Kolya_Pusy_Lamer Опубликовано 19 декабря, 2006 Жалоба Поделиться Опубликовано 19 декабря, 2006 C:\WINDOWS\chkdsk.exe Вот на это обрати внимание. Не должно этого приложения в этой папке быть. Оно должно быть в папке system32. O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll А вот это у тебя и подсавывает трафик скорее всего. Фикси. O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется. C:\WINDOWS\chkdsk.exe-это я тоже заметил, но процесс не убивается, а экспериментировать побоялся... Думал, может и в самом деле системный. Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется.-- плиз, скинь на мыло инструкцию поподробней Kolya1976 [ sobaka ] bigmir.net или в приват. Давно мечтаю найти старшого IT-товарища... Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 Saule, попробовал исправить с помощью AVZ. После перезагрузки система неподетски затормозила - время загрузки до появления кнопки Пуск увеличилось в 10 раз, иконки на рабочем столе так и не появились. Стол на мышку не реагирует, перезапуск делал Контр-Алт-Дел. В защищённом режиме - то же самое... :( Пришлось переустанавливать систему... Не могут-ли бяки из прошлой установки как-то проявится в нынешней? (не хочется подводить друга) В этом случае дело было не только в повреждении базы данных поставщиков Winsock. И, видимо, вы или ваш друг перед этим слишком уж много наудаляли из того, что принадлежалго системе, поэтому возврат к верным начальным конфигурациям привёл её в такой шок. В следующий раз, если вдруг встретитесь с подобными глюками и у вас будет возможность запустить Windows с установочного диска, то вместо переустановки системы, есть смысл попробовать воспользоваться консолью восстановления. И что касается повторного проявления, то чтобы ответить на этот вопрос, нужно иметь хоть какое-то представление о том, что там вообще произошло. Коментариев "...пошаманил с помощью AVZ,Ad-Aware,Cure-It и Avast-ом,что-то убило,но доступа в И-нет так и нет...", к сожалению, не достаточно :) Вкратце-Касперский отрубается при запуске компа, по аське рассылались от меня сылки на вирус (вроде это я убрал). AVG Anti-Spyware постоянно находит, убирает в карантин, но снова появляются всяческие Worm.Warezov.dq (hp, et, ex, cu, dl) а также Proxy.Agent.lm и Trojan.Agent.acq :( 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe O20 - AppInit_DLLs: e1.dll diagcrs.dll statcrs.dll diagdss.dll confaud.dll statdss.dll audstat.dll confbrw.dll brwstat.dll alrsbatt.dll diagisr.dll O20 - Winlogon Notify: crsconf - C:\WINDOWS\SYSTEM32\cfgcrs.dll Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Закрываем все посторонние программы, чтобы ничего не мешало. 3. Скачиваем AVZ. Распаковываем, запускаем и нажимаем в его верхнем меню: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. Далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на crsconf и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с crsconf и затем нажимаем на кнопку "X"). Если такой строки там не окажеться - просто переходим к следующему пункту. 4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя из AVZ (это важно). 5. После перезагрузки снова в верхнем меню AVZ выбираем: Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строчку: C:\WINDOWS\SYSTEM32\cfgcrs.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". 6. То же самое, поочередно, делаем со следующими файлами: C:\WINDOWS\System32\e1.dll C:\WINDOWS\System32\diagcrs.dll C:\WINDOWS\System32\statcrs.dll C:\WINDOWS\System32\diagdss.dll C:\WINDOWS\System32\confaud.dll C:\WINDOWS\System32\statdss.dll C:\WINDOWS\System32\audstat.dll C:\WINDOWS\System32\confbrw.dll C:\WINDOWS\System32\brwstat.dll C:\WINDOWS\System32\alrsbatt.dll C:\WINDOWS\System32\diagisr.dll 7. Снова перезагружаем компьютер. 8. Отключаем AVZ Guard (в верхнем меню AVZ): AVZ Guard > Отключить AVZ Guard 9. Затем желательно сделать полное сканирование системы с помощью AVG Anti-Spyware и если что-либо им будет найдено, удалить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 Словил какуюто гадость, которая при каждом соединении с инетом организует исходящий поток, примерно в 3 мб за 10минут, при этом ЦП загружается процентов на 80-90. В фаерволе она обозначается как svcchost.exe. Удалял через hijackthis и вручную из папки system32, но при каждой новой загрузке вновь воскрешается, и приходится вручную вновь и вновь прибивать ее. Подскажите как избавиться от этой радости, кто сталкивался?! Во-первых, у файла svcchost.exe обязательно есть "сообщник", выявить которого можно только по логу (обычно mysvcc.exe, recsl.exe и пр.). Поэтому удаление одного файла - положительного результата не даст. И, во-вторых, очень желательно проверить, установлены ли на вашем компьютере следующие заплатки (если не установлены, то их нужно установить): Microsoft Security Bulletin MS06-040 Microsoft Security Bulletin MS05-039 Microsoft Security Bulletin MS04-011 Microsoft Security Bulletin MS03-043 http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx' rel="external nofollow">При соединении какойто вирь лезет в и-нет (соотношение исход./ вход. трафика 3/1...10/1). 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Нажимаем: Start > Run (Пуск > Выполнить) Копируем в строку: services.msc Нажимаем ОК или клавишу ENTER. В открывшемся приложении находим в списке служб следующую: Application Layer Gateway Servic es (не перепутай с системной: Application Layer Gateway Servic e ). Кликаем по ней двойным кликом и в открывшемся окне нажимаем на кнопку Stop/Стоп. Плюс изменяем её StartUp Type/Тип Запуска на положение Disabled/Отключено. Теперь Apply и ОК. То же самое делаем со следующей службой: Windows taskmanager (кликнуть по ней, нажать на Stop и изменить тип запуска на Disabled). И со следующей: Disk Checker Service 3. Перезагружаем компьютер. 4. Start > Run (Пуск > Выполнить) Копируем в строку: sc delete Network helper Service Нажимаем ОК или клавишу ENTER. Затем поочередно то же самое делаем со следующим: sc delete Application Layer Gateway Services sc delete Windows taskmanager sc delete Disk Checker Service 5. Удаляем файлы: C:\WINDOWS\ alg.exe (не перепутай с системным: C:\WINDOWS\ system32 \alg.exe) C:\WINDOWS\ chkdsk.exe (аналогично alg.exe) C:\WINDOWS\ taskmgr.exe (аналогично alg.exe) C:\WINDOWS\System32\ explorer.exe (системный находится здесь: C:\ WINDOWS \explorer.exe) 6. Снова перезагружаем компьютер. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 спасибо за прогу которую выложили :( она удолила всё кроме - C:\WINDOWS\System32\slbipsch.exe\[uPX]..... вот эту хрень удолить не получается :( помогите пожалуйста, а то я ломак Очень важно удалять slbipsch.exe только после того, как был активирован AVZ Guard. То есть сначала нажимаем в верхнем меню AVZ: AVZ Guard > Включить AVZ Guard. Кнопка ОК. После этого временно (на то время пока AVZ Guard включен) будут заблокированы ВСЕ(!) приложения, кроме самого AVZ, которые каким-либо образом изменяют реестр, создают файлы на каком-либо диске, запускают процессы, открывают потоки др. процессов и обращаются к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip. Поэтому теперь с помощью AVZ можно удалить из реестра запись уведомления Winlogon, которая ссылается на slbipsch (в его верхнем меню: Сервис > Менеджер автозапуска; подробнее: пост). Это необходимо для того, чтобы после следующей перезагрузки slbipsch больше не загрузился, т.к. в этом случае он снова будет под защитой системы. Если пробовать удалить эту запись без включения AVZ Guard - она сразу же восстановится. Теперь перезагружаем компьютер, не выключая AVZ Guard и не выходя из AVZ. Это важно, т.к. опять же, если AVZ Guard будет выключен до удаления файлов slbipsch, то вредоносный модуль уведомления Winlogon восстановится. А удалить эти файлы без перезагрузки нельзя (т.к. они пока что находятся под защитой системы). После перезагрузки удаляем файлы (в верхнем меню AVZ: Файл > Отложенное удаление файла): C:\WINDOWS\system32\slbipsch.dll C:\WINDOWS\system32\slbipsch.exe Снова перезагружаем компьютер. После чего отключаем AVZ Guard (в верхнем меню AVZ: AVZ Guard > Отключить AVZ Guard). P.S. Если процесс перезагрузки системы при активированном AVZ Guard будет длиться дольше, чем обычно + некоторые приложения и программы будут выдавать сообщения о ошибках - не пугаемся. Т.к. это связано с временным ограничением работы этих программ (т.е. если приложение совершает "неразрешенное" действие из перечисленных выше, оно будет блокировано до тех пор, пока AVZ Guard не будет выключен). Именно поэтому перед этим лечением рекомендуется закрыть всё постороннее. Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется. Очень приятно, что кому-то еще эта тема всё-таки небезразлична Единственное, мне кажется, что reset5 используется теми, кто до сих так и не установил Service Pack2. И как раз в данном случае этот пакет не установлен (т.е. нужно иметь в виду, что после удаления reset5, Windows через какое-то время может попросить денежку). 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 slbipsh.exe а что это за процесс ? :sm(100): Ссылка на комментарий Поделиться на другие сайты Поделиться
хэлоумэн Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 Во-первых, у файла svcchost.exe обязательно есть "сообщник", выявить которого можно только по логу (обычно mysvcc.exe, recsl.exe и пр.). Поэтому удаление одного файла - положительного результата не даст. И, во-вторых, очень желательно проверить, установлены ли на вашем компьютере следующие заплатки (если не установлены, то их нужно установить): Microsoft Security Bulletin MS06-040 Microsoft Security Bulletin MS05-039 Microsoft Security Bulletin MS04-011 Microsoft Security Bulletin MS03-043 http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx' rel="external nofollow">Спасибо, заплатки поставил, svcchost.exe и mysvcc.exe вроде удалились, но появилось новое - igfrmqie.exe. С ним цп еще больше тормозит, подскажите программу, которая почистила бы от всей этой нечисти!? А ВОТ КСТАТИ Logfile of HijackThis: Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe D:\WINDOWS\System32\MMTray.exe D:\WINDOWS\System32\CTsvcCDA.exe D:\WINDOWS\System32\MMTray2k.exe D:\Program Files\AGAVA Firewall\fwservice.exe D:\WINDOWS\System32\MMTrayLSI.exe D:\WINDOWS\System32\qttask.exe D:\PROGRA~1\DrWeb\SpiderNT.exe D:\WINDOWS\System32\MsPMSPSv.exe D:\Program Files\ICQLite\ICQLite.exe D:\Program Files\OpenVPN\bin\openvpn-gui.exe D:\Program Files\HP\HP Software Update\HPWuSchd2.exe D:\Program Files\DrWeb\spiderml.exe D:\Program Files\DrWeb\DRWEBSCD.EXE D:\PROGRA~1\DrWeb\spidernt.exe D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe D:\Program Files\AGAVA Firewall\fwusrv.exe D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe D:\Program Files\Download Master\dmaster.exe D:\Program Files\Punto Switcher\ps.exe D:\Program Files\TGTSoft\StyleXP\StyleXP.exe D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe D:\Program Files\Common Files\Teleca Shared\Generic.exe D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe D:\Documents and Settings\007\Рабочий стол\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9202 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CTSysVol] D:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [updReg] D:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [iCQ Lite] "D:\Program Files\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [openvpn-gui] D:\Program Files\OpenVPN\bin\openvpn-gui.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Games\NFS\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [spIDerMail] "D:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [DrWebScheduler] "D:\Program Files\DrWeb\DRWEBSCD.EXE" O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [sony Ericsson PC Suite] "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [AGAVA Update Server] "D:\Program Files\AGAVA Firewall\fwusrv.exe" O4 - HKLM\..\RunServices: [mlibsysmc] igfrmqie.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Download Master] D:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [sTYLEXP] D:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU) O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU) O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU) O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU) O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: AGAVA Firewall (fwservice) - Unknown owner - D:\Program Files\AGAVA Firewall\fwservice.exe" -trayicon (file missing) O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Program Files\OpenVPN\bin\openvpnserv.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: StyleXPService - Unknown owner - D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
хэлоумэн Опубликовано 20 декабря, 2006 Жалоба Поделиться Опубликовано 20 декабря, 2006 А вот еще на всякий случай список объектов автозапуска, полученный в AVZ. Просканил системный диск в AVZ, но ничего подозрительного не нашлось avz_autorun.htm avz_autorun.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 21 декабря, 2006 Жалоба Поделиться Опубликовано 21 декабря, 2006 slbipsh.exeа что это за процесс ? DrWeb: Win32.HLLM.Limar.based Kaspersky: Email-Worm.Win32.Warezov.eq Bitdefender: Worm.Stration.L Только суть вопроса немного не понятна, т.к. 3 дня назад я тебе уже подробно писала каким образом он удаляется :( Saule, посмотри, что за червь точит?А главное, как пофиксить? :) Диагноз о наличии червя был сделан по каким-либо внешним признакам? Если да, то сделай, пожалуйста, с помощью AVZ сканирование + исследование системы (в верхнем меню: Файл > Исследование системы; только пункт "Создать ZIP архив..." - отмечать не нужно), после чего приложи созданный им протокол. В логе HijackThis смущает лишь следующее. Строчки O17 именно в таком виде и были?: O17 - HKLM\System\CCS\Services\Tcpip\..\{08091338-514C-43B0-83F2-22534C496C2B}: NameServer = O17 - HKLM\System\CS1\Services\Tcpip\..\{08091338-514C-43B0-83F2-22534C496C2B}: NameServer = Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 21 декабря, 2006 Жалоба Поделиться Опубликовано 21 декабря, 2006 появилось новое - igfrmqie.exe. С ним цп еще больше тормозит, подскажите программу, которая почистила бы от всей этой нечисти!? У вас одна из разновидностей IRCBot (Backdoor Trojan). И в этом случае гораздо эффективнее будет использовать приложение, специально написанное под корректное удаление его конкретных модификаций. 1. Скачиваем SDFix Открываем и запускаем SDFix.exe (это самораспаковывающийся архив). В системном каталоге будет создана папка SDFix. В вашем случае она будет здесь: D:\ SDFix 2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode) При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. 3. Открываем папку SDFix и запускаем файл RunThis.bat. Пишем букву Y и нажимаем на ENTER. Начнется удаление компонентов трояна и восстановление системных настроек в реестре. Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем. 4. После перезагрузки процедура удаления снова ненадолго продолжится. Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся). Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия. Если вдруг после этого вам покажется, что проблема в системе всё равно не исчезла, скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis. Ссылка на комментарий Поделиться на другие сайты Поделиться
хэлоумэн Опубликовано 21 декабря, 2006 Жалоба Поделиться Опубликовано 21 декабря, 2006 Saule, спасибо за помощь, все сделал. выкладываю логи, прокомментируйте пжлста результаты, что там сделалось? И в следующий раз значит в таких случаях использовать SPDFix? report.txt hijackthis21.txt report.txt hijackthis21.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
хэлоумэн Опубликовано 21 декабря, 2006 Жалоба Поделиться Опубликовано 21 декабря, 2006 Ё-моё, ничего не вычищается пытался с помощью SPDFix два раза, но бесполезно. Я так подозреваю что единственный выход - форматирование системного диска, да? новый лог: hijackthis___.txt hijackthis___.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 22 декабря, 2006 Жалоба Поделиться Опубликовано 22 декабря, 2006 (изменено) И в следующий раз значит в таких случаях использовать SPDFix? В папке SDFix есть файл SDFix_ReadMe.htm, где перечислены все модификации IRCBot/SDBot, которые данная версия SDFix распознаёт и удаляет. То есть это специализированная утилита, которая никак не может заменить полноценный антивирусный сканер (но именно этот вирус она удаляет гораздо качественнее). пытался с помощью SPDFix два раза, но бесполезно. Не совсем бесполезно, т.к. после чистки SDFix показал другие компоненты трояна, которые по обычному логу, к сожалению, не видны (единственное, удалить их самостоятельно он не мог, т.к. в нем не заложены конкретно эти названия). 1. Открываем любой текстовый редактор (напр., Notepad/Блокнот) и копируем туда следующее: REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"sszalmon"=- Сохраняем этот текстовый файл с расширением .reg (либо сохраняем и затем меняем расширение вручную - с .txt на .reg) и запускаем его. На вопрос Windows "Are you sure you want to add this information... to registry?" - отвечаем "Yes". 2. В логе HijackThis удаляем с помощью кнопки "Fix Checked" следующие строчки: O4 - HKLM\..\Run: [msvcc25] svcchost.exe O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe 3. Открываем AVZ и в его верхнем меню выбираем: Файл > Отложенное удаление файла Копируем в появившееся окошко следующую строчку: D:\WINDOWS\system32\igfrmqie.exe Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". То же самое поочередно делаем со следующим: D:\WINDOWS\system32\accplocm.exe D:\WINDOWS\system32\awllbbma.exe D:\WINDOWS\system32\svcchost.exe D:\WINDOWS\system32\mysvcc.exe 4. Перезагружаем компьютер. В том случае, если за вчерашний день вирусом не было создано новых файлов (это можно посмотреть отсортировав файлы по дате их создания, либо в отчете SDFix, либо с помощью утилиты combofix.exe), все ваши мучения на этот раз должны благополучно закончиться. P.S. Чтобы отсортировать файлы по их дате создания: Заходим в необходимую папку (обычно WINDOWS и WINDOWS\system32) и выбераем в верхнем меню проводника: View > Details (Вид > Таблица) Затем правой кнопкой мыши кликаем по любому заголовку таблицы и добавдяем (нажимаем на) атрибут Date Created : После чего сортируем файлы по этому атрибуту, нажав в таблице на этот заголовок (т.е. файлы установятся в порядке даты их создания и вычислить те, которые появились недавно будет легко). Изменено 22 декабря, 2006 пользователем Saule 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Azhar Опубликовано 22 декабря, 2006 Жалоба Поделиться Опубликовано 22 декабря, 2006 Здравствуйте! Спасибо за помощь всем, кто описывает как бороться с нечистью. Я знала по тому как увеличился исходящий траффик, что у меня засел троян. Я даже знала, в каком файле он сидит. Это был файл irdvxc.exe в папке sistem32. Через диспетчер задач этот процесс не завершался. Файл невозможно было удалить. Hijackthis его тоже не удалял. Ни одна из 5-6 антивирусных программ мне не помогла!!!! в том числе и те, которые были рекомендованы здесь. ОНи просто не видели этот троян!!!!! Файл я обнаружила совершенно случайно. После недавней борьбы с urdvxc.exe я по привычке мониторила комп на предмет невесть откуда взявшихся файлов и обнаружила новую гадость. В тот день я ничего из инета не скачивала, ничего не сохраняла. Этот файл был единственным созданным 20 декабря. ПОтом обратила внимание, что Hijackthis предлагает прекратить его работу с помощью services.msc . Или я в пылу борьбы уже путаю с тем, что предлагали сделать с неудаляющимися программами. Так как я совершенно не понимаю ничего в services.msc , то и преращала работу и переводила в ручной режим как бог на душу ляжет и по принципу нравится мне название процесса или нет Главное, что irdvxc.exe и еще процессы, вызванные удаленным несколько дней назад совершенно случайно urdvxc.exe, я остановила и удалила. Но так как я обнаружила, что у меня перстал работать интернет и еще что-то я со страху все процессы первела в режим автоматической работы. Наверное, это не есть полезно. Помогите и подскажите, что можно перевести в режим ручного запуска, а что можно отключить совсем? И еще, я пофиксила: 1)файл directx.exe, который сидел в C:\WINNT\directx.exe - он ведь не нужен? В службах он описан как просто и незатейливо как отвечающий за directx.exe. 2) C:\WINNT\system32\msasvc.exe, который описан как Adobe LT Service; 3) и за компанию C:\WINNT\System32\mnmsrvc.exe , решив что нечего ко мне на рабочий стол лезть. Успокойте или расстройте меня - я удалила что-то важное или нет? Выкладываю логфайл Logfile of HijackThis v1.99.1 Scan saved at 2:02:29, on 23.12.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Program Files\Real\RealPlayer\RealPlay.exe C:\WINNT\SOUNDMAN.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe C:\WINNT\system32\rundll32.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINNT\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\WINNT\system32\tlntsvr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\netdde.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\cisvc.exe C:\WINNT\system32\cidaemon.exe C:\WINNT\System32\dmadmin.exe C:\WINNT\system32\clipsrv.exe C:\WINNT\System32\msdtc.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Program Files\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [msvcc25] salvage.exe O4 - HKLM\..\Run: [mysvcig38] recsl.exe O4 - HKLM\..\Run: [Managments Service] winstku.exe O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [PrevxOne] "C:\Program Files\Prevx1\PXConsole.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [msvcc25] salvage.exe O4 - HKLM\..\RunServices: [mysvcig38] recsl.exe O4 - HKLM\..\RunServices: [Managments Service] winstku.exe O4 - HKCU\..\Run: [vssl2] C:\WINNT\system32\winsrcv.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Закачать &все при помощи ReGet Jr. - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O8 - Extra context menu item: Закачать при помощи Re&Get Jr. - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B2310A70-971B-4EFA-95E0-F06582F1BE9F}: NameServer = 82.200.130.10 212.19.149.53 O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Adobe LT Service (ALTS) - Unknown owner - C:\WINNT\system32\msasvc.exe (file missing) O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing) O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: directx.exe - Unknown owner - C:\WINNT\directx.exe (file missing) O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing) O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing) O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Kolya_Pusy_Lamer Опубликовано 22 декабря, 2006 Жалоба Поделиться Опубликовано 22 декабря, 2006 Спасибо Saule, вирусы с помощью ваших рекомендаций убил... Но после их убиения отрубился доступ в Инет и LSPFix мне не помог... Я обновил систему до второго сервис пака и связь восстановилась. Насколько я понял, в моём случае, повреждаются некоторые .dll файлы, которые используются для доступа в интернет. Если моя догадка верна, подскажите как их лучьше всего восстанавливать, а если нет - то расскажите непутёвому,где-же он отрубается... З.Ы. А что мне сейчас сделать с RESET 5 ? Ссылка на комментарий Поделиться на другие сайты Поделиться
хэлоумэн Опубликовано 24 декабря, 2006 Жалоба Поделиться Опубликовано 24 декабря, 2006 Saule, спасибо большое за подробный ответ, с наступающим всех!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Dmlter Опубликовано 25 декабря, 2006 Жалоба Поделиться Опубликовано 25 декабря, 2006 Проблема: winlogon загружает процессор на 100-99%. Процесс логина и загрузки ~20 минут. В safe тоже самое. Запустить что-либо не воможно. Hijackthis за час не загрузился. ОС WinXP SP2 без последующих обновлений. Из антивирей стоит NOD32 с постоянным обновлением. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 И еще, я пофиксила:1)файл directx.exe, который сидел в C:\WINNT\directx.exe - он ведь не нужен? В службах он описан как просто и незатейливо как отвечающий за directx.exe. 2) C:\WINNT\system32\msasvc.exe, который описан как Adobe LT Service; 3) и за компанию C:\WINNT\System32\mnmsrvc.exe , решив что нечего ко мне на рабочий стол лезть. Успокойте или расстройте меня - я удалила что-то важное или нет? 1. вирус 2. вирус 3. достаточно установить тип запуска этой службы на положение "Отключено": Start > Run Вписываем services.msc Нажимаем ОК или на клавишу ENTER В открывшемся приложении находим в списке служб следующую: NetMeeting Remote Desktop Sharing Кликаем по ней двойным кликом и в открывшемся окне изменяем её StartUp Type/Тип Запуска на положение Disabled/Отключено. Теперь Apply и ОК. Выкладываю логфайл По логу желательно сделать следующее: 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O4 - HKLM\..\Run: [msvcc25] salvage.exe O4 - HKLM\..\Run: [mysvcig38] recsl.exe O4 - HKLM\..\Run: [Managments Service] winstku.exe O4 - HKLM\..\RunServices: [msvcc25] salvage.exe O4 - HKLM\..\RunServices: [mysvcig38] recsl.exe O4 - HKLM\..\RunServices: [Managments Service] winstku.exe O4 - HKCU\..\Run: [vssl2] C:\WINNT\system32\winsrcv.exe Затем на кнопку "Fix Checked". 2. Start > Run (Пуск > Выполнить) Копируем в строку: sc delete Adobe LT Service Нажимаем ОК или клавишу ENTER. Start > Run (Пуск > Выполнить) Копируем в строку: sc delete directx.exe Нажимаем ОК или клавишу ENTER. 3. Не обязательно, но лишним в данном случае не было бы - чистка с помощью SDFix: 1) Скачиваем SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.zip' rel="external nofollow">Открываем и запускаем SDFix.exe (это самораспаковывающийся архив). В системном каталоге будет создана папка SDFix. В вашем случае она будет здесь: C:\ SDFix 2) Теперь необходимо перезагрузить компьютер в безопасный режим ( Safe Mode ) При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. 3) Открываем папку SDFix и запускаем файл RunThis.bat . Пишем букву Y и нажимаем на ENTER. Начнется удаление компонентов трояна и восстановление системных настроек в реестре. Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем. 4) После перезагрузки процедура удаления снова ненадолго продолжится. Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся). Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt ), где будут описаны все сделанные им действия. Если вдруг после этого вам покажется, что проблема в системе всё равно не исчезла, скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis. Но так как я обнаружила, что у меня перстал работать интернет и еще что-то я со страху все процессы первела в режим автоматической работы. Наверное, это не есть полезно. Помогите и подскажите, что можно перевести в режим ручного запуска, а что можно отключить совсем? По аналогии с NetMeeting Remote Desktop Sharing вы можете отключить следующее: Оповещатель (Alerter) Служба сообщений (Messenger) Telnet (TlntSvr) если не отправляете и не принимаете факсимильные сообщения:Служба факсов (Fax) если у вас обычный домашний компьютер, а не сеть:Обозреватель компьютеров (Browser) если у вас нет необходимости открывать доступ к вашим файлам и принтерам:Сервер (lanmanserver) если не используете Сервер папки обмена (ClipBook):Диспетчер сетевого DDE (NetDDEdsdm) Служба сетевого DDE (NetDDE) Это то, что бросается в глаза в первую очередь. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
dima89 Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 Saule подхватил червя , аваст его не удаляет, вот лог Logfile of HijackThis v1.99.1 Scan saved at 17:01:48, on 26.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\windows\system32\Ati2evxx.exe C:\windows\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Winamp\winampa.exe C:\windows\system32\ctfmon.exe C:\Program Files\Free Download Manager\fdm.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe C:\Program Files\OpenOffice.org 2.0.3\program\soffice.exe C:\Program Files\OpenOffice.org 2.0.3\program\soffice.BIN C:\Program Files\Winamp\winamp.exe C:\Program Files\Opera\Opera.exe C:\Documents and Settings\Диман \Мои документы\aswclnr.exe C:\Documents and Settings\Диман \Мои документы\aswclnr.tmp C:\Program Files\QIP\qip.exe C:\Documents and Settings\Диман \Мои документы\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [steam] "c:\games\steam\steam.exe" -silent O4 - Startup: OpenOffice.org 2.0.3.lnk = C:\Program Files\OpenOffice.org 2.0.3\program\quickstart.exe O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe O4 - Global Startup: DSLMON.lnk = ? O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{17DAFE1B-9B50-43BF-9FCB-A92C1443C871}: NameServer = 212.188.4.10 195.34.32.116 O20 - AppInit_DLLs: vwipsti_.dll e1.dll O20 - Winlogon Notify: netstraf - C:\windows\system32\netstraf.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 Если моя догадка верна, подскажите как их лучьше всего восстанавливать, а если нет - то расскажите непутёвому,где-же он отрубается... Чтобы понять, где именно он отрубается, нужно сделать хоть какие-то тесты. Например: Start/Пуск > Help and Support/Справка и поддержка > раздел "Networking and the Web"/"Работа в сети и Интернет" > Fixing networking or Web problems/Устранение неполадки сети или при работе в Интернете > Diagnose network configuration and run automated networking tests > нажимаем на "Scan your system" З.Ы. А что мне сейчас сделать с RESET 5 ? За установку Service Pack 2 - хвалю :D Теперь большинство проблем с вирусами отпадет само собой. Единственное, не могу быть уверенна, что Windows через какое-то время не попросит повторно её активировать.. Но RESET 5 теперь тебе точно не нужен. добрый день.. :D будьте добры посмотрите этот лог. 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O2 - BHO: (no name) - {5B20194F-C69E-833C-4552-02AB3E4088B2} - C:\WINDOWS\System32\oylrovm.dll O3 - Toolbar: rtnews Toolbar - {9d6b51ce-25c0-461c-893e-ff0ef332745c} - C:\Program Files\rtnews\tbrtn1.dll O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} - http://dinet.info/ad/us00/ad.cab http://dinet.info/ad/us00/ad.cab' rel="external nofollow">O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt1.bnj Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Перезагружаем компьютер. После чего, нужно повторить лог. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 подхватил червя , аваст его не удаляет 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru O20 - AppInit_DLLs: vwipsti_.dll e1.dll O20 - Winlogon Notify: netstraf - C:\windows\system32\netstraf.dll Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Закрываем все посторонние программы, чтобы ничего не мешало. 3. Скачиваем AVZ. Распаковываем, запускаем и нажимаем в его верхнем меню: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. Далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на netstraf и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с netstraf и затем нажимаем на кнопку "X"). Если такой строки там не окажеться - просто переходим к следующему пункту. 4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя из AVZ (это важно). 5. После перезагрузки снова в верхнем меню AVZ выбираем: Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строчку: C:\windows\system32\netstraf.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". 6. То же самое, поочередно, делаем со следующими файлами: C:\windows\system32\e1.dll C:\windows\system32\vwipsti_.dll 7. Снова перезагружаем компьютер. 8. Отключаем AVZ Guard (в верхнем меню AVZ): AVZ Guard > Отключить AVZ Guard Ссылка на комментарий Поделиться на другие сайты Поделиться
удачи-тебе Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 hijackthis.log 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O2 - BHO: (no name) - {5B20194F-C69E-833C-4552-02AB3E4088B2} - C:\WINDOWS\System32\oylrovm.dll O3 - Toolbar: rtnews Toolbar - {9d6b51ce-25c0-461c-893e-ff0ef332745c} - C:\Program Files\rtnews\tbrtn1.dll O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} - http://dinet.info/ad/us00/ad.cab http://dinet.info/ad/us00/ad.cab' rel="external nofollow">O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt1.bnj Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Перезагружаем компьютер. После чего, нужно повторить лог. всё так и сделал...вот новый лог hijackthis.log hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 всё так и сделал...вот новый лог hijackthis.log 1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O2 - BHO: (no name) - {55B201FF-C057-E521-6D17-0489B6CF9930} - C:\WINDOWS\System32\yhqovpf.dll O4 - HKLM\..\Run: [ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\App.exe" hide Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). 2. Перезагружаем компьютер. После чего, желательно снова повторить лог, т.к. всё еще не могу понять, что у вас за инфекция. Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 (изменено) Saule: Юль так что у меня? Или у меня паранойя? Изменено 26 декабря, 2006 пользователем Indomito Ссылка на комментарий Поделиться на другие сайты Поделиться
Kolya_Pusy_Lamer Опубликовано 26 декабря, 2006 Жалоба Поделиться Опубликовано 26 декабря, 2006 (изменено) Чтобы понять, где именно он отрубается, нужно сделать хоть какие-то тесты. Например: Start/Пуск > Help and Support/Справка и поддержка > раздел "Networking and the Web"/"Работа в сети и Интернет" > Fixing networking or Web problems/Устранение неполадки сети или при работе в Интернете > Diagnose network configuration and run automated networking tests > нажимаем на "Scan your system" Блин, какой я крутой хакер... 3 года работаю в Вин ХР а про такое и не подумал... :D Saule, такой вопрос: если сделать архив раздела свежеустановленной Windows,а потом из этого архива восстанавливать системные файлы на другом компе (или на этом-же, но после неприятностей), это возможно, или-же я просто систему догроблю? Может, есть вариант попроще? Приношу извинения за ламерство... Изменено 27 декабря, 2006 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 декабря, 2006 Жалоба Поделиться Опубликовано 27 декабря, 2006 Saule: Юль так что у меня? Или у меня паранойя? Программа, которую ты отметил на основании повышенной сетевой активности, занимается переводом "на лету" на различные иностранные языки, при этом база переводчика находится не на компьютере пользователя.. Поэтому ничего странного в её сетевой активности я не вижу. Наряду с этим, проверка на наличие в ней каких-либо adware, spyware и пр. вредоносных компонентов дала более чем благоприятные результаты - никакой преступной деятельностью эта программа не занимается. Минимальная модификация реестра (удаление: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PostBootReminders\Microsoft.NetDriveReconnectFailed]; изменение для библиотек riched20.dll и riched32.dll в разделе: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]; плюс добавление записи о себе в раздел Uninstall), все настройки, касающиеся техники перевода и серверов, с которыми создаётся соединение, есть в её .ini-файлах. По поводу Tracking Cookie: вторая часть поста Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения