! Что бы я без Вас делала!!!! Тока, вот атрибуты папок Windows и Program Files не меняются! :) значок скрытый отмечен и неактивен! Убрать его я не могу.

Мистик

Тогда делаем это следующим образом:

Start > Run (Пуск > Выполнить)

Вписываем

cmd

Нажимаем ОК.

В появившемся приложении вписываем, либо копируем с помощью мышки, две следующие строчки (после каждой нажимая на ENTER):

attrib -s -h -r c:\windows

attrib -s -h -r "c:\program files"

Плюс забыла сказать об удалении файлов трояна (но в любом случае они на данный момент уже не активны). Удалите вручную:

C:\WINDOWS\ime\imkr6_1\dicts\SVCHOST.exe

C:\WINDOWS\WinSxS\Manifests\SMSS.exe

А также, если трояном были созданы какие-либо пустые посторонние папки (например, "Типа WINDOWS", "062014622823780" и т.п.) - тоже желательно удалить, чтобы лишний раз не загрязнять диск.

-----------------

Ну что за урод здесь завелся!!! Три дня назад читаю эту конфу, получаю удовольствие, как вдруг заверещал OUTPOST, на атаку пожаловался, бог с ним, думаю, ан нет тут же системный процесс 32 начал ломиться в интернет, да так настойчиво... По опыту (грустному)знаю, что это ж-ж-ж-ж-ж-ж- не спроста. По очереди запустил TAUSKAN. AVZ. AVAST. F-SECURE. НИКТО НИЧЕГО НЕ ВИДИТ! !!

SERGSM

Не смотря на достаточно эмоциональный рассказ, информации очень мало.

Поэтому, если решить проблему всё-таки не удасться, приложите, пожалуйста, лог программы HijackThis. Достаточно сложно что-либо советовать, не зная даже какая операционная система у вас установлена.

Но пара советов:

Во-первых, если вы используйте антивирус от F-Secure и если там есть вариант расширенных антивирусных баз, как это есть у Касперского (т.к. F-Secure - это аналог Касперского), то сделайте проверку, используя их.

Если такой возможности F-Secure не предоставляет, то попробуйте просканировать систему утилитой от Dr.Web - Cureit.

Плюс проверьте наличие в вашей системе заплатки KB889293 от Microsoft:

Internet Explorer 6 SP1 для Windows 2000/XP SP1

Internet Explorer 6 SP1 для Windows 98/NT/ME

[Saule]

Добрый день если вас не затруднит немоглили вы мне помочь заранее благодарю

мой лог

KaCCNp

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O21 - SSODL: CallBack Ware - {8e29f930-135a-4568-3338-24cbc8cbbfc1} - C:\WINDOWS\system32\pisia32.dll

Затем на кнопку "Fix Checked".

2. Избавляемся от всех временных файлов системы.

Либо с помощью специальной программы, например

CleanUp

(инсталлируем, запускаем и нажимаем на кнопку CleanUp) или

ATF-Cleaner

(удобен тем, что не требует инсталляции).

Либо в ручную:

1) Идем сюда - C:\Windows\Temp

И удаляем всё содержимое.

2) Далее: Start > Run

вписываем %temp%

Откроеться Temp фолдер. Также удаляем всё его содержимое.

3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.

3. Перезагружаем компьютер.

4. Удаляем файлы:

C:\WINDOWS\system32\rpcc.exe

C:\WINDOWS\system32\stonedrv.exe

C:\WINDOWS\system32\pisia32.dll

5. После обязательно делаем сканирование Ewido, так как муссора эти троянские приложения вам, наверняка, накачали целую кучу, но с помощью лога этого не найти((

Либо он-лайн:

Ewido (через Active-X)

Ewido (микросканер, без Active-X)

Либо через установку триал-версии:

Ewido anti-spyware

http://www.ewido.net/en/download/' rel="external nofollow">

[SERGSM]

Здравствуйте, SAULE. Очень рад, что ВЫ обратили на меня СВОЕ внимание. Постараюсь впредь эмоции сдерживать,несмотря на то, что за последние 2 дня колличество атак перевалило за 28, тогда как за последние пол года не более 10. Каким уж медом я намазан...? 20 минут назад взбесился OUTPOST 3.51. Перестал выпускать в интернет, потом подключил меня "непонял куда"-черный экран, крокозябры.Снес и его. На моей машине- 2 системы (одна основная, для работы, другая- вспомогательная для интернета, всяческих издевательств над XP. игрушки.) И в каждой установлена своя система защиты. AVZ работает больше года, одни плюсы. Обновления от MICROSOFT выключены с рождения. Около 2 недель стоял XSOFT ( только тапочками не бросайтесь!!!), сложилось у меня мнение, что он и есть один большой троян... ЛоLogfile of HijackThis v1.99.1

Scan saved at 16:10:42, on 23.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ASUS\Asus Probe\AsusProb.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\StopHid.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\BeholdTV\Agent\BhAgent.exe

C:\Documents and Settings\user1\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [stopHid] StopHid.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: BhAgent.lnk = C:\Program Files\BeholdTV\Agent\BhAgent.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

г после переустановки OUTPOST. СПАСИБО!

[Saule]

еще на рабочем столе обои как-то по чудному выладиываются! Так же было когда были блокированны значки. Обои как бы смещались!!! Чо делать???????

Мистик

Скачайте этот reg-файлик:

wallpaper.rar

Затем распакуйте и запустите wallpaper.reg.

На вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, ответьте Yes/Да.

И чтобы эти изменения вступили в силу, компьютер нужно перезагрузить.

--------

Либо, если вам уже приходилось самостоятельно работать с реестром (Start > Run; вписать regedit; нажать на ОК), то нужно просто удалить параметры "WallpaperOriginX" и "WallpaperOriginY" из следующего ключа:

HKEY_CURRENT_USER\Control Panel\Desktop

wallpaper.rar

Изменено 23 августа, 2006 пользователем Saule

[SERGSM]

Последнее сканирование avz::\Program Files\Common Files\Agnitum Shared\aupdate\Downloaded Files\spy5_main.zip Invalid file - not a PKZip file\Documents and Settings\user1\Local Settings\Temporary Internet Files\Content.IE5\K1YJWTYF\spy5_main[1].zip Invalid file - not a PKZip file

[Мистик]

SAULE Огромное спасибо!!! :) Ну, просто огромнейшее!!!!

[TVS]

Saule, сканер Доктор вэб нашел вот это, что с ним сделать?

Пока оставила как есть.

----------------

Пришла с работы - файлика след простыл, наверное кто-то тут без меня его удалил с помощью DrWeb-а, которого я оставила сканировать диск.

Нужен он был или нет? Может быть его из второй точно такой же винды скопировать в эту? Или еще раз повторно запустить ту самую программку? Беда в том, что это Windows XP s.p.1.

Изменено 24 августа, 2006 пользователем TVS

[Saule]

Здравствуйте, SAULE. Очень рад, что ВЫ обратили на меня СВОЕ внимание. Постараюсь впредь эмоции сдерживать,несмотря на то, что за последние 2 дня колличество атак перевалило за 28, тогда как за последние пол года не более 10. Каким уж медом я намазан...? 20 минут назад взбесился OUTPOST 3.51. Перестал выпускать в интернет, потом подключил меня "непонял куда"-черный экран, крокозябры.Снес и его. На моей машине- 2 системы (одна основная, для работы, другая- вспомогательная для интернета, всяческих издевательств над XP. игрушки.) И в каждой установлена своя система защиты. AVZ работает больше года, одни плюсы. Обновления от MICROSOFT выключены с рождения. Около 2 недель стоял XSOFT ( только тапочками не бросайтесь!!!), сложилось у меня мнение, что он и есть один большой троян...

Не совсем понятно, что за программа имелась в виду под названием XSOFT.

Но предполагаю, что речь шла о XoftSpy (www.xsoftspy.com - один из её многочисленных доменов). Если это так, то мнение у вас сложилось верное. Какое-то время обратно, я уже о ней упоминала:

http://www.softboard.ru/index.php?s=&s...st&p=269065

--------------------

С проблемами Outpost'а лучше обращаться в этот топик, так как я толком этот файрвол не знаю:

http://www.softboard.ru/index.php?showtopic=12498&st=520

То же самое касается и атак. Ведь о них вам сообщает именно Outpost? Атаках какого вида? И не относятся ли адреса атакующих к диапазону IP вашего провайдера?

Кстати, 28 атак за два дня - вполне нормальная ситуация. Плюс сам детектор файрвола распознает атаки с определенной долей вероятности (к примеру, сканирование портов фиксируется, когда с одного удаленного хоста за определенный промежуток времени получено несколько подозрительных пакетов, т.е. с тем же успехом вы сами можете в это время обращаться к какому-либо web-серверу, а он давать ответ).

Многие просто отключают в настройках файрвола визуальное оповещение об атаках и больше по этому поводу не беспокоятся, так как в любом случае эти атаки будут отражены.

--------------------

Что касается лога, то я бы убрала из автозагрузки (открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужную строчку и затем на кнопку "Fix Checked") следующее:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Это Realtek Event Monitor, используемый Realtek для собирания некоторой информации о своих клиентах. В принципе ничего страшного в этом нет, но и ничего хорошего нет тоже.

В общем, это полностью на ваше усмотрение (на работе аппаратных средств, аудио звука или драйверов от Realtek отключение этого монитора никак не отразится).

Системных процессов 32, о которых вы упоминали в первом сообщении - не вижу.

И еще мне не совсем понятны причины отключения обновлений Microsoft :)

--------------------

Последнее сканирование avz::\Program Files\Common Files\Agnitum Shared\aupdate\Downloaded Files\spy5_main.zip Invalid file - not a PKZip file\Documents and Settings\user1\Local Settings\Temporary Internet Files\Content.IE5\K1YJWTYF\spy5_main[1].zip Invalid file - not a PKZip file

Формулировка "Invalid file - not a PKZip" означает, что AVZ не удалось распаковать данный .zip-архив (следовательно, файл либо поврежден, либо .zip-архивом не является).

И путь к файлу говорить о том, что это было обновление базы для Outpost'a. Один экземпляр находится на системном диске, другой - во временных файлах интернета.

[SERGSM]

Здравствуйте,SAULE. Однако! Огромный букет прекрасных и любимых цветов - ВАМ! Конечно же XOFTSPY (чтоб ему грустно стало!) Пожалуй действительно стоит загрубить оповещение об атаках. Лог убрал, нечего мне в спину смотреть! В avz напрягла строчка: spy 5. Обновления WINDOWS? Всегда считал их

самым простым поводом забраться в мою машину.Стоит задуматься. Огромнейшее спасибо!!! Успехов!

[Saule]

Saule, сканер Доктор вэб нашел вот это, что с ним сделать?

Пока оставила как есть.

Еще раз повторю, что приложение srvany.exe используется в тех случаях, когда вам необходимо запустить какую-либо программу как системную службу (как бы в фоновом режиме, без интерфейса). Т.е. включаться в качестве службы будет именно srvany.exe, и уже через него запускаться нужная вам программа, прописанная в его параметрах.

К примеру, служба Reset 5.

В системе присутствуют 2 её процесса:

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

Но сама служба только одна:

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

Но использовать подобным образом srvany.exe могут как полезные программы, так и вредоносные (т.е. наличие этого файла на компьютера является определенным риском), поэтому разработчики антивирусов пришли к такому выводу, что на всякий случай о таких приложениях (двойного назначения) пользователя нужно обязательно предупреждать.

--------------------

Удалить его можно в том случае, если он не нужен и вашей системой не используется.

Т.е. открываем любой менеджер, в котором есть возможность видеть все активные процессы вашей системы и ищем среди них srvany.exe.

Если его нет - он вам не нужен.

Если есть - попробуйте установить, какая именно служба его использует (хотя бы воспользовавшись логом HijackThis).

Дальше уже на ваше усмотрение.

Если служба Reset 5 вам необходима (грубо говоря, эта служба отвечает за сбрасывание счетчика и заставляет Windows думать, что до её активации осталось 30 дней), то трогать srvany.exe не желательно, не смотря на то, что какое-то время никаких изменений в работе компьютера происходить не будет.

[Saule]

Обновления WINDOWS? Всегда считал их

самым простым поводом забраться в мою машину.Стоит задуматься.

Я бы сказала как раз наоборот - без регулярных обновлений Windows ваш компьютер становится очень уязвимым и легкодоступным для несанкционированного доступа. Как вы думаете, для чего их в таком случае выпускают? Да еще так часто... (в этом месяце, к примеру, 9 критических и 3 существенных).

http://www.microsoft.com/rus/security/bulletin/default.mspx

Как только обнаруживается какая-либо очередная уязвимость (дырка), её необходимо обязательно закрыть (заплаткой). Так как для использования и работы некоторых (т.е. для несанкционированного доступа на ваш компьютер), от пользователя (т.е. от вас) даже не требуется никаких действий.

Также отсутствие критических (важных) обновлений Windows во многих случаях объясняет ситуации, когда удаленный вами вирус постоянно появляется вновь и вновь. Т.е. пока вы не залатаете ту дырку, через которую он к вам лазает - его удаление просто бесполезно.

[SERGSM]

Вот так! Коротко, ясно и очень доходчиво. Еще раз- огромное спасибо!

[Laren]

Если служба Reset 5 вам необходима (грубо говоря, эта служба отвечает за сбрасывание счетчика и заставляет Windows думать, что до её активации осталось 30 дней),

Так эта служба оказывается нужна для сбрасывания счетчика?

Хорошо, а если файл этой службы присутствует на лицензионной версии Windows, то что это озночает, Что система все-таки левая или как?

Она вообще нужна или нет, если винда лицензионная и уже активированная?

[TVS]

Так эта служба оказывается нужна для сбрасывания счетчика?

Хорошо, а если файл этой службы присутствует на лицензионной версии Windows, то что это озночает, Что система все-таки левая или как?

Она вообще нужна или нет, если винда лицензионная и уже активированная?

Laren, эта служба может быть в лицензионной активированной винде, если она поставлена поверх предыдущей, в которой эти службы действовали. Мне так кажется. Если винда абсолютно новая и там есть эта служба - то значит что-то тут не так! :)

Saule, спасибо за ответ.

Файл скопировала на место из второй винды.

Но компьютер глючит. Когда пишешь в инете сообщения в форум, или просто при выключенном инете печатаешь в текстовом редакторе, неожиданно курсор мыши начинает стремительно двигаться вниз по странице без всякой надежды на остановку. Помогает закрытие программы. Затем может начаться а может и не начаться мигание всего, что есть на экране. Тут помогает только Reset. Может ли это быть связано с заражением? И в целом работает хуже. Мелкие глюки. В предыдущие проверки сканер на srvany.exe не жаловался.

На всякий случай лог:

Logfile of HijackThis v1.99.1

Scan saved at 0:17:42, on 25.08.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\ххх\Мои документы\Полученные файлы\ПРОГРАММЫ\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE_PopupBlocker Class - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\Program Files\ROL Accelerator\prpl_IePopupBlocker.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O8 - Extra context menu item: Загрузить изображение без потери качества - C:\Program Files\ROL Accelerator\pac-image.html

O8 - Extra context menu item: Загрузить страницу без потери качества - C:\Program Files\ROL Accelerator\pac-page.html

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Разрешить всплывающие окна с этого сайта - C:\Program Files\ROL Accelerator\pac-addwl.html

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{7304BF1D-AD58-4B70-A05B-F3D5FD146F77}: NameServer = 212.188.4.10 195.34.32.116

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing)

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Saule]

В предыдущие проверки сканер на srvany.exe не жаловался.

http://www.softboard.ru/index.php?s=&s...st&p=264555

Но компьютер глючит. Когда пишешь в инете сообщения в форум, или просто при выключенном инете печатаешь в текстовом редакторе, неожиданно курсор мыши начинает стремительно двигаться вниз по странице без всякой надежды на остановку. Помогает закрытие программы. Затем может начаться а может и не начаться мигание всего, что есть на экране. Тут помогает только Reset. Может ли это быть связано с заражением? И в целом работает хуже. Мелкие глюки.

На всякий случай лог:

В логе ничего подозрительного не видно.

А что касается глюков, то признаками инфекции они могут быть безусловно, но на 99% подобное заражение обязательно фиксировалось бы HijackThis.

Вам нужно очень хорошо подумать после чего или когда именно это всё началось (возможно, были какие-либо изменения в системе, пусть даже на первый взгляд и кажущиеся незначительными).

[THE OLD VERMIN]

Saule: а не слыхала ли ты что-либо о winowl.dll или winowl32.dll ?

Поймал недавно у себя такую штуку в system32. McAfee его определил, как троян. В инете описание про него найти не смог. К сожалению оригинал удалился, т.к. заходил для удаления из-под Live CD - иначе не получалось, и сохранил по привычке на рабочем столе, который был виртуальным. После перезагрузки найти уже не смог... Весила штучка вроде около 35 кб.