Помощь в лечении систем от нечисти

[ser208]

cage

Поможите плизз.....

У тебя вирус zuysteo /

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\system32\zuysteo.exe

C:\DOCUME~1\Romano\LOCALS~1\Temp\3129125.exe

Какой у тебя антивирус? Зайди вручную в безопасном режиме и удали эти файлы. Почисть автозагрузку от них. Прогони нормальным антивирусом.

У тебя вообще в автозагрузке много всего. Но это дело личное.

Хорошо бы потом прислать отчет из обычного режима, потому что в безопасном ничего постороннего не подгружается и картина не полная.

Но судя по всему список процессов у тебя увеличится втрое :):)

Изменено 8 декабря, 2006 пользователем ser208

[vale]

установил Ashampoo AntiSpyWare он нашол два троянца до этого прогонял каспера ничего небыло.как мне убрать эту нечесть.заражонный обьект system 32 cisvc.exe.gjvjubnt

[Slider17]

Нужна помощь!

при работе с Автокадом процесс csrss загружает процессор на 80-90% комп сильно тормозит

Logfile of HijackThis v1.99.1

Scan saved at 10:59:38, on 11.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINDOWS\System32\r_server.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\AutoCAD 2005\acad.exe

C:\WINDOWS\system32\taskmgr.exe

C:\DOCUME~1\EE8E~1\LOCALS~1\Temp\AdskCleanup.0001

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\ISP\isp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe

C:\PROGRA~1\NORTON~1\navw32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Принт\Рабочий стол\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\RunOnce: [RUN1] C:\WINDOWS\system32\regsvr32.exe /s C:\PROGRA~1\COMMON~1\SYMANT~1\LiveReg\IraVcLc3.dll

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Lunx]

KeeN, RHASPEMU.EXE - это эмулятор ключа защиты HASP. У вас стоит пиратская 1С? вот эт от неё, наверное.

[ser208]

Сsrss.exe должен находиться в папке С:\windows\system32. Посмотри, откуда он подгружается. если не из этой папки, то это вирус.

А чего он у тебя во время снятия отчета не подгружен? Надо было запустить Автокад и отчет снимать.

У тебя серверная часть Radmin. Ты сам ставил? Тебя мониторят.

Lunx

Только не пиратская 1С, а Автокад(пиратский)

Изменено 11 декабря, 2006 пользователем ser208

[Slider17]

Сsrss.exe должен находиться в папке С:\windows\system32. Посмотри, откуда он подгружается. если не из этой папки, то это вирус.

А чего он у тебя во время снятия отчета не подгружен? Надо было запустить Автокад и отчет снимать.

У тебя серверная часть Radmin. Ты сам ставил? Тебя мониторят.

Lunx

Только не пиратская 1С, а Автокад(пиратский)

а как и где посмотреть от куда он подгружается, объясните плиз.

[ser208]

а как и где посмотреть от куда он подгружается, объясните плиз.

Ну хотя бы сделай снимок во время работы Автокада, тогда мы и увидим, откуда подгружается.

Можно поиском по жесткому поискать.

Можно воспользоваться прогами Starter или procexp.exe (или подобными).

[Saule]

Если для кого-то из обращавшихся выше его вирусные проблемы всё еще актуальны, то сообщите об этом, пожалуйста, причём желательно сделав свежий лог HijackThis ;)

[KeeN]

Saule, посмотрите, пожалуйста этот лог:

(у меня Tracking cookies все время находит SpyWare Doctor)

а может и еще какие-нибудь вирусы есть....

Logfile of HijackThis v1.99.1

Scan saved at 21:17:33, on 16.12.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\niSvcLoc.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

F:\Andrey\Из сети\Софт\AntiVirus\Утилита HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lan/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sonork] "C:\Program Files\EliteNet Messenger\sonork.exe" -auto

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1165087684124

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDE9222F-A61F-4F69-8149-09E885E6D700}: NameServer = 192.168.153.1

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NILM License manager - Macrovision Corporation - C:\Program Files\National Instruments\Shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: NT HASP internal emulator (RHASPEMU) - //UCL Dongle Labs. - C:\WINDOWS\System32\RHASPEMU.EXE

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Лена88]

Я установила апдейтс для Интернет Эксплорера, и теперь при переходе на любую страничку в инете он мн епишет следующее:

cannot find: //awbeta.net-nucleus.com/v70...

Кто нибудь знает как от этого избавиьться? спс

[Saule]

можете разъяснить по поводу %systemroot%\system32\dumprep 0 -u

UserFaultCheck появляется в автозагрузке для записи отладочной информации после критических сбоев системы и экстренной перезагрузке. Дословный перевод: Проверка Ошибки Ядра.

Для того, чтобы убрать:

My Computer/Мой Компьютер > Properties/Свойства > Advanced/Дополнительно > Startup and Recovery/Загрузка и Восстановление > Settings/Параметры > Write debugging information/Запись отладочной информации

И изменяем опцию на (none)/(отсутствует) или Small memory dump/Малый дамп памяти.

По поводу RHASPEMU.EXE - вам уже объяснили.

(у меня Tracking cookies все время находит SpyWare Doctor)

Что касается Tracking cookies, то угроза нанесения вреда вашей системе с их помощью - минимальна, т.к. они не могут ничего прочитать с жесткого диска и не могут пересылать данные. Поэтому, когда речь идет именно о tracking cookie, бояться там нечего.

Подробнее:

Cookie

- это текстовая информация, которую Web-сайт посылает на ваш компьютер, и когда позже вы снова посещаете тот же самый Web-сайт, компьютер возвращает ему эту информацию неизмененной. Сайт благодаря этому может предоставлять своим посетителям некоторые услуги, например, представлять сайт в том виде, в котором посетитель его ранее настроил, или разрешать авторизованным посетителям вход на сайт без ввода пароля.

Тracking cookie

- это cookie, которыми могут пользоваться несколько сайтов (т.е. к такому виду cookie доступ может получить не только тот сайт, который создал его, но и другие определенные сайты), что нарушает конфиденциальность ваших данных. Именно поэтому от такого вида cookie рекомендуется избавляться.

Чтобы обезопасить себя на будущее от tracking cookies какого-нибудь конкретного сайта, можно сделать следующее:

Start > Control Panel > Internet Options > Security

(Пуск > Применить > Свойства Обозревателя > Безопасность)

Затем закладка Restricted Sites/Ограниченные Узлы и на кнопку Sites/Узлы.

Далее вносим в открывшееся приложение те сайты, куки которых мы хотим запретить, следующим образом:

*.hotlog.com

*.yadro.ru

*.spylog.com

*.tribalfusion.com

После каждой записи нажимаем на кнопку Add/Добавить и в самом конце на кнопку ОК.

а может и еще какие-нибудь вирусы есть....

Я ничего подозрительного у вас не заметила.

[Saule]

cannot find: //awbeta.net-nucleus.com/v70...

Кто нибудь знает как от этого избавиьться? спс

По всей видимости, у вас установлен Adware.Mirar, которому после обновления браузера больше не удается соединиться со своим сервером.

Справиться можно с помощью любой антишпионской программы (Еwido, Spybot S&D, Ad-Aware Personal, Windows Defender и др.).

Либо, если будет желание, скачайте HijackThis. Включите и нажмите на кнопку "Do a systemscan and save a logfile", после чего программа автоматически выдаст вам свой лог, содержимое которого нужно скопировать в своё следующее сообщение.

[KeeN]

Большое спасибо, Saule.

У меня еще маленький вопрос:

раньше у меня в логе было

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl56bd.cab

что люди называют Trojan-Downloader.Win32.Small.syn

я пофиксил эти строчки в HijackThis. Этот вирус после "фиксирования" удалился?

[Лена88]

По всей видимости, у вас установлен Adware.Mirar, которому после обновления браузера больше не удается соединиться со своим сервером.

Справиться можно с помощью любой антишпионской программы

Спасибо ОГРОМНОЕ Saule! Я скачала Ad-Aware Personal который нашел у меня больше 100 опасных файлов всё удалил и теперь всё ок! а Хайджек Зис мне не удалось по ссылке скачать к сожалению...

Спасибо ещё раз! я сама со всеми этими защитными программами на вы! Если бы не вы ещё бы долго мучалась...

[DIMKA-vrn]

мне пришло сообщние от контакта в аське

check this

http://9457.seruijingandeshijinpos.com/1/1632/

думал что што важное зашел скачал файл и потом уже понял это вирус :( он посылает эту ссылку всем кто в моих аськах сидит в контакт листе.

что делать

еще заметил что у меня поверх всего висит значок ICQ

вот логи хайджек

зарание спасибо

hijackthis.log

hijackthis.log

Изменено 17 декабря, 2006 пользователем DIMKA-vrn

[Kolya_Pusy_Lamer]

Нужна помощь.

Мой друг нахватал "нечистой силы" на свой комп, которая со временем отрубила ему доступ в интернет. Я пошаманил с помощью AVZ,Ad-Aware,Cure-It и Avast-ом,что-то убило,но доступа в И-нет так и нет... :( Соединение устанавливается, в настройках всё ОК, а пишет "Страница недоступна" и ноль по трафику... У кого кун-фу сильнее, памажите!!!

hijackthis.zip

hijackthis.zip

[Saule]

что люди называют Trojan-Downloader.Win32.Small.syn

я пофиксил эти строчки в HijackThis. Этот вирус после "фиксирования" удалился?

После фикса была удалена соответствующая информация из реестра, поэтому вирус в любом случае на данный момент уже не активен.

По поводу удаления его с диска - определенно уже не сказать (т.к. это зависит от ваших настроек в системе), поэтому на всякий случай попробуйте заглянуть в этот каталог:

C:\WINDOWS\Downloaded Program Files

Там находятся компоненты ActiveX (WUWebControl Class, возможно, приложения для Java и пр.). И если среди них вы увидите компонент(-ты) с примерным названием "33331111-...", то можете удалить (нажав на нужное правой кнопкой мыши и выбрав в появившемся меню "Remove"/"Удалить").

--------------

мне пришло сообщние от контакта в аське...

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O20 - AppInit_DLLs: vb5dmspo.dll e1.dll diagisr.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Закрываем все посторонние программы, чтобы ничего не мешало.

3. Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на slbipsch и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с slbipsch и затем нажимаем на кнопку "X").

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя из AVZ.

5. После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:

C:\WINXP\system32\slbipsch.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

6. То же самое, поочередно, делаем со следующими файлами:

C:\WINXP\system32\e1.dll

C:\WINXP\system32\diagisr.dll

C:\WINXP\system32\vb5dmspo.dll

C:\WINXP\System32\slbipsch.exe

7. Снова перезагружаем компьютер.

8. Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

9. После этого желательно сделать сканирование с помощью AVZ и приложить его протокол к сообщению + новый лог HijackThis.

---------

И по поводу аськи.

То, что касается её значка, то на момент сканирования было запущено 2 процесса:

C:\Program Files\QIP\

qip.exe

C:\Program Files\ICQ\

Icq.exe

Поэтому нужно задать вопрос, ты пользуешься только QIP'ом или же всё-таки действительно QIP'ом и аськой одновременно?

И обрати внимание на то, что в автозагрузке находиться следующее:

O4 - HKCU\..\Run: [

Mirabilis ICQ

] C:\Program Files\ICQ\NDetect.exe

O4 - HKCU\..\Run: [

QIP2005

] C:\Program Files\QIP\qip.exe

[Saule]

Мой друг нахватал "нечистой силы" на свой комп, которая со временем отрубила ему доступ в интернет. Я пошаманил с помощью AVZ,Ad-Aware,Cure-It и Avast-ом,что-то убило,но доступа в И-нет так и нет... :sm(100): Соединение устанавливается, в настройках всё ОК, а пишет "Страница недоступна" и ноль по трафику... У кого кун-фу сильнее, памажите!!! :sm(100):

Вам нужна программа LSPFix:

Скачиваем, распаковываем и запускаем.

Для того, чтобы восстановить работу TCP/IP, нужно поставить галочку рядом с "I know what I'm doing" ("Я знаю, что я делаю") и затем нажать на кнопку "Finish" в нижнем правом углу (обведена на скриншоте зеленой линией).

И после перезагрузки компьютера проблемы работы с сетью должны устраниться.

P.S. На всякий случай еще раз замечу, что больше ничего с помощью этой программы делать не нужно (напр., удалять файлы и т.п.)! Только лишь ставим галочку и нажимаем на "Finish".

------------

Также можно попробовать справиться с помощью AVZ:

Нажимаем в верхнем меню программы:

Сервис > Менеджер Winsock SPI (LSP, NSP, TSP)

Последняя вкладка в открывшемся приложении - "Поиск Ошибок" и кнопка "Автоматическое исправление найденных ошибок".

[Kolya_Pusy_Lamer]

Saule, попробовал исправить с помощью AVZ. После перезагрузки система неподетски затормозила - время загрузки до появления кнопки Пуск увеличилось в 10 раз, иконки на рабочем столе так и не появились. Стол на мышку не реагирует, перезапуск делал Контр-Алт-Дел. В защищённом режиме - то же самое... :sm(100): Пришлось переустанавливать систему... Не могут-ли бяки из прошлой установки как-то проявится в нынешней? :sm(100): (не хочется подводить друга) :sm(100):

[Falc0n]

Saule, снова вопрос к тебе!

Пару месяцев назад у меня уже был вирус, успешно убитый с твоей помощью, за что большая тебе благодарность, но тут появился новый. Симптомы похожие. Лечил по предней методе, но эффекта не получил:D Вкратце-Касперский отрубается при запуске компа, по аське рассылались от меня сылки на вирус (вроде это я убрал).

AVG Anti-Spyware постоянно находит, убирает в карантин, но снова появляются всяческие Worm.Warezov.dq (hp, et, ex, cu, dl) а также Proxy.Agent.lm и Trojan.Agent.acq :D

Вобщем вот лог:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\resetservice.exe

D:\Ds\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.232.248.83/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FF9F32DA-2C50-416E-B4C1-D26500E1C8EF}: NameServer = 80.249.128.254,192.168.11.1

O20 - AppInit_DLLs: e1.dll diagcrs.dll statcrs.dll diagdss.dll confaud.dll statdss.dll audstat.dll confbrw.dll brwstat.dll alrsbatt.dll diagisr.dll

O20 - Winlogon Notify: crsconf - C:\WINDOWS\SYSTEM32\cfgcrs.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: KLBLMain - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\Program Files\DrWeb\SpiderNT.exe (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[хэлоумэн]

Помогите добрым советом плизз....

Словил какуюто гадость, которая при каждом соединении с инетом организует исходящий поток, примерно в 3 мб за 10минут, при этом ЦП загружается процентов на 80-90. В фаерволе она обозначается как svcchost.exe. Удалял через hijackthis и вручную из папки system32, но при каждой новой загрузке вновь воскрешается, и приходится вручную вновь и вновь прибивать ее. Подскажите как избавиться от этой радости, кто сталкивался?!

[Kolya_Pusy_Lamer]

2 хэлоумен

здесь принято в таких случаях выкладывать лог hijackthis... ;)

2 All

При соединении какойто вирь лезет в и-нет (соотношение исход./ вход. трафика 3/1...10/1). ;)

При установленом Аутпосте нет выхода в интернет (проги не коннектятся,Касперский не видит сервера,стартовая страница-недоступна). При установленном Керио-начинаются глюки и тормоза системы после выхода в инет

Прогонял систему в защищённом режиме через AVZ,Ad-Aware,McAfee AVERT Stinger 2.6.0. Шото убивалося...

Но при следующем соединении картина такая-же. ;)

Прсветите мне путь в этой войне!!!

Logfile of HijackThis v1.99.1

Scan saved at 21:20:01, on 19.12.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\alg.exe

C:\WINDOWS\chkdsk.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\srvany.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\explorer.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\SafHouse\DUTraffic\DUTraffic.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\taskmgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\CDSlow 2.4\Cdslow.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Documents and Settings\Яна.WCO00CMPGK4O0L1\Рабочий стол\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ewido/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [safonov DuTraffic] C:\Program Files\SafHouse\DUTraffic\DUTraffic.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CDSlow] C:\Program Files\CDSlow 2.4\Cdslow.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Application Layer Gateway Services - Unknown owner - C:\WINDOWS\alg.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Disk Checker Service (Check Disk) - Unknown owner - C:\WINDOWS\chkdsk.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Windows taskmanager - Unknown owner - C:\WINDOWS\taskmgr.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[ser208]

C:\WINDOWS\chkdsk.exe

Вот на это обрати внимание. Не должно этого приложения в этой папке быть. Оно должно быть в папке system32.

O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll

А вот это у тебя и подсавывает трафик скорее всего.

Фикси.

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется.

Изменено 19 декабря, 2006 пользователем ser208

[Gastronom]

спасибо за прогу которую выложили ;) она удолила всё кроме - C:\WINDOWS\System32\slbipsch.exe\[uPX]..... вот эту хрень удолить не получается ;) помогите пожалуйста, а то я ломак ;)

[ser208]

спасибо за прогу которую выложили ;) она удолила всё кроме - C:\WINDOWS\System32\slbipsch.exe\[uPX]..... вот эту хрень удолить не получается ;) помогите пожалуйста, а то я ломак ;)

Кидай лог. Посмотрим откуда подгружается и где тело вируса сидит.