Помощь в лечении систем от нечисти

[Saule]

Вот мой лог

Возможно, на самом деле лучше будет просто переустановить всю систему, так как лечение в твоём случае не будет простым.

Но если всё же решишь воскрешать машину без переустановки, то тогда вот:

1) Закрываем все посторонние программы, чтобы ничего не мешало.

2) Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на arm32reg и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с arm32reg и затем нажимаем на кнопку "X"). Если вдруг такой строчки (ссылающейся на arm32reg) там не окажется, то просто переходим к следующему пункту.

3) Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).

4) После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:

D:\Documents and Settings\All Users\Документы\Settings\arm32.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

5) Снова перезагружаем компьютер.

6) Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

7) Скачиваем программу ProcessExplorer.

Запускаем и находим в списке процессов, который он выдаст, следующие:

D:\WINDOWS\System32\

svchost.exe

D:\WINDOWS\System32\

services.exe

D:\WINDOWS\System32\

services.exe

Но не в отделение System, а запущенные от имени explorer.exe, т.е. где-то в самом конце этого списка (это важно!).

И по очередно завершаем все три (кликаем по нужному процессу правой кнопкой мыши и выбираем "Kill Process". На запрос "Are you sure you want to kill services.exe?" - отвечаем "Yes").

8) Открываем любой текстовый редактор (напр., Notepad) и копируем туда следующее:

REGEDIT4[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

Сохраняем этот текстовый файл с расширением .reg (либо сохраняем и затем меняем расширение вручную - с .txt на .reg) и запускаем его. На вопрос Windows "Are you sure you want to add this information... to registry?" - отвечаем "Yes".

9) Снова открываем AVZ и в его верхнем меню выбираем:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку (на всякий случай обращаю внимание на то, что файл csrss.exe, который нужно удалить находится именно в папке WINDOWS, а не WINDOWS\system32):

D:\WINDOWS\csrss.exe

Затем нажимаем "ОК", выбираем "Удаление файлов" и снова "ОК".

10) Перезагружаем компьютер.

11) После перезагрузки может "исчезнуть" рабочий стол (если же всё ок, то просто переходим к следующему пункту).

В этом случае нажимаем на CRTL+ALT+DEL и в появившемся диспетчере задач (Task Manager) нажимаем в верхнем меню:

File > New Task

(Новая задача)

В открывшемся окне выбора файла находим и запускаем AVZ (файл avz.exe).

Далее в верхнем меню AVZ:

Файл > Восстановление системы

Отмечаем "Удаление отладчиков системных процессов" и нажимаем на "Выполнить отмеченные операции".

Снова перезагружаем компьютер (с помощью кнопки RESET).

12) После чего делаем полное сканирование системы с помощью антивируса и удаляем все зараженные объекты и мусор, который тебе успели к этому времени накачать (в смысле файлы: Pamela_Anderson, Sadam_husein и прочие).

[Бумер]

Решаюсь на лечение системы. Сделаю сейчас как все написано. А потом опять надо сохранить лог и выложить сюда или нет????

[Romeozzz]

Спасибо БОЛЬШОЕ!!!!

Цалую Ваши золотые ручки и если позволите чмок в щёчку!!! :D

[Saule]

Решаюсь на лечение системы. Сделаю сейчас как все написано. А потом опять надо сохранить лог и выложить сюда или нет????

На самом деле мне это абсолютно не важно, так как речь идет всё-таки не о моей системе.

Поэтому смотри сам - если ты оставишь новый лог для того, чтобы удостовериться в том, что всё было действительно удалено и ничего нового не появилось, то я не обижусь. Не оставишь - не обижусь тем более.

А если в общем, то, конечно, лучше в любом случае выложить (еще раз повторю: не для меня, а скорей для себя)

[pinmix]

Последнее время стал замечать - что у меня на компе в диспетчере задач - некоторые приложения запущенны в двух экземпялрах (от моего пользователя и от система)... %)

Saule: Глянь пожалуйста - что не так:

Logfile of HijackThis v1.99.1Scan saved at 2:26:45, on 19.11.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Acronis\Schedule2\schedul2.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exeC:\Program Files\Executive Software\DiskeeperLite\DKService.exeC:\Program Files\Nero\Nero 7\InCD\InCDsrv.exeC:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEC:\WINDOWS\system32\nvsvc32.exeC:\Program Files\CyberLink\Shared files\RichVideo.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\Explorer.EXEC:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exeC:\WINDOWS\system32\rundll32.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exeC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exeC:\Program Files\Punto Switcher\ps.exeC:\Program Files\Opera AC-3\operaldr.exeC:\Program Files\Opera AC-3\opera.exeC:\Program Files\Agnitum\Outpost Firewall\outpost.exeC:\Program Files\QIP\qip.exeC:\Program Files\uTorrent\utorrent.exeC:\Program Files\The Bat!\thebat.exeC:\Program Files\BeholdTV\BeholdTV.exeC:\Program Files\eMule\eMule.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\Дмитрий\Рабочий стол\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dl32.com/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dllO3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dllO3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dllO4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentO4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUpO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitserviceO4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startupO4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exeO4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exeO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Download with Rapget - I:\emule downloaded\rapget106\rapget.htmO8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htmO8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htmO9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dllO9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dllO9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146230785421O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146231235250O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cabO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{37AA96BA-1D7D-4C14-B8D3-2F71D1F5B043}: NameServer = 213.158.0.6 213.158.0.3O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exeO23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exeO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exeO23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exeO23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exeO23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exeO23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Сканирование касперским - не показало ничего..

На момент создания лога - в двух экземпляраах запущены Каспер, rundll32..

Пару раз замечал - дублирование оутпоста...

[Бумер]

Logfile of HijackThis v1.99.1Scan saved at 10:32:27, on 03.11.2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\csrss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\Program Files\Alwil Software\Avast4\aswUpdSv.exeD:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXED:\WINDOWS\System32\nvsvc32.exeD:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exeD:\Program Files\CyberLink\Shared files\RichVideo.exeD:\Program Files\DrWeb\SpiderNT.exeD:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\System32\wdfmgr.exeD:\Program Files\Raxco\PerfectDisk\PDSched.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\System32\CAP3RSK.EXED:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXED:\Program Files\DrWeb\DRWEBSCD.EXED:\PROGRA~1\DrWeb\spidernt.exeD:\Documents and Settings\попец\Рабочий стол\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 69.57.134.164:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [DrWebScheduler] "D:\Program Files\DrWeb\DRWEBSCD.EXE"O4 - HKLM\..\Run: [1] D:\Program Files\DrWeb\drwadins.exeO4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitserviceO4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agentO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Documents and Settings\попец\Application Data\Mail.Ru\Agent\MAgent.exe (HKCU)O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dllO10 - Unknown file in Winsock LSP: d:\программы (саша)\trafficcompressor\tcomplsp.dllO20 - Winlogon Notify: arm32reg - D:\WINDOWS\O20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: HDD Temperature (HDDTService) - Unknown owner - D:\Программы (саша)\HDDTSvc.exe (file missing)O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exeO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exeO23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exeO23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exeO23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exeO23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exeO23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exeO23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exeO23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: Security_Service - Unknown owner - D:\WINDOWS\System32\TmrService.exeO23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\Program Files\DrWeb\SpiderNT.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exeO23 - Service: UFD Command Service (UFDSVC) - Unknown owner - D:\WINDOWS\system32\ufdsvc.exe (file missing)O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

Спасибо большое. Вот после того что я сделал такой лог.

[galkin]

Saule, спасибо за опеативную помощь! :D

[Гость avb_constructor]

Прива всем! У меня Антивирус Касперского 6.0 постоянно пишет "Сигнатуры угроз устарели и т.д" Мне дали Key но они не загружаются ! Что делать? Может надо что-то другое скачать?

Подскажите что, и по возможности где я могу скачать " лекарство"!!!!

Да простят меня модераторы, если что не так.

Пользуйся бесплатными антивирусами: например, avast'ом или AVG. Они не хуже Касперского.

А кряки на этом форуме не обсуждаются.

Изменено 20 ноября, 2006 пользователем avb_constructor

[Saule]

Последнее время стал замечать - что у меня на компе в диспетчере задач - некоторые приложения запущенны в двух экземпялрах (от моего пользователя и от система)... %)

Сканирование касперским - не показало ничего..

На момент создания лога - в двух экземпляраах запущены Каспер, rundll32..

Для Касперского запуск двух процессов avp.exe (один от имени пользователя. другой от системы) - это нормально. Вернее, так и должно быть.

Два rundll32.exe в твоём случае также вполне может быть.

Если объяснять кратко, то приложение rundll32.exe предназначено для запуска DLL и CPL-файлов в виде программ (т.е. когда исполняемый код библиотеки запускается как программа через rundll32.exe, то в списке процессов будет висеть не процесс этой запущенной программы, а rundll32.exe). К примеру, у тебя через автозагрузку с помощью rundll32.exe запускаются следующие приложения: NvMcTray.dll (NvTaskbarInit), NvCpl.dll (NvStartup), TWEAKUI.CPL (TweakMeUp), bthprops.cpl (BluetoothAuthenticationAgent). Если к этому ты еще зайдешь в Control Panel/Панель Управления и откроешь еще несколько приложений одновременно (т.е. открывая следующее, не будешь закрывать предыдущее), напр.: Add or Remove Programs/Установка и удаление программ + Display/Экран + System/Система, то процессов rundll32.exe у тебя будет даже больше, чем два.

А в логе, как и Каспер, ничего подозрительного не вижу.

------------

Спасибо большое. Вот после того что я сделал такой лог.

На самом деле отличная работа, молодец.

Единственное, еще нужно пофиксить с помощью HijackThis следующую строчку (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужное и нажать на кнопку "Fix Checked"):

O20 - Winlogon Notify: arm32reg - D:\WINDOWS\

[pinmix]

А в логе, как и Каспер, ничего подозрительного не вижу.

Ну, тогда спасибо большое!

А-то я уже переживать стал...

[Гость avb_constructor]

Saule, что за троян Win32:Sdbot-3899 [Trj]? На упомянутом мной несколькими постами выше компе моего сослуживца поселилась такая гадость и ничем ее не выкуришь. Логи я уже выкладывал, но вот еще раз: .

Я тут еще запустил ewido на всякий пожарный.

Тут такая фигня творится еще, не знаю, троян в этом виноват или еще по какой причине. В общем, у нас сейчас происходят странные вещи. У нас в кабинете все компы подключены через этот комп к интернету. И временами то пропадает связь с этим упомянутым выше компом (не можем получить доступ к папкам, а с него невозможно печатать на сетевой принтере), но при этом интернет у всех есть; то наоборот, есть доступ по локалке, но выход в интернет есть только у этого компа, остальные сидят без связи с внешним миром.

Изменено 20 ноября, 2006 пользователем avb_constructor

[Бумер]

Saule, я тебя люблю!!!!! Мой комп теперь не тормозит!!

А вот насчет этого:

На самом деле отличная работа, молодец.

Это правда, если ты сказала это себе

[Гость avb_constructor]

Saule, ewido обнаружила и уничтожила следующие гадости (привожу только те, что с высокой степенью опасности):

Backdoor.Sdbot.awk

Backdoor.Rbot.bni

Backdoor.Rbot.aeu

Что это за штучки?

Теперь такой вопрос. От меня нужны ли еще какие-либо действия? А то я чувствую, что затянется у нас эта битва с трояном.

Изменено 20 ноября, 2006 пользователем avb_constructor

[holiday]

Скажите, какие действия производятся на компьютере в те моменты, когда KIS сообщает о попытке получения доступа к его процессу?

Пробовал отследить, запускать программы - бесполезно. Случается как-то само. Как правило через некоторое время после включения или перезагрузки.

Подозреваю руткит. Пару месяцев назад каспер сообщил , что были заменены 3 или 4 экзешника. По наивности пропустил. У каспера отчет через 30 дней удалился, теперь не знаю какие именно.

Помогите чем - нибудь.

Изменено 21 ноября, 2006 пользователем Saule

[Alexey Krasnov]

ПОМОЖИТЕ И МНЕ... (кланяюсь в ноги, бью челом)

Logfile of HijackThis v1.99.1

Scan saved at 20:40:06, on 20.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\RDS\RsiSvc.exe

C:\Program Files\RDS\srscandr.exe

C:\Program Files\RDS\ddsschednt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vpc32.exe

C:\Documents and Settings\aak.RJI\Рабочий стол\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*.companyweb

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = RJI.local

O17 - HKLM\Software\..\Telephony: DomainName = RJI.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = RJI.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = RJI.local

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Program Files\RDS\ddsschednt.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Program Files\RDS\RsiSvc.exe

O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Program Files\RDS\srscandr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SOption - RICOH Company Ltd. - C:\Program Files\RDS\SOption.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Backdoor.Sdbot.awk

Backdoor.Rbot.bni

Backdoor.Rbot.aeu

Что это за штучки?

Кратко: Backdoor - это программы, открывающие компьютер для удаленного скрытого управления. Позволяют делать в системе самые разнообразные действия или, другими словами, всё, что в них заложил автор (напр., принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер, распространяться по сети и внедряться в другие компьютеры и т.д.).

И тот вирус, который в прошлый раз был удален, в том логе уже вернулся обратно.

Поэтому немного не понятно, почему вы лечите только этот компьютер, не обращая внимания на другие?

Любой классический вирус, попав на один компьютер, через некоторое время заражает и все остальные, подключенные к этой сети. И пока хоть один из них останется зараженным, всё лечение будет похоже на процедуру, когда люди гоняют тараканов из одной квартиры в другую.

По последнему логу (до чистки Еwido):

1. Start > Run (Пуск > Выполнить)

Копируем в строку: services.msc

Нажимаем ОК или клавишу ENTER.

Находим в списке сервисов следующий: Network helper Service

Кликаем по нему двойным кликом и в открывшемся приложении изменяем его StartUp Type/Тип Запуска на положение Disabled/Отключено + если возможно, нажимаем на кнопку Stop/Стоп.

Сохраняем изменения - Apply и ОК.

2. Запускаем AVZ и нажимаем в верхнем меню:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку (опять-таки важно не перепутать с названием - удалить нужно svcchost.exe, а не svchost.exe!):

D:\WINDOWS\System32\svcchost.exe

Нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

Затем то же самое делаем со следующей строчкой:

D:\WINDOWS\System32\irdvxc.exe

3. Start > Run (Пуск > Выполнить)

Копируем в строку: sc delete Network helper Service

Нажимаем ОК или клавишу ENTER.

4. Перезагружаем компьютер.

Но на будущее нужно договориться о том, что логи выкладываются уже после того, как компьютер будет почистен с помощью антивируса и т.д. Так как я в таком случае занимаюсь немного бесполезным трудом. Т.е. сначала даём возможность справиться с паразитами Еwido и т.п., и в случае, если ему что-либо будет уже не под силу или после него что-то в системе всё же останется - уже можно обращаться сюда (и прилагаемый лог должен быть обязательно после чистки, так как слишком многое в нем может к тому времени поменяться).

P.S. Также проверьте, установлены ли на этом компьютере следующие заплатки (и если не установлены, то обязательно установите):

Microsoft Security Bulletin MS03-043

Microsoft Security Bulletin MS04-011

Microsoft Security Bulletin MS05-039

Microsoft Security Bulletin MS06-040

[SergeyL]

Юзер схватил заразу. Выглядит так:

В определенный момент запускаетя процесс svchost.exe, который соединяется с адресом 66.185.126.34 и от туда в папу \system32\ копируется файл 778501ld.exe, который начинает рассылку спама. NAV его удаляет, но пока он его просканирует, не сможет вылечить и затем удалить некоторое кол. писем уже ушло. После удаления начинается опять коннектт. Прикрыл указанный адрес, так коннект есть правда без результата. Просканировал реестр на придмет поиска подозрительных записей svchost.exe ничего не нашел.

Родительский процесс winlogon.exe, сам процесс svchost.exe нашел, но не могу найти как он запускается.

Подскажите, как заразу излечить!!!!!!!!!!!!!

[Saule]

Пробовал отследить, запускать программы - бесполезно. Случается как-то само. Как правило через некоторое время после включения или перезагрузки.

Знаете, как ни странно, это больше похоже именно на небольшие недоработки в KIS 6.0. Так как подобное в нем действительно уже встречалось (даже баг с записью в журнале событий, о том, что: "Kaspersky Internet Security 6.0 не активирован. Рекомендуется активировать программу как можно скорее", без видимых на то причин. Но это, вроде как, было исправлено).

Что же касается руткита, то в логе AVZ никаких опасных маскировок, которые могли бы свидетельствовать о его наличии на компьютере, на самом деле не наблюдается (практически все перехваты сделаны драйверами Касперского).

Поэтому, еще с самого начала, единственное, что могло бы насторожить в ваших общих отчетах, были именно сообщения KIS.

Но дело в том, что самозащита Касперского 6.0 построена таким образом, что практически любая активность программ, сканирующих систему в целях получения информации о запущенных приложениях и пр. (что многим из них просто необходимо для корректной работы), фиксируется KIS 6.0, как попытка доступа к его файлам. Поэтому беспокоиться в таких ситуациях нужно лишь в том случае, если процесс, пытавшийся получить доступ к AV, не является системным или принадлежит не известному вам приложению. И для того, чтобы прояснить данную ситуацию, желательно выяснить, какой именно из процессов таким образом блокируется Касперским.

Это возможно сделать по PID:

Нажимаем на CRTL+ALT+DEL и в появившемся диспетчере задач (

Task Manager

) открываем вторую закладку -

Processes/Процессы

.

Далее в верхнем меню приложения:

View/Вид > Select Columns/Выбрать столбцы

И отмечаем галочкой опцию

PID (Process Identifier)/Идентификация процесса (PID)

.

Нажимаем ОК.

После этого в закладке Processes/Процессы появиться столбец

PID

, и вы рано или поздно сможете определить, кто пытается получить доступ к KIS.

И если в связи с этим у вас вдруг возникнут какие-либо вопросы, то не стесняйтесь, постараюсь помочь.

P.S. На всякий случай: PID - персональный идентификационный номер, который Windows присваивает каждому запущенному процессу на время текущей сессии работы ОС (т.е. одинаковым PID сохраняется лишь до очередной перезагрузки компьютера, после которой каждому из процессов будет присвоен уже другой номер).

[Saule]

ПОМОЖИТЕ И МНЕ...

А о проблемах какого характера идет речь? Так как, судя по логу, у вас всё чисто.

Родительский процесс winlogon.exe, сам процесс svchost.exe нашел, но не могу найти как он запускается.

Подскажите, как заразу излечить!!!!!!!!!!!!!

Если есть желание - скачай HijackThis.

Включи и нажми на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст тебе свой лог, содержимое которого просто скопируй в своё сообщение.

[Alexey Krasnov]

А о проблемах какого характера идет речь? Так как, судя по логу, у вас всё чисто.

Если есть желание - скачай HijackThis.

Включи и нажми на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст тебе свой лог, содержимое которого просто скопируй в своё сообщение.

Проблема в том, что процессор загружен постоянно на 80% без видимых на то причин. И результате все работает очень медленно.

[Delazar]

Помогите плиз. У меня на системном диске катастрофически уменьшается кол-во места. Мой каспер ничего не видит. Может кто знает чем может быть вызвано постоянное уменьшение места?

[Alexey Krasnov]

А о проблемах какого характера идет речь? Так как, судя по логу, у вас всё чисто.

Если есть желание - скачай http://*.companyweb

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = RJI.local

O17 - HKLM\Software\..\Telephony: DomainName = RJI.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = RJI.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = RJI.local

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[KKV]

Доброго времени суток!!! У меня такая проблема: в последнее время страшно стал глючить комп и периодически выдавать приглашение подключиться к сети. Помогите плиз устранить проблему.

Logfile of HijackThis v1.99.1

Scan saved at 2:55:27, on 23.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Acer\Empowering Technology\admServ.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\acer\Empowering Technology\ePower\epm-dm.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

D:\eMule IS Mod\Incoming\HijackThis_1.99.2\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [epm-dm] c:\acer\Empowering Technology\ePower\epm-dm.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://C:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Заранее благодарен.

[Alexey Krasnov]

Простите, что потревожил, проблема оказалась в звуковой карте на матери. Отвалилась, а драйвер или сама мать подвешивала процессор. Когда в биосе поменял HD Audio на AC97, и звук появился и работать проц стал нормально.

[Saule]

Доброго времени суток!!! У меня такая проблема: в последнее время страшно стал глючить комп и периодически выдавать приглашение подключиться к сети. Помогите плиз устранить проблему.

Вы бы не могли сделать скриншот этого приглашения (подключиться к сети) и присоединить его к сообщению?

P.S. На всякий случай, как сделать скриншот:

Когда увидите сообщение, которое нужно "сфотографировать", нажмите на клавиатуре клавишу Print Screen (Prt Scr). Как правило, она находится сразу же за клавишей F12, но в зависимости от ваше клавиатуры местоположение может и отличатся.

Затем запустите программу Paint и нажмие в её верхнем меню:

Правка > Вставить (Edit > Paste)

После чего в меню Файл (File) выберите Сохранить как..(Save as...)

Введите название файла и сохраните его (желательно в формате JPEG/JPG, так как в нём изображение занимает меньше места, чем предлагаемый по умолчанию формат BMP).