Помощь в лечении систем от нечисти

[TALA]

Спасибо!!!

[veiK]

Здорова

Прошу прощения за простыни! Но срочно нада ибо не знаю что делать :(

Saule: ты уже ознакомилась с http://www.softboard.ru/index.php?showtopic=40078&hl= и http://www.softboard.ru/index.php?showtopic=36111

Вообщем я радовался что избавился! Но не избавился!

Выкладываю

ДО

Logfile of HijackThis v1.99.1

Scan saved at 13:45:57, on 07.11.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\EloSrvce.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\System32\EloDkMon.exe

C:\WINDOWS\System32\EloTTray.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\System32\r_server.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\XPOS20\Client\xposfront.exe

E:\Antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: FRONT.lnk = C:\XPOS20\Client\xPOSFront.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\System32\EloSrvce.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Служба коррекции ошибок протокола TCP (NetLogSrv) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

ПОСЛЕ

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\System32\EloSrvce.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\System32\EloDkMon.exe

C:\WINDOWS\System32\EloTTray.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\System32\r_server.exe

C:\XPOS20\Client\xposfront.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\System32\taskmgr.exe

E:\Antivirus\cureit.exe

C:\DOCUME~1\GMTEST\LOCALS~1\Temp\RarSFX3\_start.exe

C:\DOCUME~1\GMTEST\LOCALS~1\Temp\RarSFX3\cureit.exe

E:\Antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: FRONT.lnk = C:\XPOS20\Client\xPOSFront.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\System32\EloSrvce.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Служба коррекции ошибок протокола TCP (NetLogSrv) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

!

Предупреждение:

Просьбы о помощи выкладываются в этой теме, а не в теме "Учимся анализировать логи Hijack This".

Сообщение перенес.

Shurr.

[Saule]

Здорова

Прошу прощения за простыни! Но срочно нада ибо не знаю что делать

По логам можно сделать лишь следующее:

Start > Run (Пуск > Выполнить)

Копируем в строку:

sc delete Служба коррекции ошибок протокола TCP

Нажимаем на ENTER/ОК

Об остальном расскажу в твоей теме, раз уж она всё-таки достаточно полно раскрыта отдельно.

[DIMKA-vrn]

я схватил вирус в разных папках появлются странные файлы с разными названиями типо еминем бенладен и прочие, Drweb ничего не видет. Пробывал другими прогами то же самое что делать ?

Изменено 11 ноября, 2006 пользователем DIMKA-vrn

[ShproT]

DIMKA-vrn

Антивирусник обновляешь? Кто нибудь еще имеет доступ к твоему компу?

[Saule]

я схватил вирус в разных папках появлються странные файлы с разными названиями типо еминем белладен и прочие Drweb ничего не видет пробывал другими прогами то же самое что делать ?

Если есть возможность, то сделай лог HijackThis

[DIMKA-vrn]

DIMKA-vrn

Антивирусник обновляешь? Кто нибудь еще имеет доступ к твоему компу?

только я пользуюсь компом антивирус не обновлялся 1.5 месяца

вот лог

hijackthis.log

hijackthis.log

[Saule]

только я пользуюсь компом антивирус не обновлялся 1.5 месяца

вот лог

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: ChangerBHO Class - {1D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\acleditb.dll

O2 - BHO: Clicker Class - {A97B5EF1-CA64-466F-AC40-F770ED52DB92} - C:\WINDOWS\system32\mscoriezz.dll

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Скачиваем AVZ.

После чего закрываем все посторонние программы, чтобы ничего не мешало (в любом случае компьютер очень скоро нужно будет перезагрузить).

3. Распаковываем AVZ, запускаем и нажимаем в верхнем меню программы:

AVZ Guard > Включить AVZ Guard

И в появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню находим: Winlogon; и затем удаляем строчку напротив, которая будет ссылаться на arm32reg (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с arm32reg и затем нажимаем на кнопку "X"). Если строчки, ссылающейся на arm32reg (или чето-то похожее) там вдруг не окажется, то просто переходим к следующему пункту.

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно).

5. После перезагрузки снова нажимаем в верхнем меню AVZ:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:

C:\Documents and Settings\All Users\Документы\Settings\arm32.dll

Нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

6. Перезагружаем компьютер.

7. Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

Весь мусор, что тебе накачали придется удалять либо руками, либо с помощью антивируса (в смысле: файлы еминем бенладен и прочие).

-------------------

Если антивирус не обновляется из-за лицензии, то можно обновить его просто вручную:

Обновления вирусных баз Dr.Web

(скачиваешь нужные архивы, распаковываешь и кидаешь их содержимое в папку DrWeb; если при этом Windows предупреждает, что файл с таким названием в его папке уже существует, выбираешь вариант "заменить").

В любом случае твой троян использует для своих закачек трафика больше, чем потребуется для обновления антивируса.

[holiday]

Подозреваю нечисть. Поможите.

Вот отчеты

----

Logfile of HijackThis v1.99.1

Scan saved at 15:06:03, on 16.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Compaq\Hotkey Software\hkss.exe

C:\Program Files\Compaq\EAB\EABSERVR.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\AusLogics BoostSpeed\BoostSpeed.exe

C:\Program Files\Punto Switcher\ps.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\mstsc.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Program Files\QIP\qip.exe

C:\Program Files\Opera\Opera.exe

C:\Downloads\Distrib\Анти RootKit\avz4\avz.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.944\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.ru/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [hkss] "C:\Program Files\Compaq\Hotkey Software\hkss.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\Compaq\EAB\EABSERVR.EXE" /Start

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [boostSpeed] "C:\Program Files\AusLogics BoostSpeed\BoostSpeed.exe" /Q

O4 - HKCU\..\Run: [Punto Switcher] "C:\Program Files\Punto Switcher\ps.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Link to &MidpX - C:\Program Files\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FBF25F18-8298-45DD-A450-CBB562350C79}: NameServer = 212.12.0.2 212.12.0.3

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

---

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 16.11.2006 15:10:45

Загружена база: 59226 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.11.2006 15:47

Загружены микропрограммы эвристики: 364

Загружены цифровые подписи системных файлов: 53707

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8EFFEC<>7C80ADA0

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8EFF9C<>7C801D77

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8EFFB0<>7C801D4F

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8EFFD8<>7C801AF1

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C8EFFC4<>7C80AE4B

Детектирована модификация IAT: LoadLibraryA - 7C8EFF9C<>7C801D77

Детектирована модификация IAT: GetProcAddress - 7C8EFFEC<>7C80ADA0

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Функция rasapi32.dll:RasDialA (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->E30010<>76EE6A25

Функция rasapi32.dll:RasDialW (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->E3003A<>76EE672B

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082480)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559480

KiST = 81954170 (297)

>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->81954170(297))

Функция ZwAllocateVirtualMemory (11) перехвачена (80567D9D->81B45230), перехватчик не определен

Функция ZwClose (19) перехвачена (80566B49->F2EFC5B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateKey (29) перехвачена (8056E761->F2EF1280), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateProcess (2F) перехвачена (805AD314->F2EFC2C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateProcessEx (30) перехвачена (8058041A->F2EFC440), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateSection (32) перехвачена (8056441B->F2EFCEE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateSymbolicLinkObject (34) перехвачена (8059D4DB->F2EFCB2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwCreateThread (35) перехвачена (8057B1C5->F2EFD830), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwDeleteKey (3F) перехвачена (80590F78->F2EF1340), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwDeleteValueKey (41) перехвачена (8058E9FA->F2EF13C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwDuplicateObject (44) перехвачена (80573AB6->F2EFC710), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwEnumerateKey (47) перехвачена (8056EE68->F2EF1450), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwEnumerateValueKey (49) перехвачена (8057EB28->F2EF1500), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwFlushKey (4F) перехвачена (805DA2D0->F2EF15B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwInitializeRegistry (5C) перехвачена (8059F813->F2EF1630), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwLoadKey (62) перехвачена (805AACF0->F2EF1E00), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwLoadKey2 (63) перехвачена (805AAB3E->F2EF1650), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwNotifyChangeKey (6F) перехвачена (8058C141->F2EF16F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwOpenFile (74) перехвачена (80570CE3->F9E53028), перехватчик kl1.sys

Функция ZwOpenKey (77) перехвачена (80567AFB->F2EF17D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwOpenProcess (7A) перехвачена (80573C96->F2EFC050), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwOpenSection (7D) перехвачена (8057769B->F2EFCD2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwQueryKey (A0) перехвачена (8056EB71->F2EF1870), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwQueryMultipleValueKey (A1) перехвачена (8064C8F8->F2EF1920), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA->F2EFD4C6), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->F2EF19D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwQueueApcThread (B4) перехвачена (80586F2E->81B452A8), перехватчик не определен

Функция ZwReadVirtualMemory (BA) перехвачена (8057E48E->81B98020), перехватчик не определен

Функция ZwRenameKey (C0) перехвачена (8064CD3D->81B3CD10), перехватчик не определен

Функция ZwReplaceKey (C1) перехвачена (8064D232->F2EF1A80), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwRestoreKey (CC) перехвачена (8064BD56->F2EF1B10), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwResumeThread (CE) перехвачена (8057B838->F2EFD7A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSaveKey (CF) перехвачена (8064BDFD->F2EF1BA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSetContextThread (D5) перехвачена (8062C143->F2EFDB80), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSetInformationFile (E0) перехвачена (80577E2C->F2EFE270), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSetInformationKey (E2) перехвачена (8064C45B->F2EF1C30), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSetInformationProcess (E4) перехвачена (8056BD05->F2F00CD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSetInformationThread (E5) перехвачена (80575736->81B45410), перехватчик не определен

Функция ZwSetValueKey (F7) перехвачена (80574C1D->F2EF1CD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwSuspendProcess (FD) перехвачена (8062DD19->81B45578), перехватчик не определен

Функция ZwSuspendThread (FE) перехвачена (805DF81E->F2EFD750), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwTerminateProcess (101) перехвачена (80582C2B->F2EFD300), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwTerminateThread (102) перехвачена (8057A8DE->81B45488), перехватчик не определен

Функция ZwUnloadKey (107) перехвачена (8064C02B->F2EF1DC0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0->F2EFC5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Проверено функций: 284, перехвачено: 45, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F943F83B] C:\WINDOWS\system32\haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F943F780] C:\WINDOWS\system32\haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 34

Количество загруженных модулей: 409

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\Program Files\Compaq\Hotkey Software\hksshook.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Compaq\Hotkey Software\hksshook.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

C:\Program Files\Compaq\Hotkey Software\hksshook.dll>>> Нейросеть: файл с вероятностью 99.94% похож на типовой перехватчик событий клавиатуры/мыши

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"

Проверка завершена

Просканировано файлов: 443, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 16.11.2006 15:11:31

Сканирование длилось 00:00:46

---

большое спасибо за помощь!

И вот еще сообщения от KIS 6.0

----

13.11.2006 16:58:34 Попытка процесса с PID 696 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1416 была заблокирована. Это результат срабатывания механизма самозащиты.

15.11.2006 14:04:40 Попытка процесса с PID 696 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1416 была заблокирована. Это результат срабатывания механизма самозащиты.

15.11.2006 16:34:25 Сигнатуры угроз устарели.

15.11.2006 16:34:34 Ошибка обновления: нет связи с источником обновления.

15.11.2006 16:36:12 Обновление успешно завершено.

16.11.2006 11:48:59 Ошибка обновления: нет связи с источником обновления.

16.11.2006 12:10:38 Попытка процесса с PID 2588 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1416 была заблокирована. Это результат срабатывания механизма самозащиты.

16.11.2006 12:10:38 Попытка процесса с PID 2588 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 264 была заблокирована. Это результат срабатывания механизма самозащиты.

16.11.2006 13:19:53 Kaspersky Internet Security 6.0 не активирован. Рекомендуется активировать программу как можно скорее.

16.11.2006 13:22:27 Попытка процесса с PID 188 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1768 была заблокирована. Это результат срабатывания механизма самозащиты.

16.11.2006 13:22:27 Попытка процесса с PID 188 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1944 была заблокирована. Это результат срабатывания механизма самозащиты.

[Гость Shade]

Странные вещи творятся с моим компом. Сделала проверку HijackThis, .

Вот мой лог, посмотрите пожалуйста.... :D

Logfile of HijackThis v1.99.1

Scan saved at 20:17:26, on 16.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\Program Files\Nod32\nod32krn.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\igfxtray.exe

F:\WINDOWS\system32\hkcmd.exe

F:\WINDOWS\system32\igfxpers.exe

F:\WINDOWS\RTHDCPL.EXE

F:\Program Files\Nod32\nod32kui.exe

F:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe

F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

F:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

F:\Program Files\AVerTV\QuickTV.exe

F:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

F:\Program Files\Opera\Opera.exe

F:\DOCUME~1\CD\LOCALS~1\Temp\Rar$EX01.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [igfxTray] F:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] F:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] F:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "F:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C43 Series" /O5 "LPT1:" /M "Stylus C43"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: KYESCAN.lnk = ?

O4 - Global Startup: QuickTV.lnk = F:\Program Files\AVerTV\QuickTV.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156263443921

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC323319-899A-4BEC-94E5-FA1561CF74A6}: NameServer = 80.86.243.10 80.86.243.20

O20 - Winlogon Notify: igfxcui - F:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - F:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - F:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - F:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - F:\Program Files\Nod32\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - F:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - F:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - F:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - F:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - F:\WINDOWS\system32\wbem\wmiapsrv.exe

[Romeozzz]

Уважаемая Saule!

У меня проблемма такая: выскакивает с разной переодичностью окно с ErrorSafe ну и как обычно содержание о скачивании оного продукта...

Пробывал разные программы которые Вы предлогали пользователям с данной траблой...единственное, что помогло (на совсем чуток времени) это Spy Sweeper...

Премного благодарен если Вы удилите мне немного вашего драгоценного времени :D

Спасибо :D

Вот мой лог:

Logfile of HijackThis v1.97.7

Scan saved at 21:53:28, on 16.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\soundman.exe

C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Clock Tray Skins\ClockTraySkins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Documents and Settings\Romeozzz\Рабочий стол\Новьё\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchEnhancer\nsdB.dll

O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll

O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MAgent] "C:\Program Files\Mail.Ru\Agent\MAgent.exe" -LM

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [skinClock] "C:\Program Files\Clock Tray Skins\ClockTraySkins.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: ICQ Lite (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9E3B01-2DA8-4158-8647-4840D9A30427}: NameServer = 212.188.4.10 195.34.32.116

[Гость avb_constructor]

Привет, Saule!

У двух моих сослуживцев avast сигналит о наличии трояна. Я комп одного из них просканировал хайджекером (второму оказалось не нужно, т.к. к нам в фирму должен прийти системщик). Вот что выдал хайджекер: . Есть ли какая-либо бяка на этом компе?

[Saule]

У меня проблемма такая: выскакивает с разной переодичностью окно с ErrorSafe ну и как обычно содержание о скачивании оного продукта...

Пробывал разные программы которые Вы предлогали пользователям с данной траблой...единственное, что помогло (на совсем чуток времени) это Spy Sweeper...

К сожалению, у вас устаревшая версия HijackThis и в случае с этой программой, это действительно важно. Поэтому, если у вас есть такая возможность, то повторите это сканирование, используя версию HijackThis v1.99.1 (и вы сами сможете убедиться в том, что лог будет несколько больше). Так как с ErrorSafe возможны варианты, и я не могу быть уверенной, что этого будет достаточно.

Но, тем не менее, действия по логу, который можно видеть сейчас:

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchEnhancer\nsdB.dll

O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Плюс желательно удалить временные файлы системы:

Либо с помощью

ATF-Cleaner

http://www.atribune.org/ccount/click.php?id=1' rel="external nofollow">

:

Скачиваем, запускаем (инсталляция не требуется), для полной чистки отмечаем галочкой "Select All" и нажимаем на

кнопку "Empty Selected".

Либо в ручную:

1. Идем: C:\Windows\Temp
   Удаляем всё содержимое этой папки.

2. Дальше: Start > Run
   Висываем %temp%
   Нажимаем ОК или клавишу ENTER.
   Удаляем всё содержимое папки, которая откроется автоматически.

3. Control Panel > Internet Options
   Нажимаем на кнопку Delete Files.

3. Перезагружаем компьютер.

4. После чего можно удалить папки:

C:\WINDOWS\system32\

SearchEnhancer

C:\WINDOWS\system32\

SmartShopper

Т.к. они будут в последствии лишь занимать место в системе.

----

И как я уже сказала, лучше всё-таки повторить лог, так как этого, наверняка, будет не достаточно.

[Saule]

Странные вещи творятся с моим компом. Сделала проверку HijackThis, .

Вот мой лог, посмотрите пожалуйста....

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

----

И что именно вы имели в виду под странными вещами?

[XyJIuGUN]

NOD нашел червя Trojan.Win32.Dtray.a Как его удалить ??? Помагите

Выкладывая лог. заранее спасибо

Logfile of HijackThis v1.99.1

Scan saved at 14:49:27, on 17.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\DOCUME~1\РИНАТ\LOCALS~1\Temp\Rar$EX00.093\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{69EF0683-A03B-4093-9798-89E7C12799DC}: NameServer = 192.168.0.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC2066F7-A5CB-4B1F-B4FF-DC64A6D9CECB}: NameServer = 84.254.196.17 84.254.196.25

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Program Files\Stardock\Object Desktop\IconPackager\iprepair.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Подозреваю нечисть. Поможите.

Вот отчеты

Скажите, какие действия производятся на компьютере в те моменты, когда KIS сообщает о попытке получения доступа к его процессу?

Есть ли какая-либо бяка на этом компе?

Есть.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O20 - AppInit_DLLs: D:\WINDOWS\System32\tmp_du.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. Удаляем файлы, если такие всё еще будут присутствовать в системе:

D:\WINDOWS\System32\mysvcc.exe

D:\WINDOWS\System32\tmp_du.dll

D:\WINDOWS\System32\svcchost.exe (только не перепутайте этот файл с одним из системных, у которого очень похожее название - svchost.exe)

4. Затем желательно повторить лог.

[Гость Shade]

Спасибо, Saule

Про "странные вещи", здесь http://www.softboard.ru/index.php?showtopic=40341

[Гость avb_constructor]

Скажите, какие действия производятся на компьютере в те моменты, когда KIS сообщает о попытке получения доступа к его процессу?

Есть.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O20 - AppInit_DLLs: D:\WINDOWS\System32\tmp_du.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. Удаляем файлы, если такие всё еще будут присутствовать в системе:

D:\WINDOWS\System32\mysvcc.exe

D:\WINDOWS\System32\tmp_du.dll

D:\WINDOWS\System32\svcchost.exe (только не перепутайте этот файл с одним из системных, у которого очень похожее название - svchost.exe)

4. Затем желательно повторить лог.

Saule, пункт 3 выполнить не удалось, т.к. этих файлов не оказалось. Но зато я нашел два других и со странным названием: eraseme_*.exe (см. этот скриншот ). На одного из них avast уже ругался. Наверно, это они? Меня больше всего беспокоит то, что они в папке D:\WINDOWS\System32. Как бы лишнего не отрезать, доктор. ;)

И еще, когда фиксил O20, мне хайджекер выдал ошибку (см. этот скриншот ). Что можно сделать?

По пункту 4: см. лог -

Изменено 17 ноября, 2006 пользователем avb_constructor

[Бумер]

Люди, помогите, мой комп обвирусел. Стоит ДР.Веб, обновленный. Но обнаруживает таких гадов: Pamela_Anderson Sadam_husein Еще вирь в папке темп обосновался - его имя smss.exe Удалить ни антивир не может ни ручками (вылетает окно защиты файлов винды (восстановление отключил)). Я уже дума с под ДОса удалить этого гада, но дело в том, что НТФС у меня на диске д. И вообще, комп страшно тормозит (как на ручнике стоит) работать не возможно прям. как я опустился до такого позора и сам не знаю. В нет просятся разные проги (благо Аутпост поставил) рвутся прям данные выкачивать. Торможение компа полное. Антивирусник не пашет полностью (ошибка:память не может быть "written" - даже винду переустанавливать появилась мысль. Приложения пашут плохо, некоторые глючат и я их переустанавливаю. Можно ли как нибудь спасти комп не снося винду???

Да и еще: На компе на диске С завалялась 98 винда, а на диске Д живет две винды (одна действующая, вторая не запускается). Удалять думал, но дело в том, что комп на двоих с сестрой и он большее ее, чем мой, а она запрещает (пока ) удалять и 98 и вторую ХР. Ну 98 скоро по-любому удалим. Может форматнуть диск С, поставить на него временно винду (ХР), потом установить на ней свежий антивирусник, проверить все диски, и опять форматнуть диск С, а продолжать работать на этой (что счас работаю)

[Romeozzz]

О прекрасная Saule!

Спасибо Вам за то, что вы есть :)

сделал так как вы сказали (пока окно не выскакивало)

спасибо за ссылку....

вот нью лог:

Logfile of HijackThis v1.99.1

Scan saved at 0:18:02, on 18.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\soundman.exe

C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Clock Tray Skins\ClockTraySkins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Documents and Settings\Romeozzz\Рабочий стол\HijackThis.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MAgent] "C:\Program Files\Mail.Ru\Agent\MAgent.exe" -LM

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [skinClock] "C:\Program Files\Clock Tray Skins\ClockTraySkins.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9E3B01-2DA8-4158-8647-4840D9A30427}: NameServer = 212.188.4.10 195.34.32.116

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

NOD нашел червя Trojan.Win32.Dtray.a Как его удалить ??? Помагите :)

А разве антивирус его не удаляет? Или удаляет, но червь через какое-то время опять появляется?

В этом случае, как ни странно, антивирус всё делает правильно. Но, к сожалению, он не может избавить вас от повторного заражения (т.е. не может закрыть ту дыру, через которую вирус к вам залезает), так как это уже не входит в его обязанности. Поэтому удалять червя можно будет до бесконечности, только вот особого толку от этого нет, так как новое заражение всё равно последует очень скоро при подключении уязвимого компьютера к интернету (или сети).

Рекомендации могут быть следующими:

Для начала попробуйте отключить компоненты, позволяющие другим сетевым компьютерам обращаться к ресурсам вашей системы:

Start > Control Panel > Network Connections > Local Area Connection > Properties

(Пуск > Панель управления > Сетевые подключения > Подключение по локальной сети > Свойства)

Убираем галочки с пунктов "Client for Microsoft Networks"/"Клиент для сетей Microsoft" и "File and Printer Sharing for Microsoft Networks"/"Служба доступа к файлам и принтерам сетей Microsoft".

Нажимаем OK.

Если это вам не поможет, то удостоверьтесь в том, что встроенный в Windows XP файрвол у вас активирован:

Start > Control Panel > Windows Firewall > On

(Пуск > Панель Управления > Брандмауер Windows > Включить)

Либо пробуйте установить файрвол любого стороннего производителя (Firewall - Что это такое?), так как вам обязательно нужно закрыть на компьютере ряд определенных портов (файрвол, встроенный в Windows XP, также их закрывает, только для этого нужно, чтобы он был включен).

После этого проблемы с червями подобного вида исчезнут.

[Saule]

Saule, пункт 3 выполнить не удалось, т.к. этих файлов не оказалось.

Я ведь не просто так сказала "удаляем файлы, если такие всё еще будут присутствовать.."

Поэтому ничего страшного в том, что их там не оказалось, действительно нету.

Что касается тех двух новых файлов - то удаляй смело, после чего обязательно устанавливаем заплатку KB899588 (для устранения уязвимости, описанной здесь: Microsoft Security Bulletin MS05-039), иначе через какое-то время они снова появятся.

И по поводу "как бы чего лишнего не отрезать" - система сама защищает все свои наиболее важные файлы, поэтому не даст удалить их обычными способами (т.е. вручную).

И еще, когда фиксил O20, мне хайджекер выдал ошибку. Что можно сделать?

Ничего делать не нужно, т.к. эта ошибка всего лишь сообщает о том, что программе HijackThis не удалось сделать резервное сохранение этой строчки (на тот случай, если когда-нибудь эту строчку вдруг понадобиться восстановить).

То есть в данном случае нам действительно абсолютно не важно, что этот бэкап не будет создан, т.к. возвращать эту строчку уже никогда не понадобиться.

[Saule]

Можно ли как нибудь спасти комп не снося винду???

Если есть желание - скачай HijackThis.

Включи и нажми на кнопку "Do a systemscan and save a logfile".

После чего программа автоматически выдаст тебе свой лог, содержимое которого просто скопируй в своё сообщение.

[Бумер]

Logfile of HijackThis v1.99.1Scan saved at 10:48:42, on 02.11.2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\csrss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\Program Files\Internet Explorer\iexplore.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\Program Files\Alwil Software\Avast4\aswUpdSv.exeD:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXED:\WINDOWS\System32\nvsvc32.exeD:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exeD:\Program Files\CyberLink\Shared files\RichVideo.exeD:\Program Files\DrWeb\SpiderNT.exeD:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\System32\wdfmgr.exeD:\Program Files\Raxco\PerfectDisk\PDSched.exeD:\WINDOWS\System32\CAP3RSK.EXED:\WINDOWS\explorer.exeD:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXED:\WINDOWS\System32\svchost.exeD:\Program Files\DrWeb\DRWEBSCD.EXED:\WINDOWS\System32\services.exeD:\PROGRA~1\DrWeb\spidernt.exeD:\WINDOWS\System32\services.exeD:\WINDOWS\system32\NOTEPAD.EXED:\Программы (саша)\Opera.exeD:\Documents and Settings\попец\Рабочий стол\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [DrWebScheduler] "D:\Program Files\DrWeb\DRWEBSCD.EXE"O4 - HKLM\..\Run: [1] D:\Program Files\DrWeb\drwadins.exeO4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitserviceO4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agentO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Documents and Settings\попец\Application Data\Mail.Ru\Agent\MAgent.exe (HKCU)O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\программы (саша)\trafficcompressor\tcomplsp.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{66419AC2-40BC-4E27-A429-F324652C0E57}: NameServer = 217.118.66.244 213.129.96.1O20 - Winlogon Notify: arm32reg - D:\Documents and Settings\All Users\Документы\Settings\arm32.dllO20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: HDD Temperature (HDDTService) - Unknown owner - D:\Программы (саша)\HDDTSvc.exe (file missing)O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exeO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exeO23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exeO23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exeO23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exeO23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exeO23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exeO23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exeO23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: Security_Service - Unknown owner - D:\WINDOWS\System32\TmrService.exeO23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\Program Files\DrWeb\SpiderNT.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exeO23 - Service: UFD Command Service (UFDSVC) - Unknown owner - D:\WINDOWS\system32\ufdsvc.exe (file missing)O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

Вот мой лог

[Saule]

сделал так как вы сказали (пока окно не выскакивало)

Всё действительно теперь выглядит чистым. Поэтому, надеюсь, что и в будущем это окно больше не выскочит.

P.S. Единственное, можно еще раз открыть HijackThis, нажать на "Do a system scan only" и отметить галочкой следующее:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Затем на "Fix Checked" (браузер при этом нужно закрыть).

Ничего опасного эта строка из себя не представляет, просто она уже не нужна.