Помощь в лечении систем от нечисти

[Saule]

Так эта служба оказывается нужна для сбрасывания счетчика?

Хорошо, а если файл этой службы присутствует на лицензионной версии Windows, то что это озночает, Что система все-таки левая или как?

Она вообще нужна или нет, если винда лицензионная и уже активированная? :)

В лицензионной версии Windows эта служба присутствовать никак не может.

Следовательно, она ей не нужна.

А что касается ответа на вопрос, откуда она взялась у тебя, то он, наверное, может быть только один - пиратская копия, не смотря на то, что она выглядела как подлинная и, возможно, даже имитировала оригинальную упаковку.

Чаще всего подобное случается при приобретении Windows вместе с новым компьютером (предустановленная, OEM-версия), хотя и в коробочном варианте может быть просто подделка.

Небольшая галерея поддельного программного обеспечения Microsoft:

http://www.microsoft.com/resources/howtote...x?group=windows

И четыре основных признака, по которым оригинал можно отличить от подделки:

1

наклейка сертификата подлинности

2 оранжевая наклейка с ключом продукта,

3 голограмма в виде зеркальной полосы вокруг внутреннего кольца диска

4

компакт-диск с медной голограммой с волнистой кромкой

А в корпоративном лицензировании вообще возможны варианты, так как сама лицензия на использование программного обеспечения еще не подразумевает, что на всех компьютерах (число которых всё-таки ограничено) будут установлены именно подлинные продукты.

Обычно в случаях появления подобных сомнений обращаются в службу идентификации Microsoft:

http://www.microsoft.com/Rus/Antipiracy/Pid/Default.mspx

[Saule]

Saule: а не слыхала ли ты что-либо о winowl.dll или winowl32.dll ?

Поймал недавно у себя такую штуку в system32. McAfee его определил, как троян. В инете описание про него найти не смог. К сожалению оригинал удалился, т.к. заходил для удаления из-под Live CD - иначе не получалось, и сохранил по привычке на рабочем столе, который был виртуальным. После перезагрузки найти уже не смог... Весила штучка вроде около 35 кб.

А в каких целях тебя это интересует?

В общем, вот:

http://www.symantec.com/security_response/...-051916-2518-99

И если кратко, то этот троян регистрируется как модуль уведомления Winlogon.

Основные функции: загрузка и запуск других вредоносных файлов + отправка информации о зараженном компьютере на удаленный сервер хозяина.

Содержание отправленого можно посмотреть здесь (если работа трояна сразу же не была блокирована McAfee):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

[THE OLD VERMIN]

Saule , по указанному тобой адресу в реестре имеется вот только это:

Если он чего и отправил, то без допинга я в этих бинарных параметрах вряд ли разберусь.

Теперь ломаю голову: где я мог ее подцепить? Единственное, что ставил - это Office 2007 и активировался у них на сайте. Не могли в Microsoft поставить мне эту штучку?

Но, думаю, что все нормально - зараза ликвидирована. Спасибо за помощь.

[Saule]

Если он чего и отправил, то без допинга я в этих бинарных параметрах вряд ли разберусь.

Теперь ломаю голову: где я мог ее подцепить? Единственное, что ставил - это Office 2007 и активировался у них на сайте. Не могли в Microsoft поставить мне эту штучку?

Ага, только ключик тот удали. Весь целиком:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

И желательно еще временные файлы системы почистить.

Могу тебя заверить, что Microsoft подобными глупостями не занимается :)

А появился он у тебя после запуска исполняемого файла, который, скорее всего, был загружен к тебе на компьютер благодаря эксплойту и уязвимости браузера.

Плюс подцепить ты его мог еще какое-то время обратно, так как этот троян был в десятке наиболее активной заразы в июле месяце, а в базу McAfee его занесли только 8-ого августа:

http://vil.nai.com/vil/content/v_137111.htm#tab1

[Laren]

А что касается ответа на вопрос, откуда она взялась у тебя, то он, наверное, может быть только один - пиратская копия, не смотря на то, что она выглядела как подлинная и, возможно, даже имитировала оригинальную упаковку.

Чаще всего подобное случается при приобретении Windows вместе с новым компьютером (предустановленная, OEM-версия), хотя и в коробочном варианте может быть просто подделка

Действительно у нас на компе лиценционная ОЕМ-версия, установленная при покупке компа, возможно что ее поставили поверх какой то другой винды, отсюда столько мусора в папке windows. Соответственно никакие резеты не нужны. И проверка на подлиность подтвердила эти 4 признака подлинности. Но мы то не знали до сего момента. Поэтому большое спасибо за разъяснения.

З.Ы. Вот если бы не аваст - жил бы и не парился по этому поводу ;) :)

[TVS]

http://www.softboard.ru/index.php?s=&s...st&p=264555

В логе ничего подозрительного не видно.

А что касается глюков, то признаками инфекции они могут быть безусловно, но на 99% подобное заражение обязательно фиксировалось бы HijackThis.

Вам нужно очень хорошо подумать после чего или когда именно это всё началось (возможно, были какие-либо изменения в системе, пусть даже на первый взгляд и кажущиеся незначительными).

Saule, за ссылку спасибо.

Нет слов! Вы как заботливый доктор, знаете истории болезней своих пациентов лучше, чем они сами!. ;)

А насчет нового в компьютере - буду искать. Компьютером пользуюсь не я одна, так что все может быть.

[SERGSM]

Здравствуйте,SAULE. После установки обновлений (заметьте, я не говорю- вследствии), TAUSKAN нашел и удалил DOWNLOADER178, еще какое-то изделие стало проситься в инет( потерял листок с записью, блин), заменил OUTPOST PRO на более привычный ZONE ALARM PRO. Не могли бы ВЫ посмотреть лог? Спасибо.Logfile of HijackThis v1.99.1

Scan saved at 13:11:17, on 26.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ASUS\Asus Probe\AsusProb.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\StopHid.exe

C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\IObit\Advanced WindowsCare V2\Awc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\BeholdTV\Agent\BhAgent.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\user1\LOCALS~1\Temp\Временная папка 3 для hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [stopHid] StopHid.exe

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe" /T

O4 - HKLM\..\Run: [Advanced WindowsCare] "C:\Program Files\IObit\Advanced WindowsCare V2\Awc.exe" /startup

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: BhAgent.lnk = C:\Program Files\BeholdTV\Agent\BhAgent.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156436271078

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156437565125

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[rrrr]

скорость инета упала. просканил ад-аваре и спайботом ничего не нашел. лог файл из HijackThis такой:

Logfile of HijackThis v1.99.1

Scan saved at 18:46:30, on 26.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\MEDIAK~1\MagicKey.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\MEDIAK~1\OSD.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\PROGRA~1\COMMON~1\POCKET~1\RTPATCH\AUTORTP\artpschd.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\ScreenCapt.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HomeNET Client\Client.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Opera7\opera.exe

D:\Anti_spay\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MagicKey.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Documents and Settings\1\Рабочий стол\emule_kino.lan\emule.exe -AutoStart

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: ScreenCapt.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\PROGRA~1\COMMON~1\REGETS~1\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\PROGRA~1\COMMON~1\REGETS~1\CC_Link.htm

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{2080A5B7-C7FA-4A02-A69A-1C1BC044E677}: NameServer = 192.168.19.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Auto RTPatch Scheduler - Pocket Soft, Inc. - C:\PROGRA~1\COMMON~1\POCKET~1\RTPATCH\AUTORTP\artpschd.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[rrrr]

сканил эвидо:

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 9:53:29 27.08.2006

+ Scan result:

D:\radmin\raddrv.dll -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.20 : No action taken.

D:\radmin\r_server.exe -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : No action taken.

D:\radmin\radmin.exe -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : No action taken.

C:\Documents and Settings\1\Cookies\1@2o7[1].txt -> TrackingCookie.2o7 : No action taken.

C:\Documents and Settings\1\Cookies\1@2o7[2].txt -> TrackingCookie.2o7 : No action taken.

C:\Documents and Settings\1\Cookies\1@adbrite[1].txt -> TrackingCookie.Adbrite : No action taken.

C:\Documents and Settings\1\Cookies\1@yadro[2].txt -> TrackingCookie.Yadro : No action taken.

C:\Documents and Settings\1\Cookies\1@yadro[3].txt -> TrackingCookie.Yadro : No action taken.

C:\Documents and Settings\1\Cookies\1@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.

::Report end

[Omega1982]

Мне через ICQ(по крайней мере, я так думаю) заслали какой-то вирус - newdotnet7_22.dll

Каспер его пытается удалить, но безуспешно. При запуске Windows - через сек 10-15 появляется сообщение о том, что система будет перезагружена через одну минуту(начинается отсчёт времени...). Если успеваю войти в виндоус, каспер идентифицирует этот вирус, и, если я выбираю пропустить действие то, опять появляется сообщение об скором перезапуске системы..... :smiles20(18):

P.S. Сам знаю, что запутанно написано, но у меня комп только пол года.

[Saule]

Здравствуйте,SAULE. После установки обновлений (заметьте, я не говорю- вследствии), TAUSKAN нашел и удалил DOWNLOADER178, еще какое-то изделие стало проситься в инет( потерял листок с записью, блин), заменил OUTPOST PRO на более привычный ZONE ALARM PRO. Не могли бы ВЫ посмотреть лог? Спасибо.

Чисто.

[SERGSM]

Спасибо!

[Saule]

скорость инета упала. просканил ад-аваре и спайботом ничего не нашел. лог файл из HijackThis такой:

Активных вирусов я не вижу.

Единственное, стартовую страницу IE можно пофиксить (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"), если, конечно, собираетесь еще когда-нибудь пользоваться этим браузером:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.apeha.ru

http://www.apeha.ru' rel="external nofollow">

А что касается скорости интернета, то виновника, видимо, нужно искать среди "своих".

Немного не понятно, что там с eMule - в автозагрузке, вроде, стоит, но в активных процессах не фигурирует.

И давно ли вы работаете вместе с Outpost Firewall?

Плюс не пробовали узнать у провайдера, с чем может быть связано это падение скорости? Так как, вполне возможно, что дело именно в них (ремонтные работы, повреждения из-за погодных условий и т.п.).

[Saule]

Мне через ICQ(по крайней мере, я так думаю) заслали какой-то вирус - newdotnet7_22.dll

Каспер его пытается удалить, но безуспешно. При запуске Windows - через сек 10-15 появляется сообщение о том, что система будет перезагружена через одну минуту(начинается отсчёт времени...). Если успеваю войти в виндоус, каспер идентифицирует этот вирус, и, если я выбираю пропустить действие то, опять появляется сообщение об скором перезапуске системы..... :D

New.Net нельзя удалять с помощью Касперского (или вручную), так как в этом случае у вас пропадет интернет.

Это приложение нужно деинсталлировать "правильно", т.е. через Add/Remove Programs.

Идем:

Пуск > Панель Управления > Установка и удаление программ

(Start > Control Panel > Add or Remove Programs)

Находим программу с названием очень похожим на

New Net

или

New Dot Net

.

И деинсталлируем её (uninstall).

После перезагрузки Касперский перестанет ругаться и перезагружать ваш компьютер из-за зараженных обьектов.

-----------------

Плюс если с интернетом всё-таки возникнут проблемы, то на всякий случай можно скачать LSPFix, и затем восстановить настройки сети с его помощью:

Программу нужно распаковать и запустить.

Затем ставим галочку рядом с надписью "I know what I'm doing" и нажать на кнопку "Finish" в нижнем правом углу.

Больше ничего с этой программой делать не нужно (делаем только то, что указано выше - галочка и кнопка "Finish")!

[Omega1982]

Дык это(newdotnet7_22.dll) вирус или что?

[Saule]

Дык это(newdotnet7_22.dll) вирус или что?

Adware и шпионский модуль, внедряющийся в цепочку Winsock LSP для того, чтобы легко пропускать весь твой интернет-трафик через себя и перехватывать нужную ему информацию.

Мог быть установлен при инсталляции некоторых бесплатных программ (Audiogalaxy, Babylon, BearShare, Grokster, iMesh, KaZaA, Radlight, RealPlayer и др.).

[rrrr]

Активных вирусов я не вижу.

Единственное, стартовую страницу IE можно пофиксить (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"), если, конечно, собираетесь еще когда-нибудь пользоваться этим браузером:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.apeha.ru

http://www.apeha.ru' rel="external nofollow">

А что касается скорости интернета, то виновника, видимо, нужно искать среди "своих".

Немного не понятно, что там с eMule - в автозагрузке, вроде, стоит, но в активных процессах не фигурирует.

И давно ли вы работаете вместе с Outpost Firewall?

Плюс не пробовали узнать у провайдера, с чем может быть связано это падение скорости? Так как, вполне возможно, что дело именно в них (ремонтные работы, повреждения из-за погодных условий и т.п.).

в техподдержке сказали что с их стороны все нормально и проблема у меня в компе.Как можно отыскать виновника среди своих? Можно как-то померить скорость кто насколько активен. Пробовал простым отключением некоторых программ, но ничего не нашел. Фаервол стоит давно, пользуюсь я на самом простом уровне: просто разрешаю выход в инет нужным мне программам. Его тоже отрубал, скорость не увеличилась. Нормально ли что у меня в процессах одновреммено работают 6 штук svchost.exe. Когда я вырубаю - появляются вновь и этом еще вылезает сообщение что комп перезагрузится через 60 секунд, что я отменял командой shutdown -a . Смахивает на червяка.

[Saule]

Можно как-то померить скорость кто насколько активен. Пробовал простым отключением некоторых программ, но ничего не нашел. Фаервол стоит давно, пользуюсь я на самом простом уровне: просто разрешаю выход в инет нужным мне программам. Его тоже отрубал, скорость не увеличилась. Нормально ли что у меня в процессах одновреммено работают 6 штук svchost.exe. Когда я вырубаю - появляются вновь и этом еще вылезает сообщение что комп перезагрузится через 60 секунд, что я отменял командой shutdown -a . Смахивает на червяка.

Вот тема с ответами на ваши вопросы, касающиеся активности интернета:

http://www.softboard.ru/index.php?showtopic=38279

По поводу svchost.exe - 6 штук это нормально. Как нормально и то, что компьютер при завершении любого из них собирается перегрузиться.

Другое дело, что в этот процесс может внедриться какая-либо вредоносная библиотека, использующая руткит для своей маскировки. И хоть это в вашем случае и маловероятно, но всё-таки попробуйте сделать сканирование с помощью AVZ.

[Omega1982]

Находим программу с названием очень похожим на New Net или New Dot Net.

Есть только это : New.net Domains 7.22

Изменено 28 августа, 2006 пользователем Saule

[Saule]

Есть только это : New.net Domains 7.22

Ок. Деинсталлируй.

[Omega1982]

Ок. Деинсталлируй.

Благодарю.

Удалил. Всё хорошо... НО, инет начал глючить - страницы стали грузиться по 2-3 сек. Раньше - 0,5 сек. максимум...

[Rasim]

:) привет всем!!!

:) дооктор :) дооктор Юлия помогите. А не могли бы вы ещё разочек посмотреть нет ли шпионов. дело в том что сидя в форуме ничего не качая ,отключ.все обновления кроме Outpostа. , резко начинает жрать мегабайты(GPRS-соединение) , как заметил после 2ух ночи. Каспер работает, но обновение вручную. сегодня изза этого инсталировал ещё Spybot S&D и ZoneAlarm, a Outpost пишет что установлены типа лишние файерволы- не будут ли они конфликтовать. Пока работает Outpost, те отключил. браузер FLOCK.

Logfile of HijackThis v1.99.1

Scan saved at 0:53:39, on 29.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\j2re1.4.2_09\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\ДАР\Главное меню\Программы\Автозагрузка\CDC.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Samsung\EasyGPRS\EasyGPRS.exe

C:\Program Files\Браузеры\Flock\flock\flock.exe

C:\Documents and Settings\ДАР\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\антишпион\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_09\bin\jusched.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: CDC.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Автоматическое определение шаблона тематики - C:\Program Files\PRMT6\PRMTIE\aot.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Перевести - C:\Program Files\PRMT6\PRMTIE\translat.htm

O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT6\PRMTIE\page.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4160FED3-1859-4C8E-A946-75F71D165F15}: NameServer = 10.38.47.75 195.85.238.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{4160FED3-1859-4C8E-A946-75F71D165F15}: NameServer = 10.38.47.75 195.85.238.65

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - D:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

И ещё лазил в реестре и обнаружил антивирусы и файерволы;

AhnlabAntivirus

Computer AssociatesAntivirus

Kaspersky Antivirus ---- с этим согласен.

Panda Antiv.....

Panda Firewall

Sophos Antiv.....

Symantec Antiv...

Symantec Firewall

Tiny Firewall

Trend Antiv...

Trend Firewall

ZoneLabs Firewall ---- это новерное ZoneAlarm:

откуда они могли взяться, Эти антивирусы точно не качал. Заранее благодарен :) покапока !

[Omega1982]

Благодарю.

Удалил. Всё хорошо... НО, инет начал глючить - страницы стали грузиться по 2-3 сек. Раньше - 0,5 сек. максимум...

Всё, работа нормализовалась. Благодарю за помощь. Огромное спасибо. :)

[pinmix]

Saule: Привет, знакомая задала мне вопрос, у нее у мужа каждый день в 10 вечера вылетает сетевая игра...

чуть позже ей outpost при сканировании ситемы выдал троян Malware, точнее сказать не могу, т.к. ком не мой, а его уже нет там "вроде"...

хотя "вечерние" ошибки продолжаются...

Прошу помочь в решении этой проблеммы..

Прикладываю лог, и жду твоих идей..

Logfile of HijackThis v1.99.1Scan saved at 11:44:28, on 29.08.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\nvsvc32.exeC:\Program Files\Agnitum\Outpost Firewall\outpost.exeC:\WINDOWS\system32\HPZipm12.exeD:\Dr.Web\SpiderNT.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\Saitek\Software\Profiler.exeC:\Program Files\Saitek\Software\SaiMfd.exeD:\Dr.Web\spiderml.exeD:\Dr.Web\DRWEBSCD.EXED:\Dr.Web\spidernt.exeC:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exeD:\утилиты\PSw\ps.exeC:\WINDOWS\system32\rundll32.exeC:\WINDOWS\system32\wscntfy.exeD:\утилиты\QIP\QIP\qip.exeC:\Program Files\Mozilla Firefox\firefox.exeD:\утилиты\hijackthis.rar\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.punto.ru/switcherR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dllO2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\8118~1\DMASTER\DOWNLO~1\dmiehlp.dllO3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\утилиты\DMASTER\Download Master\dmbar.dllO3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dllO4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exeO4 - HKLM\..\Run: [saiSmart] C:\Program Files\Saitek\Software\SaiSmart.exeO4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\Software\SaiMfd.exeO4 - HKLM\..\Run: [spIDerMail] "D:\Dr.Web\spiderml.exe"O4 - HKLM\..\Run: [DrWebScheduler] "D:\Dr.Web\DRWEBSCD.EXE"O4 - HKLM\..\Run: [spIDerNT] D:\Dr.Web\spidernt.exe /agentO4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitserviceO4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startupO4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startupO4 - HKCU\..\Run: [Punto Switcher] D:\утилиты\PSw\ps.exeO4 - HKCU\..\RunOnce: [iCQ Lite] D:\утилиты\ICQLite\ICQLite.exe -traybootO4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htmO8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\утилиты\DMASTER\Download Master\dmieall.htmO8 - Extra context menu item: Закачать при помощи Download Master - D:\утилиты\DMASTER\Download Master\dmie.htmO8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htmO9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\утилиты\M-agent\Agent\MAgent.exeO9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\утилиты\DMASTER\Download Master\dmaster.exeO9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\утилиты\DMASTER\Download Master\dmaster.exeO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\утилиты\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\утилиты\ICQLite\ICQLite.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dllO16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{5D9A66B7-C7A4-4C70-A6DC-B90A65CD8141}: NameServer = 212.188.4.10 195.34.32.116O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dllO23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - CWINDOWS\system32\mnmsrvc.exeO23 - Service: NBService - Nero AG - CProgram Files\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - CWINDOWS\system32\nvsvc32.exeO23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - CProgram Files\Agnitum\Outpost Firewall\outpost.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - CWINDOWS\system32\services.exeO23 - Service: Pml Driver HPZ12 - HP - CWINDOWS\system32\HPZipm12.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - CWINDOWS\System32\SCardSvr.exeO23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - DDr.Web\SpiderNT.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - CWINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - CWINDOWS\system32\wbem\wmiapsrv.exe

[Gregor_666]

Как снести BackDoor.Win32.Delf.wx?

Как он прописывается в системе, и под какую из системных программ косит?

Как настроить Internet Explorer?

Помогите !!!!!!!!!!! :(