Помощь в лечении систем от нечисти

**Saule** · 11 сентября, 2006

Saule: подскажи пожалуйста что это за перехватчики (из лога AVZ)
Проверено функций: 284, перехвачено: 2, восстановлено: 0

В системном ядре у тебя перехвачено только 2 функции: ZwTerminateProcess и ZwWriteVirtualMemory.

Перехватчик один: FILTNT.SYS (C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS) - драйвер Outpost'a.

Файрволу это необходимо в первую очередь для отслеживания внедрений dll-файлов в адресное пространство процессов и блокировки сетевого доступа тех приложений, память которых таким образом была изменена.

**molchun** · 11 сентября, 2006

Вот это пока что можно пофиксить (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Только к вашей проблеме это никак не относится.

----------------

Скажите, в каком конкретно браузере наблюдается подобное поведение (Internet Explorer; FireFox; Opera...). И не меняется ли ситуация, если попробывать открыть блокируемые страницы в любом другом браузере?

Плюс хотелось бы небольшой список тех сайтов, на которые у вас не получалось зайти.

И еще попробуйте найти на компьютере папку:

C:\WINDOWS\system32\drivers\etc

В ней должен быть файл hosts, который легко открывается с помощью любого текстового редактора (например, Блокнот/Notepad).

Откройте его и проверьте, нет ли в нем каких-либо записей, кроме следующих:
# Copyright © 1993-1999 Microsoft Corp.# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.# This file contains the mappings of IP addresses to host names. Each# entry should be kept on an individual line. The IP address should# be placed in the first column followed by the corresponding host name.# The IP address and the host name should be separated by at least one# space.# Additionally, comments (such as these) may be inserted on individual# lines or following the machine name denoted by a '#' symbol.# For example:#	  102.54.94.97	 rhino.acme.com		  # source server#	   38.25.63.10	 x.acme.com			  # x client host127.0.0.1 localhost
Строчки, начинающие со знака # во внимание можно не брать. Смотреть нужно только на строчки без этого знака. Т.е. в идеальном варианте должна быть только одна строка:

127.0.0.1 localhost

Поэтому, если есть что-либо еще, сообщите об этом.

Посмотрел, там короче ни обной строки начинающейся на # нет. А строчек там целая куча:

127.0.0.1 localhost

127.0.0.1 updates1.kaspersky-labs.com

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

127.0.0.1 avp.ru

127.0.0.1 awaps.net

127.0.0.1 banner.fastclick.net

127.0.0.1 banners.fastclick.net

127.0.0.1 ca.com

127.0.0.1 click.atdmt.com

127.0.0.1 clicks.atdmt.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 download.microsoft.com

127.0.0.1 downloads.microsoft.com

127.0.0.1 engine.awaps.net

127.0.0.1 fastclick.net

127.0.0.1 f-secure.com

127.0.0.1 ftp.f-secure.com

127.0.0.1 ftp.sophos.com

127.0.0.1 go.microsoft.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 media.fastclick.net

127.0.0.1 msdn.microsoft.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com

127.0.0.1 office.microsoft.com

127.0.0.1 phx.corporate-ir.net

127.0.0.1 secure.nai.com

127.0.0.1 sophos.com

127.0.0.1 spd.atdmt.com

127.0.0.1 support.microsoft.com

127.0.0.1 us.mcafee.com

127.0.0.1 vil.nai.com

127.0.0.1 viruslist.ru

127.0.0.1 windowsupdate.microsoft.com

127.0.0.1 www.avp.ch

127.0.0.1 www.avp.com

127.0.0.1 www.avp.ru

127.0.0.1 www.awaps.net

127.0.0.1 www.ca.com

127.0.0.1 www.fastclick.net

127.0.0.1 www.f-secure.com

127.0.0.1 www.kaspersky.ru

127.0.0.1 www.mcafee.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.nai.com

127.0.0.1 www.networkassociates.com

127.0.0.1 www.sophos.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.viruslist.ru

127.0.0.1 ftp.kasperskylab.ru

127.0.0.1 ftp.avp.ch

127.0.0.1 www.kaspersky.ru

127.0.0.1 updates1.kaspersky-labs.com

127.0.0.1 updates3.kaspersky-labs.com

127.0.0.1 updates4.kaspersky-labs.com

127.0.0.1 updates2.kaspersky-labs.com

127.0.0.1 updates5.kaspersky-labs.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 www.kaspersky-labs.com

127.0.0.1 updates3.kaspersky-labs.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 www3.ca.com

127.0.0.1 ids.kaspersky-labs.com

127.0.0.1 downloads2.kaspersky-labs.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 downloads3.kaspersky-labs.com

127.0.0.1 downloads4.kaspersky-labs.com

127.0.0.1 download.mcafee.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 www.nai.com

127.0.0.1 us.mcafee.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.grisoft.com

127.0.0.1 downloads-us1.kaspersky-labs.com

127.0.0.1 downloads-us2.kaspersky-labs.com

127.0.0.1 downloads-us3.kaspersky-labs.com

127.0.0.1 ftp.downloads2.kaspersky-labs.com

А браузер у меня mozila стоит, но в эксплоере ничего не открывается

**molchun** · 11 сентября, 2006

Тогда снова открой файл hosts в блокноте и удали все эти записи, оставив только самую первую:

127.0.0.1 localhost

Больше там ничего не должно быть.

Да так и вышло,спасибо огромное.

**Saule** · 11 сентября, 2006

Посмотрел, там короче ни обной строки начинающейся на # нет. А строчек там целая куча:

Тогда снова откройте файл hosts в блокноте и удалите все эти записи, оставив только самую первую:

127.0.0.1 localhost

Больше там ничего не должно быть.

Затем обязательно сохраняем эти изменения и закрываем этот файл.

Перезапускаем браузер, после чего эти сайты должны заработать.

**Saule** · 11 сентября, 2006

Saule. подскажите пожалуйста, что за прога Adware Spyware SE by Virus Repeller? Смущает поведение- рвется в интернет, после обновления опять готова обновляться снова и снова. Неужели опять супер троян типа xoft spy?

Я её на днях установлю и потестирую, так как эта программа еще нигде не засветилась.

**ВоваЛЕНИН** · 11 сентября, 2006

-----------------

...А новый лог я просила, т.к. ожидала появление в нем чего-нибудь нового.

Снова откройте HijackThis, нажмите на кнопку "Do a system scan only" и отметьте галочкой следующий пункт:

O4 - HKLM\..\Run: [CertStoreInit] C:\WINDOWS\system32\CertStoreInit

Затем на кнопку "Fix Checked".

После чего перезагрузите компьютер и удалите файл:

C:\WINDOWS\System32\CertStoreInit.exe

После того,как удалил CertStoreInit.exe пошёл посмотреть как он там в корзинке устроился...и вижу :извините,обнаружена ошибка,приложение будет закрыто(корзинка-то :) ),до этого после перезагрузки выскочила ошибка с инициализацией НОДа,перезагрузил ещё раз,всё вроде на место стало.Проверил этот файл Агнитумом и НОДом,говорят чисто.Удалять его вообще?Больше не пригодится?

Вот что HijackThis сейчас выдал:

Logfile of HijackThis v1.99.1

Scan saved at 23:09:56, on 11.09.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\eTSrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TMeter\TrafSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\PROGRA~1\ICQ\ICQNet.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Mozilla Firefox\firefox.exe

E:\Программки\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: (no name) - {F8F17E3E-4F91-43DF-AC8D-18D270EF497F} - C:\Program Files\Adobe\medonu.dll (file missing)

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRad1.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [NetStart] C:\WINDOWS\system32\NETSTART\svchost.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [TrafMonitor] C:\Program Files\TMeter\trafmonitor.exe /logon /admin

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [PCPitstop Optimize Registration Reminder] C:\Program Files\PCPitstop\Optimize\Reminder.exe

O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [htp] C:\Program Files\Internet Explorer\htp.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [AMP Agent] C:\Program Files\Common Files\ARS Company\Agent\Agent.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - DctMapping - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl178bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1144877125875

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1144882235078

O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Ltd. - C:\WINDOWS\system32\eTSrv.exe

O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: TMeter 6.5.390 (TrafSvc) - Unknown owner - C:\Program Files\TMeter\TrafSvc.exe

Опять старттраффер удалять?

**ryrman** · 12 сентября, 2006

А у меня следующая проблема.

Некоторые сайты начали неправильно определять кодировку страничек, среди одной из причин таких симптомов указывался спайваре или что-то вроде.

пропустил тесты от Ад-Аваре и от ewido. Первый нашел 5 критических объектов, второй - 4. Все исправил, но автоматическое определение кодировки так и не работает. (не на всех сайтах, например, www.yandex.ru, price.sunrise.ru). Сможете ли вы помочь в данной ситуации?.

вот лог, выдаваемый Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 13:35:46, on 12.09.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\Ontrack\Fix-It\mxserver.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Winamp\Winamp.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\rutta\LOCALS~1\Temp\Rar$EX10.6469\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.123.123.88:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe HideIcon

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Winamp.lnk = D:\all.m3u

O4 - Startup: Запуск Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with Lingvo - res://C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oinet.ru

O17 - HKLM\Software\..\Telephony: DomainName = oinet.ru

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oinet.ru

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = oinet.ru

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Fix-It Utilities 2000 Task Manager (mxserver) - Ontrack Data International - C:\PROGRA~1\Ontrack\Fix-It\mxserver.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**molchun** · 12 сентября, 2006

Тогда снова откройте файл hosts в блокноте и удалите все эти записи, оставив только самую первую:

127.0.0.1 localhost

Больше там ничего не должно быть.

Затем обязательно сохраняем эти изменения и закрываем этот файл.

Перезапускаем браузер, после чего эти сайты должны заработать.

Спасибо SAULE за помощь, действительно сайты стали открываться, только вот у меня вопрос это же было следствие а не причина, почему произошла блокировка антивирусных сайтов? И еще хотел спросить как можно извести червя I-WORM/scano BA. буду благодарен за помощь.

**ryrman** · 12 сентября, 2006

Установил Mozzila Firefox, проблемы не наблюдается. Но есть несовместимость с некоторыми сайтами, поэтому необходима нормализация работы IE.

Спасибо за ранее

**Saule** · 12 сентября, 2006

Некоторые сайты начали неправильно определять кодировку страничек, среди одной из причин таких симптомов указывался спайваре или что-то вроде.
пропустил тесты от Ад-Аваре и от ewido. Первый нашел 5 критических объектов, второй - 4. Все исправил, но автоматическое определение кодировки так и не работает. (не на всех сайтах, например, www.yandex.ru, price.sunrise.ru).

Скажите, в настройках вашего интернета (прокси сервер) так должно было быть?:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.123.123.88:80

-----------

И теперь по настройкам IE.

1. Стоит ли у вас галочка в следующем месте или нет:

View > Encoding > Auto-Select (Вид > Кодировка > Авто-выбор)

2. Какой шрифт у вас стоит по умолчанию:

Internet Options > закладка General > кнопка Fonts (Свойства обозревателя > Общие > Шрифты)

3. Internet Options > закладка General > кнопка Languages (Свойства обозревателя > Общие > Языки)

Какой язык выбран?

4. Нет ли проблем с установленными кодировками (windows-1251 и KOI8-R) именно в самой Windows?

Control Panel > Regional Language Options > Advanced > Code page conversion tables

Изменено 12 сентября, 2006 пользователем Saule

**Saule** · 12 сентября, 2006

Спасибо SAULE за помощь, действительно сайты стали открываться, только вот у меня вопрос это же было следствие а не причина, почему произошла блокировка антивирусных сайтов? И еще хотел спросить как можно извести червя I-WORM/scano BA. буду благодарен за помощь.

Причина, скорее всего, была удалена много раньше (вами лично; вашим антивирусом; либо обычное самоудаление трояна, т.к. после сделанной модификации hosts он больше не нужен; это мог быть обычный скрипт/команда, совсем не обязательно именно исполняемый файл). А вот изменения, для которых он был создан, в системе остались.

Что же касается червя I-WORM/scano BA, то у меня нет возможности посмотреть антивирусные базы AVG, чтобы понять о чем идет речь. Но предполагаю, что это из этой серии:

http://www.softboard.ru/index.php?s=&s...st&p=299170

Единственное, может быть какая-нибудь другая модификация, но обратите внимание именно на удаление csrss.exe (который находится в папке WINDOWS, а не в system32!). Должно помочь.

**zimarsky** · 12 сентября, 2006

Недавно словил трояна. Установил программу HijackThis. Пожалуйста посмотрите лог, нету ли чтего подозрительного?

Logfile of HijackThis v1.99.1

Scan saved at 22:23:37, on 12.09.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\key\Ninja.exe

C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\BTTray.exe

C:\Program Files\ATnotes\ATnotes.exe

C:\Program Files\The Bat!\thebat.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\Rar$EX00.047\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [Keyboard Ninja] C:\Program Files\key\Ninja.exe

O4 - Startup: ATnotes.lnk = C:\Program Files\ATnotes\ATnotes.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\btsendto_ie.htm

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for ёжь: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1126614388875

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/b...90d11e55ab221c8

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Anlllm32.dll (file missing)

O21 - SSODL: mtkle - {394F242D-18F9-4D4E-0E9C-B5966CD3DCA1} - C:\WINDOWS\System32\bkuq32.dll (file missing)

O21 - SSODL: mtklef - {EEEBBD25-3061-4104-3FA6-B37BA50D5B66} - C:\WINDOWS\System32\ctxspr32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\bin\btwdins.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

**Saule** · 13 сентября, 2006

Недавно словил трояна. Установил программу HijackThis. Пожалуйста посмотрите лог, нету ли чтего подозрительного?

Вот это пофиксите (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и нажать на кнопку "Fix Checked"; браузер при этом нужно закрыть) и затем сделайте, пожалуйста, новый лог HijackThis:

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/b...90d11e55ab221c8

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Anlllm32.dll (file missing)

O21 - SSODL: mtkle - {394F242D-18F9-4D4E-0E9C-B5966CD3DCA1} - C:\WINDOWS\System32\bkuq32.dll (file missing)

O21 - SSODL: mtklef - {EEEBBD25-3061-4104-3FA6-B37BA50D5B66} - C:\WINDOWS\System32\ctxspr32.dll (file missing)

**zimarsky** · 13 сентября, 2006

Вот это пофиксите (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и нажать на кнопку "Fix Checked"; браузер при этом нужно закрыть) и затем сделайте, пожалуйста, новый лог HijackThis:

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/b...90d11e55ab221c8

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Anlllm32.dll (file missing)

O21 - SSODL: mtkle - {394F242D-18F9-4D4E-0E9C-B5966CD3DCA1} - C:\WINDOWS\System32\bkuq32.dll (file missing)

O21 - SSODL: mtklef - {EEEBBD25-3061-4104-3FA6-B37BA50D5B66} - C:\WINDOWS\System32\ctxspr32.dll (file missing)

Спасибо, Saule.

Осталось:

Logfile of HijackThis v1.99.1

Scan saved at 22:15:24, on 13.09.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\key\Ninja.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Bluetooth\Программное обеспечение Bluetooth\BTTray.exe

C:\Program Files\ATnotes\ATnotes.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\mmc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\Rar$EX00.687\HijackThis.exe