Помощь в лечении систем от нечисти

[KKV]

Saule, если не сложно, посмотрите пожалуйста процессы, которые я до этого отправлял. А по поводу приглашения подключиться к интернет, то он выплывает достаточно редко, но как появится, я вам его отправлю.

Заранее благодарен!!!

[Andzej]

Добрый вечер.

Что-то не так:

Logfile of HijackThis v1.99.1

Scan saved at 20:14:58, on 2006.11.23

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe

C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft Office 2007\Office12\GrooveMonitor.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Corel\Graphics9\Register\Remind32.exe

C:\Program Files\Total Commander\Totalcmd.exe

C:\Program Files\Opera\Opera.exe

C:\000\CD SOFT\Administratoru\000 Saule\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.play-analogia.com/cgi-bin/index/u/

R3 - URLSearchHook: Rambler-Anncnnakn - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU2870.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office 2007\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\Download Master\dmiehlp.dll

O3 - Toolbar: Rambler-Anncnnakn - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU2870.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"

O4 - HKLM\..\Run: [iMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Glass2k] C:\Program Files\Glass2k\Glass2k.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [GBMPro7Agent] "C:\Program Files\Genie-Soft\GBMPro7\GBMAgent.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office 2007\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Program Files\ABIT\ABITEQ\ABITEQ.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe"

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Corel Registration.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office 2007\Office12\ONENOTEM.EXE

O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files\Trojan Guarder Gold Version\Trojan Guarder.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office 2007\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office 2007\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office 2007\Office12\ONBttnIE.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office 2007\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office 2007\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

С уважением

Andzej

[Shumail]

Прива всем! У меня Антивирус Касперского 6.0 постоянно пишет "Сигнатуры угроз устарели и т.д" Мне дали Key но они не загружаются ! Что делать? Может надо что-то другое скачать?

Подскажите что, и по возможности где я могу скачать " лекарство"!!!!

Если у тебя прямое подключение к нету и свежий Key то я не знаю причины твоей проблемы.

Но если ты лазиешь в нет через сетку - так называемый PROXY - то твоя проблема имеет решение:

надо тебе настроить параметры обновления: Главное окна Каспера\Настройка\Сервис\Обновление\Настройка\Параметры LAN.

Если ты лазиешь в нет с помощью IE то просто поставь переключатель в положение: Использовать параметры прокси MIE и попробуй включить: Использовать авторизацию

Можешь попробовать мой конфиг от Каспера - он в прикреплённом файле: MY_Config.rar

Удачи

Вот и всё, чем я тебе могу помочь

MY_Config.rar

[Saule]

Saule, если не сложно, посмотрите пожалуйста процессы, которые я до этого отправлял.

Вы думаете, я стала бы вам отвечать, перед этим не посмотрев на ваши процессы? :(

Возможно, проблемы в вашей системе действительно существуют. Но они, скорей всего, не вызваны вирусным заражением.

Поэтому поробуйте поискать "виновника" среди своих законных программ (несовместимость каких-либо приложений, некорректная установка, т.д.), либо сделайте диагностику на общую производительность и аппаратные неисправности.

А что касается того приглашения подключится к сети, то там просто не совсем понятно, о чем идет речь (приглашение подключится к VPN/виртуальной частной сети?).

И вот для того, чтобы можно было бы объяснить, в каких случаях такое случается, желательно видеть скрин.

Добрый вечер. Что-то не так:

Если предложение "что-то не так" всё-таки было утверждением, а не вопросом, то точно также: попробуйте поискать причину этого среди своих законных программ (возможно, недавно устанавливали что-нибудь новое и т.д.).

P.S. Также есть вероятность того, что за "что-то не так" были приняты вполне законные вещи, о которых вы можете быть просто не в курсе (я не говорю, что это именно ваш случай, просто имейте это в виду).

Пара примеров для того, чтобы было понятнее:

• программа из автозагрузки - Glass2k, предназначенная для изменения прозрачности панели задач и любых других окон. При чем в кратком описании отмечено, что её функции допускают горячие клавиши и управление возможно даже с помощью правого клика по любому окну...

  Не трудно догадаться, что если пользователь толком не знает, что у него установлена эта программа, то ему действительно может быть очень даже не по себе. И, если он кому-либо покажет лог HijackThis, то никому и в голову не придет искать в ней причину (при условии, что проблема не была объяснена хотя бы в общих словах).

• еще приложения из автозагрузки: IMEKRMIG.EXE и IMSCMIG.EXE, относящиеся к редакторам способа ввода - IME (Input Method Editor), которые преобразуют транскрипцию, набранную латинскими буквами, в иероглифы китайского, японского или корейского языка... Случаи, когда пользователь пугается не понятно откуда взявшихся "китайских программ" в своей системе, на самом деле встречались ни раз.

[Andzej]

Если предложение "что-то не так" всё-таки было утверждением, а не вопросом, то точно также: попробуйте поискать причину этого среди своих законных программ (возможно, недавно устанавливали что-нибудь новое и т.д.).

P.S. Также есть вероятность того, что за "что-то не так" были приняты вполне законные вещи, о которых вы можете быть просто не в курсе (я не говорю, что это именно ваш случай, просто имейте это в виду).

Пара примеров для того, чтобы было понятнее:

• программа из автозагрузки - Glass2k, предназначенная для изменения прозрачности панели задач и любых других окон. При чем в кратком описании отмечено, что её функции допускают горячие клавиши и управление возможно даже с помощью правого клика по любому окну...

  Не трудно догадаться, что если пользователь толком не знает, что у него установлена эта программа, то ему действительно может быть очень даже не по себе. И, если он кому-либо покажет лог HijackThis, то никому и в голову не придет искать в ней причину (при условии, что проблема не была объяснена хотя бы в общих словах).

• еще приложения из автозагрузки: IMEKRMIG.EXE и IMSCMIG.EXE, относящиеся к редакторам способа ввода - IME (Input Method Editor), которые преобразуют транскрипцию, набранную латинскими буквами, в иероглифы китайского, японского или корейского языка... Случаи, когда пользователь пугается не понятно откуда взявшихся "китайских программ" в своей системе, на самом деле встречались ни раз.

Привет! :(

Прочёл почти всю тему, поэтому так с ходу - "что-то не так".

Проблемы:

1. При загрузке (или когда кажеться, что совсем загрузился) комп зависает. Вывести из этого состояния можно только отключив, включив питание.

2. "STOP" - синие окна, но этот вопрос не к Вам, хотя об этом знать важно.

Как ни странно но какого-либо другого ("непонятного") поведения, со дня первого запуска Windows, необнаружено. Поэтому, прежде чем серьёзно разбираться с железом, решил разобраться с "нечистью".

Да, .... пробуя инсталировать Panda антивирусник выпадает окно с просьбой удалить "PC-cillin" антивирус, которого я несмог обнаружить. Чтобы это могло значить?

Спасибо.

[Гость avb_constructor]

Привет, Saule.

Я, в общем-то, старался сделать все, как ты говорила, и даже больше: поставил, кроме заплаток, еще и фаер, антишпиона (Spybot S&D), а еще заменил avast на AVG Free Edition.

Мне надо обсудить с тобой еще одну вещь. Ты говорила:

2. Запускаем AVZ и нажимаем в верхнем меню:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку (опять-таки важно не перепутать с названием - удалить нужно svcchost.exe, а не svchost.exe!):

D:\WINDOWS\System32\svcchost.exe

Нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

Затем то же самое делаем со следующей строчкой:

D:\WINDOWS\System32\irdvxc.exe

Когда потребовалось указать путь к этим файлам, я их не смог найти (ловко маскируется, зараза :( ). Это ничего?

Изменено 24 ноября, 2006 пользователем avb_constructor

[Saule]

Когда потребовалось указать путь к этим файлам, я их не смог найти (ловко маскируется, зараза :( ). Это ничего?

Там было написано: ..КОПИРУЕМ в появившееся окошко следующую строчку.. :(

Просто скопируй её, как она есть и всё (выделяем нужный путь до файла левой кнопкой мыши, нажимаем Ctrl+C или Copy, кликаем в строку окна AVZ и нажимаем на Ctrl+V или Paste).

Пожалуйста, если задаю ламерские вопросы по этой теме, не сердись: я-то вообще-то инженер-конструктор, а не системщик.

Я на такие вещи никогда не сержусь. Даже наоборот, скорее, приветствую.

Всегда лучше лишний раз переспросить, когда тебе что-нибудь не понятно. Т.к. в противном случае можно наделать и совсем непоправимых ошибок.

[Saule]

1. При загрузке (или когда кажеться, что совсем загрузился) комп зависает. Вывести из этого состояния можно только отключив, включив питание.

2. "STOP" - синие окна, но этот вопрос не к Вам, хотя об этом знать важно.

Скорее всего, в системе имеется серьезный конфликт. Чтобы выяснить, какой именно, вам в первую очередь необходимо знать код ошибки, который появляется на синем экране. По точному коду это можно будет достаточно просто определить (и таким образом решить обе эти проблемы).

Да, .... пробуя инсталировать Panda антивирусник выпадает окно с просьбой удалить "PC-cillin" антивирус, которого я несмог обнаружить. Чтобы это могло значить?

Это может значить, что Trend Micro PC-cillin какое-то время обратно, видемо, был не совсем корректно деинсталлирован. Из-за чего придется либо чистить реестр, либо еще раз повторить его установку и деинсталляцию.

Но для начала можно просто попробовать сделать следующее:

Start > Run (Пуск > Выполнить)

Копируем в строку: msiexec /x {7698EDA5-A90F-4205-99CB-8FF6F9048ED9}

Нажимаем ОК или клавишу ENTER.

Появится окно подтверждения:

"Are you sure you want to uninstall this product?" (вы уверены, что хотите деинсталлировать этот продукт) - нажимаем на Yes/Да.

Если после этого появится сообщение: "This action is only valid for products that are currently installed" (это действие применимо только для продуктов, которые установлены в настоящее время), то повторяем эту процедуру, заменив копируемую строчку на одну из следующих (если ситуация повторяется - по очереди пробуем их все):

msiexec /x {EA8C73AA-3D75-44C9-87A2-8E945FC5FEE6}

msiexec /x {3ACF3AF1-8DBC-4EFB-AF03-37E212DDA83C}

msiexec /x {3943C4CF-AC42-4E00-8824-25159B8478F1}

msiexec /x {CA7FDA46-DFA8-4748-8F2E-8864E545735B}

msiexec /x {C90F3E44-3BF6-11D4-A110-00500405613A}

Это деинсталляция для различных версий Trend Micro PC-cillin, выпущенных за период с 2002 по 2006 год. Возможно, что-нибудь и подойдет.

[strepsils]

помогите, пожалуйста.

уже давно самостоятельно закрывались открытые папки, а вчера начал глючить IE, открытые страницы сами закрывались.

Logfile of HijackThis v1.99.1

Scan saved at 21:54:06, on 25.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\Last.fm\LastFM.exe

C:\Install\Opera801\Opera.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX00.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xxyuntjn.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {07B04B1F-0C24-4289-8759-66B1BCD44370} - C:\WINDOWS\Config\dac.dll (file missing)

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{1DABA789-29BE-4F46-9E92-EB601C5F22B2}: NameServer = 194.85.113.245 194.85.113.244

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

уже давно самостоятельно закрывались открытые папки, а вчера начал глючить IE, открытые страницы сами закрывались.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xxyuntjn.dll (file missing)

O2 - BHO: (no name) - {07B04B1F-0C24-4289-8759-66B1BCD44370} - C:\WINDOWS\Config\dac.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Скачиваем VundoFix.ехе

Закрываем все открытые окна и запускаем программу.

Ставим галочку напротив "Run VundoFix as a task"

Появится сообщение: "VundoFix will now close and re-open in 1 minute or less..." - нажимаем ОК (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно).

При её повторном включении нажимаем на кнопку "Scan for Vundo".

Если программе что-либо удасться у вас найти, то, когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo".

Появится запрос: "Действительно ли вы хотите удалить эти файлы?" - нажимаем на Yes.

И после того, как VundoFix закончит удаление вредоносных файлов, вы увидите сообщение о выключении компьютера - нажимаем ОК - и ваш компьютер автоматически выключится.

Включаем его обратно.

3. В случае, если проблема вдруг не исчезнет, либо VundoFix у вас ничего не найдет, желательно сделать сканирование с помощью AVZ. После которого нужно сохранить его протокол и затем скопировать его в своё сообщение.

[strepsils]

проблема не исчезла, vundo fix ничего не нашёл, результаты сканирования AVZ:

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 26.11.2006 0:25:34

Загружена база: 56603 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 28.10.2006 14:34

Загружены микропрограммы эвристики: 363

Загружены цифровые подписи системных файлов: 52763

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3

Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0846E0)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055B6E0

KiST = 81AD05D8 (297)

>>> Внимание, таблица KiST перемещена ! (80503748(284)->81AD05D8(297))

Функция ZwClose (19) перехвачена (805BAE9C->AAB79D00), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwCreateProcess (2F) перехвачена (805CFA3A->AAB79A20), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwCreateProcessEx (30) перехвачена (805CF984->AAB79B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwCreateSection (32) перехвачена (805A9DD6->AAB79E40), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwCreateThread (35) перехвачена (805CF822->AAB7A630), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwOpenFile (74) перехвачена (80578F46->F8886CF0), перехватчик kl1.sys

Функция ZwOpenProcess (7A) перехвачена (805C9C64->AAB797B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwQueryInformationFile (97) перехвачена (805797E2->AAB7A2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwQuerySystemInformation (AD) перехвачена (8060F804->AAB7A430), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwResumeThread (CE) перехвачена (805D3164->AAB7A5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwSetInformationProcess (E4) перехвачена (805CC6AE->AAB7C1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwSuspendThread (FE) перехвачена (805D309E->AAB7A590), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Функция ZwTerminateProcess (101) перехвачена (805D118C->AAB7A1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys

Проверено функций: 284, перехвачено: 13, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 33

Количество загруженных модулей: 338

Проверка памяти завершена

3. Сканирование дисков

C:\Install\OFFICE XP\Files\Osp\1049\Ie5\Ru\Vmx86_01.cab/wfcclean.exe Ошибка распаковки

C:\Install\OFFICE XP\Files\Osp\1049\Ie5\Ru\Vmx86_02.cab/javabase.cab Ошибка распаковки

C:\Install\The bat\the_bat.exe/{RAR-SFX}/TBMapi.dll >>> подозрение на Backdoor.Win32.Delf.hw ( 08E77819 04B0D6C4 001F6495 002DCAFC 69632)

Прямое чтение C:\Strepsils\mp3\Young Lairs EP.rar

10-mogwai-black_spider_2.mp3 MailBomb detected !

10-mogwai-black_spider_2.mp3 MailBomb detected !

10-mogwai-black_spider_2.mp3 MailBomb detected !

10-mogwai-black_spider_2.mp3 MailBomb detected !

C:\System Volume Information\_restore{377708C2-A3C1-4732-BE35-C850C1E64497}\RP141\A0056924.exe >>> подозрение на IM-Worm.Win32.VB.ao ( 003D9673 0015A52D 0009B7B7 00000000 20480)

C:\System Volume Information\_restore{377708C2-A3C1-4732-BE35-C850C1E64497}\RP152\A0059755.exe/{RAR-SFX}/TBMapi.dll >>> подозрение на Backdoor.Win32.Delf.hw ( 08E77819 04B0D6C4 001F6495 002DCAFC 69632)

C:\System Volume Information\_restore{377708C2-A3C1-4732-BE35-C850C1E64497}\RP157\A0076689.exe/{RAR-SFX}/TBMapi.dll >>> подозрение на Backdoor.Win32.Delf.hw ( 08E77819 04B0D6C4 001F6495 002DCAFC 69632)

C:\WINDOWS\IPODLI~1.CAB/{CAB}/clickButton.exe >>> подозрение на IM-Worm.Win32.VB.ao ( 003D9673 0015A52D 0009B7B7 00000000 20480)

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 143071, извлечено из архивов: 95752, найдено вредоносных программ 0

Сканирование завершено в 26.11.2006 1:15:54

Сканирование длилось 00:50:20

[SERGSM]

Вчера при проведении контрольной проверки, AVG-antispyware выцепил в системе некую гадость, обозвал ее Lagger. Banker и предложил удалить и поместить в карантин, что и было сделано (F- SECURE спал). Перегружаю комп, делаю проверку- зверь на месте (f-secure просил не будить). Удаляю этого банкира насовсем ( с помощью AVG). Перегружаю- сидит в папке TEMP, КАК И РАНЬШЕ!!! Со злости удаляю папку TEMP вручную, перегружаюсь- сидит! ( в documents and settings)/ Ухожу в другую систему ( другой физический диск) , запускаю AVZ- он что-то находит, помещает это в карантин ( НЕ ЗАПОМНИЛ, БЛИН, НАЗВАНИЕ! но несколько минут назад этого НЕ БЫЛО!, я это удаляю, оно удаляется, диск пропадает из поля зрения машины, биос тоже не видит ни фига, я в трансе , f-secure умер счастливо- во сне. Надеюсь гибель диска всего лишь совпадение, больше 5 лет ему, бог с ним но что это было?

[Saule]

результаты сканирования AVZ:

Нужно отчистить папки System Volume Information:

Для этого нужно кликнуть правой кнопкой мыши на "My Computer"/"Мой Компьютер" и зайти в "Properties"/"Свойства".

Находим закладку "System Restore"/"Восстановление Системы" и ставим галочку напротив "Turn off System Restore on all drives"/"Запpетить Восстановление Системных файлов на всех дисках".

Затем на "Apply"/"Пpименить".

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".

Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

уже давно самостоятельно закрывались открытые папки, а вчера начал глючить IE, открытые страницы сами закрывались.

Не появляются ли перед закрытием окон какие-либо сообщения об ошибках (напр., "Internet Explorer has encountered a problem and needs to close...")?

Либо совсем безумный вариант (но, пожалуйста, если что, то не обижайтесь :)), может случайно нажимаете в это время комбинацию кнопок Alt+F4 или Ctrl+W?

И еще, у вас действительно установлено два антивируса, Avast и Касперский?

-------------

Надеюсь гибель диска всего лишь совпадение, больше 5 лет ему, бог с ним но что это было?

Слишком мало информации для того, чтобы ставить точный диагноз. Но сочувствую...

[Andzej]

1. "Скорее всего, в системе имеется серьезный конфликт. Чтобы выяснить, какой именно, вам в первую очередь необходимо знать код ошибки, который появляется на синем экране. По точному коду это можно будет достаточно просто определить (и таким образом решить обе эти проблемы)."

2. "Это может значить, что какое-то время обратно, видемо, был не совсем корректно деинсталлирован. Из-за чего придется либо чистить реестр, либо еще раз повторить его установку и деинсталляцию.

Но для начала можно просто попробовать сделать следующее:

Start > Run (Пуск > Выполнить)

Копируем в строку: msiexec /x {7698EDA5-A90F-4205-99CB-8FF6F9048ED9}

Нажимаем ОК или клавишу ENTER..."

1. Определил - виновницей "синих окон" была сетевая карта вставленная в PCI разём!

2. Точно. Trend Micro PC Cillin был инсталирован. Вами предложенным способом убрать не удалось. Скачал последнюю версию, синсталировал, корректно :) удалил. Всё получилось.

Но проблем только прибавилось. Впочтовом клиенте "The Bat!" пропали все письма! :) , а это немало немного около 2,5 Гб инфрмации.

Не упомянул в первом письме: при включении компа каждый раз настойчиво сканируеться "D" диск.

"Online" антивирусники ничего ненашли. PC Cillin ничего ненашёл. Panda антивирусник, SpySweaper, ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe, AVZ ничего не нашли.

Прямо чудеса какие-то. Подозрение на вирус не пропадает. Прошу помощи.

[Sem3]

Здравствуйте Saule. Случайно попал на ваш форум, почитал Ваш топ - было бы интересно получить от Вас профессиональный диагноз. Система: Win XP SP2, Kaspersky Internet Security 6.6, XoftSpy, Spybot - Search & Destroy, Ad-Aware SE Personal, пользуюсь - всё чисто. Но после прочитанного появилось подозрение . Высылаю Вам лог. Посоветуйте, что да как. Заранее спасибо .

Logfile of HijackThis v1.99.1

Scan saved at 19:16:16, on 27.11.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Ars_HotKey\Ars Software\Ars HotKey\ARSHK.exe

C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe

C:\Program Files\EPoX\USDM\USDM.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Chameleon Clock\ChamClock.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Iconoid\iconoid.exe

C:\Program Files\ATnotes\ATnotes.exe

C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Virtual CD v4\System\vcdsecs.exe

C:\Program Files\Winamp\winamp.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Mail.Ru\Agent\Magent.exe

C:\Documents and Settings\VICTOR\My Documents\My Music\DJ NET music-2006\Архивы\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE_PopupBlocker Class - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\Program Files\ROL Accelerator\prpl_IePopupBlocker.dll

O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll

O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll

O4 - HKLM\..\Run: [ARS HOTKEY] "C:\Program Files\Ars_HotKey\Ars Software\Ars HotKey\ARSHK.exe"

O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPoX\USDM\USDM.EXE" "5000"

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 4

O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Загрузить изображение без потери качества - C:\Program Files\ROL Accelerator\pac-image.html

O8 - Extra context menu item: Загрузить страницу без потери качества - C:\Program Files\ROL Accelerator\pac-page.html

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Разрешить всплывающие окна с этого сайта - C:\Program Files\ROL Accelerator\pac-addwl.html

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF3254C-4898-4D9E-93E3-36E945AA46D5}: NameServer = 194.85.113.245 194.85.113.244

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe

O23 - Service: VCDSecS - H+H Software GmbH - C:\Program Files\Virtual CD v4\System\vcdsecs.exe

Вот.

[Sem3]

...и вот ещё лог

L2MFIX find log 051206

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

"DLLName"="Ati2evxx.dll"

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000001

"Lock"="AtiLockEvent"

"Logoff"="AtiLogoffEvent"

"Logon"="AtiLogonEvent"

"Disconnect"="AtiDisConnectEvent"

"Reconnect"="AtiReConnectEvent"

"Safe"=dword:00000000

"Shutdown"="AtiShutdownEvent"

"StartScreenSaver"="AtiStartScreenSaverEvent"

"StartShell"="AtiStartShellEvent"

"Startup"="AtiStartupEvent"

"StopScreenSaver"="AtiStopScreenSaverEvent"

"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\klogon.dll"

"Logon"="WLEventStop"

"Startup"="WLEventStart"

"Lock"="WLEventStart"

"Unlock"="WLEventStop"

"Logoff"="WLEventStart"

@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"SV1"=""

"MRA 4.6 (build 01425)"=""

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{00022613-0000-0000-C000-000000000046}"="Multimedia File Property Sheet"

"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM Scanner Management"

"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS Security Page"

"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE Docfile Property Page"

"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell extensions for sharing"

"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"

"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Display Adapter CPL Extension"

"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Display Monitor CPL Extension"

"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Display Panning CPL Extension"

"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS Security Page"

"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Compatibility Page"

"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler"

"{59099400-57FF-11CE-BD94-0020AF85B590}"="Disk Copy Extension"

"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell extensions for Microsoft Windows Network objects"

"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM Monitor Management"

"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM Printer Management"

"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell extensions for file compression"

"{77597368-7b15-11d0-a0c2-080036af3f03}"="Web Printer Shell Extension"

"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"

"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Encryption Context Menu"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Briefcase"

"{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal Icon Ext"

"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"

"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC Profile"

"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Printers Security Page"

"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell extensions for sharing"

"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"

"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Crypto PKO Extension"

"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Crypto Sign Extension"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Network Connections"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Network Connections"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanners & Cameras"

"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanners & Cameras"

"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanners & Cameras"

"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanners & Cameras"

"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanners & Cameras"

"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"

"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell extensions for Windows Script Host"

"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="‘ўп§м б ¤ ­­л¬Ё (Microsoft)"

"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"

"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Scheduled Tasks"

"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"

"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"

"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskbar and Start Menu"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Search"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support"

"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Run..."

"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"

"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-mail"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fonts"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Administrative Tools"

"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"

"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"

"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"

"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"

"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"

"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"

"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"

"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"

"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"

"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"

"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"

"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"

"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"

"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"

"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"

"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"

"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"

"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"

"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Address"

"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"

"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"

"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"

"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"

"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"

"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"

"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"

"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"

"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"

"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"

"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"

"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"

"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"

"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"

"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"

"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"

"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"

"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"

"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"

"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"

"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"

"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="History"

"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"

"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"

"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"

"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite Splash Screen"

"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"

"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"

"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"

"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="The Internet"

"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"

"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX Cache Folder"

"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"

"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"

"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"

"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"

"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"

"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"

"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"

"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"

"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"

"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"

"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"

"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"

"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"

"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ file thumbnail extractor"

"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"

"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML Thumbnail Extractor"

"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"

"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Web Publishing Wizard"

"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Print Ordering via the Web"

"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shell Publishing Wizard Object"

"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Get a Passport Wizard"

"{7A9D77BD-5403-11d2-8785-2E0420524153}"="User Accounts"

"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"

"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"

"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channel File"

"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut"

"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"

"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"

"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"

"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"

"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"

"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"

"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"

"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"

"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"

"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"

"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"

"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"

"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"

"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"

"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"

"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"

"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"

"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"

"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"

"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"

"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"

"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"

"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder"

"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"

"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"

"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"

"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"

"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"

"{32714800-2E5F-11d0-8B85-00AA0044F941}"="For &People..."

"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"

"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"

"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"

"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"

"{52B87208-9CCF-42C9-B88E-069281105805}"="Trojan Remover Shell Extension"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Web Folders"

"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"

"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

"{5E2121EE-0300-11D4-8D3B-444553540000}"="Catalyst Context Menu extension"

"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"

@="CorelDRAW Shell Extension Component"

"{40E69241-5D1A-11D1-81CB-0020AF3F97C3}"="Mars WinCleaner Shell Menu Extension"

"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"="{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"

"{D66DC78C-4F61-447F-942B-3FB6980118CF}"="{D66DC78C-4F61-447F-942B-3FB6980118CF}"

"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"="UnlockerShellExtension"

"{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}"="wodShellMenu"

"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}"="PhoneBrowser"

"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}"="Message View"

"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}"="‚ҐЎ-Ђ­вЁўЁагб"

**********************************************************************************

HKEY ROOT CLASSIDS:

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

haspvdd.dll Wed 8 Nov 2006 18:15:26 A.... 6 656 6.50 K

1 item found: 1 file, 0 directories.

Total of file sizes: 6 656 bytes 6.50 K

Locate .tmp files:

No matches found.

**********************************************************************************

Directory Listing of system files:

’®¬ ў гбва®©б⢥ C ­Ґ Ё¬ҐҐв ¬ҐвЄЁ.

‘ҐаЁ©­л© ­®¬Ґа ⮬ : 90F8-B650

‘®¤Ґа¦Ё¬®Ґ Ї ЇЄЁ C:\WINDOWS\System32

14.10.2006 21:24 <DIR> dllcache

27.03.2006 21:37 5 ecaaecbbafedb_k.dll

22.01.2006 16:58 <DIR> Microsoft

1 д ©«®ў 5 Ў ©в

2 Ї Ї®Є 8я018я616я320 Ў ©в бў®Ў®¤­®

[strepsils]

>Нужно отчистить папки System Volume Information

очистил. ничего не изменилось.

>Не появляются ли перед закрытием окон какие-либо сообщения об ошибках (напр., "Internet Explorer has encountered a problem and needs to close...")?

происходит следующее: я открываю explorer, ввожу яндекс, например, и нажимаю enter (ну или перейти), всё виснет секунды на три, затем открывается новое окно explorer'а, которое изначально висит, предыдущее окно тоже висит. нажимаю на закрытие окон - они не реагируют. завершаю работу приложения через диспетчер задач. explorer предлагает отправить отчёт об ошибках. нажимаю не отправлять.

>Либо совсем безумный вариант (но, пожалуйста, если что, то не обижайтесь ), может случайно нажимаете в это время комбинацию кнопок Alt+F4 или Ctrl+W?

нет, не нажимаю.

>И еще, у вас действительно установлено два антивируса, Avast и Касперский?

стоял раньше один аваст, но после того как всё окончательно стало виснуть и тупить я решил поставить касперского. это было дня три назад.

[Saule]

Не упомянул в первом письме: при включении компа каждый раз настойчиво сканируеться "D" диск.

Сканируется чем?

Система: Win XP SP2, Kaspersky Internet Security 6.6, XoftSpy, Spybot - Search & Destroy, Ad-Aware SE Personal, пользуюсь - всё чисто. Но после прочитанного появилось подозрение . Высылаю Вам лог.

У вас всё в порядке. Только XoftSpy деинсталлируйте, если версия установленной у вас программы более ранняя, чем 4-ая.

[Andzej]

Сканируется чем?

Windows-им chkdsk. И только почему-то "D". (всего два физических диска: первый разбит на три логических).

[Saule]

происходит следующее: я открываю explorer, ввожу яндекс, например, и нажимаю enter (ну или перейти), всё виснет секунды на три, затем открывается новое окно explorer'а, которое изначально висит, предыдущее окно тоже висит. нажимаю на закрытие окон - они не реагируют. завершаю работу приложения через диспетчер задач. explorer предлагает отправить отчёт об ошибках. нажимаю не отправлять.

Попробуйте нажать на click here (щелкните здесь) в окне сообщения отправки отчета об ошибке. Если при этом вы увидите данные примерно следующего вида:

AppName: Iexplore.exe AppVer: 6.00.2900.2180 ModName: ***.dll..

То сообщите, название .dll-файла, которое будет следовать за ModName.

Если название будет "unknown" или подобную запись вы там не найдете, то писать об этом не нужно.

И если говорить в общем, то инфекции у вас уже нет + подобные неполадки в работе браузера, вполне возможно, с ней даже прямым путем не были связаны. Поэтому способы устранения можно предложить только стандартные:

1. Для начала отключите все посторонние расширения браузера:

Start > Control Panel > Internet Options > вкладка Advanced

(Пуск > Панель Управления > Свойства обозревателя > вкладка Дополнительно)

В разделе Browsing/Обзор уберите галочку напротив "Enable third-party browser extensions (requires restart)"/"Включить сторонние расширения обозревателя (требуется перезапуск)".

После чего перезапустите IE.

Если проблема осталась, переходим к следующему пункту (в дальнейшем точно также: останавливаемся после каждого шага, чтобы проверить исчезла ли неполадка, и в случае, если всё осталось без изменений, идем дальше).

2. Подобное поведение может наблюдаться, когда функциям IE не удается обработать некоторые записи из-за повреждений каких-либо компонентов браузера:

1) В первую очередь удалите все временные файлы IE:

Start > Control Panel > Internet Options > вкладка General

(Пуск > Панель Управления > Свойства обозревателя > вкладка Общие)

Нажимаем на кнопки: Delete Cookies/Удалить Cookie, Delete Files/Удалить файлы и Clear History/Очистить.

2) Отчистите формы автозаполнения, т.к. из-за этой функции подобные сбои в работе встречаются часто:

Start > Control Panel > Internet Options > вкладка Content

(Пуск > Панель Управления > Свойства обозревателя > вкладка Содержание)

Нажимаем на кнопку AutoComplete/Автозаполнение и в открывшемся приложении на Clear Forms/Очистить формы.

3) Если зависание происходит при выборе страницы из папки Favorites/Избранное, то удалите оттуда все файлы (предварительно при необходимости экспортировав содержание этой папки, если оно вам может когда-либо понадобиться, с помощью мастера импорта-экспорта браузера IE; в верхнем меню: File/Файл > Import and Export/Импорт и экспорт).

4) Удалите все посторонние элементы управления ActiveX из папки:

C:\WINDOWS\Downloaded Program Files

5) Отключите все посторонние надстройки браузера:

Internet Options > закладка Programs > кнопка Manage Add-ons

(Свойства Обозревателя > закладка Программы > кнопка Надстройки)

3. Сбои в работе Internet Explorer могут также быть вызваны несовместимостью с каким-либо приложением или программой. Чтобы это определить, нужно выполнить "чистую" загрузку Windows (т.е. временно удалив из конфигурации компьютера все посторонние элементы):

Start > Run (Пуск > Выполнить)

Вписываем

msconfig

Нажимаем OK или ENTER.

• Первая закладка - General/Общие - выбираем параметр Selective Sturtup/Выборочный запуск и снимаем галочки напротив:
  Process SYSTEM.INI File/Обрабатывать файл SYSTEM.INI
  Process WIN.INI File/Обрабатывать файл WIN.INI
  Load Startup Items/Загружать элементы автозагрузки

• Закладка Services/Службы - ставим галочку рядом с Hide All Microsoft Services/Не отображать службы Майкрософт и нажимаем на кнопку Disable All/Отключить все.

Затем на кнопку Apply/Применить. Появится сообщение о необходимости перезагрузки - нажимаем на кнопку "Restart"/"Перезагрузка".

После этого Windows загрузится без посторонних компонентов и приложений, которые загружаются вместе с системой обычно. Запустите IE и проверьте, исчезла ли ваша проблема (только на всякий случай, когда компьютер включится, лучше убедиться, что все галочки msconfig в закладке General/Общие действительно остались в снятом состоянии, т.к. некоторые программы защиты могут устанавливать их обратно).

Если нужные галочки действительно сняты, но работа IE так и осталась без изменений в лучшую сторону, то восстановите ваш обычный режим загрузки ОС и переходите к следующему пункту.

Если же проблема исчезла, то причиной зависания является конфликт IE с одной из установленных у вас программ. Чтобы выяснить с какой именно, нужно будет добавлять элементы конфигурации вашей автозагрузки по одному или группами, пока IE опять не начнет зависать. Т.е. примерно следующим образом:

Снова идем: Start > Run > вписываем msconfig > на ENTER. Ставим галочку рядом с "Process SYSTEM.INI File". Нажимаем Apply и Restart. После перезагрузки опять проверяем наблюдается ли проблема с IE:

- если она опять появилась, то ее причиной является запуск какого-либо приложения из записи в файле SYSTEM.INI.

- если же проблема не появилась, то повторяем то же самое, поочередно устанавливая галочки рядом с "Process WIN.INI File", затем с "Load Startup Items" и затем нажав на кнопку "Enable All" в закладке "Services"/"Службы". То есть до тех пор, пока вы снова не столкнетесь с проблемой IE. И когда она вновь появится, можно будет сделать вывод, какой из элементов является её причиной.

В конце восстановите ваш обычный режим загрузки.

4. Переустановите Internet Explorer.

[Sem3]

Сканируется чем?

У вас всё в порядке. Только XoftSpy деинсталлируйте, если версия установленной у вас программы более ранняя, чем 4-ая.

Спасибо за оперативность и за то, что Вы у нас есть... :) Ура, я здоров... :)

А XoftSpy у меня версии 4.21, может пускай поживёт пока?

С уважением...

[Saule]

Windows-им chkdsk. И только почему-то "D". (всего два физических диска: первый разбит на три логических).

Тогда тем более не понятно, почему вы думаете, что там виноват вирус

Если вы выключаете Windows правильно (т.е. не выдираете каждый раз вилку из розетки), то обычно такое случается, когда жесткий диск поврежден и нуждается в восстановлении, либо автозапуск при включении компьютера, задан в настройках Windows (что, насколько я понимаю, тут маловероятно).

Попробуйте запустить проверку chkdsk из свойств диска (зайти в My Computer > правой кнопкой мыши на D: > Properties > Tools > кнопка Check Now), но в параметрах проверки обязательно отметив галочками: "Automatically fix file system errors"/"Автоматически исправлять системные ошибки" и "Scan for and attempt recovery of bad sectors"/"Проверять и восстанавливать поврежденные сектора". Затем дождитесь окончания проверки, не мешая при этом Windows (если сканирование chkdsk будет возможно лишь после ближайшей перезагрузки, то перезагрузите компьютер и опять-таки дождитесь окончания этой проверки).

Если после этого автоматический запуск chkdsk не пройдет, то эту команду нужно будет запустить из консоли восстановления.

Плюс подобных тем и различных советов, наверное, хватает по форуму:

http://www.softboard.ru/index.php?showtopic=40219

http://www.softboard.ru/index.php?showtopic=31843

http://www.softboard.ru/index.php?showtopic=26328

[Wu-Tang]

Вот тут сдуру запустил с дискеты Win32.HLLM.Wukill!

Хотел бы узнать, как правильно от него избавиться?

Пока что удалил Доктором!

Может еще что надо сделать?

hijackthis.log

hijackthis.log

[strepsils]

Попробуйте нажать на click here (щелкните здесь) в окне сообщения отправки отчета об ошибке. Если при этом вы увидите данные примерно следующего вида:

AppName: Iexplore.exe AppVer: 6.00.2900.2180 ModName: ***.dll..

То сообщите, название .dll-файла, которое будет следовать за ModName.

Если название будет "unknown" или подобную запись вы там не найдете, то писать об этом не нужно.

ModName: hungapp (не .dll)

ничего не помогло :), но спасибо за помощь.

можно последний вопрос :)?

я попытался скачать IE по ссылке. седьмая версия IE нравится мне ещё меньше, чем опера (которой сейчас приходится пользоваться), поэтому я скачал шестую. при попытке установить её я получил следующее сообщение:

windows update: на этом компьютере невозможно установить IE и средства Интернета

этот продукт требует MW 98, Windows NT 4.0 или Windows 2000 или более поздней версии.

НО У МЕНЯ Windows XP! Это точно!

Неужели придётся переустанавливать систему ?

[Saule]

Пока что удалил Доктором!

Может еще что надо сделать?

Доктор, вроде как, справился.

---------------

при попытке установить её я получил следующее сообщение:

windows update: на этом компьютере невозможно установить IE и средства Интернета

этот продукт требует MW 98, Windows NT 4.0 или Windows 2000 или более поздней версии.

НО У МЕНЯ Windows XP! Это точно!

Неужели придётся переустанавливать систему ?

Start > Run (Пуск > Выполнить)

Вписываем regedit

Нажимаем OK или ENTER.

Откроется редактор реестра (Registry Editor).

Находим следующий раздер реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}

Нажимаем двойным кликом на параметр IsInstalled.

И изменяем его значение с 1 на 0.

Нажимаем ОК и закрываем редактор реестра.

Теперь пробуем устанавливать Internet Explorer 6.

P.S. Только перед этим попробуй на всякий случай еще сделать следующее:

Start > Run (Пуск > Выполнить)

Вписываем regsvr32 urlmon.dll

Нажимаем OK или ENTER.

Появится сообщение: "DllRegisterServer in urlmon.dll succeeded" ("DllRegisterServer в urlmon.dll завершено успешно") - нажимаем ОК.

Возможно, после этого работа IE всё же наладиться. И если нет, то поочередно делаем то же самое со следующими строчками:

regsvr32 actxprxy.dll

regsvr32 browseui.dll

regsvr32 jscript.dll

regsvr32 mshtml.dll

regsvr32 oleaut32.dll

regsvr32 shdocvw.dll

regsvr32 shell32.dll

regsvr32 vbscript.dll