Помощь в лечении систем от нечисти

[Kolya_Pusy_Lamer]

C:\WINDOWS\chkdsk.exe

Вот на это обрати внимание. Не должно этого приложения в этой папке быть. Оно должно быть в папке system32.

O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll

А вот это у тебя и подсавывает трафик скорее всего.

Фикси.

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется.

C:\WINDOWS\chkdsk.exe-это я тоже заметил, но процесс не убивается, а экспериментировать побоялся... Думал, может и в самом деле системный.

Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется.-- плиз, скинь на мыло инструкцию поподробней Kolya1976 [ sobaka ] bigmir.net или в приват. Давно мечтаю найти старшого IT-товарища...

[Saule]

Saule, попробовал исправить с помощью AVZ. После перезагрузки система неподетски затормозила - время загрузки до появления кнопки Пуск увеличилось в 10 раз, иконки на рабочем столе так и не появились. Стол на мышку не реагирует, перезапуск делал Контр-Алт-Дел. В защищённом режиме - то же самое... :( Пришлось переустанавливать систему... Не могут-ли бяки из прошлой установки как-то проявится в нынешней? (не хочется подводить друга)

В этом случае дело было не только в повреждении базы данных поставщиков Winsock. И, видимо, вы или ваш друг перед этим слишком уж много наудаляли из того, что принадлежалго системе, поэтому возврат к верным начальным конфигурациям привёл её в такой шок.

В следующий раз, если вдруг встретитесь с подобными глюками и у вас будет возможность запустить Windows с установочного диска, то вместо переустановки системы, есть смысл попробовать воспользоваться консолью восстановления.

И что касается повторного проявления, то чтобы ответить на этот вопрос, нужно иметь хоть какое-то представление о том, что там вообще произошло. Коментариев "...пошаманил с помощью AVZ,Ad-Aware,Cure-It и Avast-ом,что-то убило,но доступа в И-нет так и нет...", к сожалению, не достаточно :)

Вкратце-Касперский отрубается при запуске компа, по аське рассылались от меня сылки на вирус (вроде это я убрал). AVG Anti-Spyware постоянно находит, убирает в карантин, но снова появляются всяческие Worm.Warezov.dq (hp, et, ex, cu, dl) а также Proxy.Agent.lm и Trojan.Agent.acq :(

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe

O20 - AppInit_DLLs: e1.dll diagcrs.dll statcrs.dll diagdss.dll confaud.dll statdss.dll audstat.dll confbrw.dll brwstat.dll alrsbatt.dll diagisr.dll

O20 - Winlogon Notify: crsconf - C:\WINDOWS\SYSTEM32\cfgcrs.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Закрываем все посторонние программы, чтобы ничего не мешало.

3. Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на crsconf и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с crsconf и затем нажимаем на кнопку "X"). Если такой строки там не окажеться - просто переходим к следующему пункту.

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя из AVZ (это важно).

5. После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:

C:\WINDOWS\SYSTEM32\cfgcrs.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

6. То же самое, поочередно, делаем со следующими файлами:

C:\WINDOWS\System32\e1.dll

C:\WINDOWS\System32\diagcrs.dll

C:\WINDOWS\System32\statcrs.dll

C:\WINDOWS\System32\diagdss.dll

C:\WINDOWS\System32\confaud.dll

C:\WINDOWS\System32\statdss.dll

C:\WINDOWS\System32\audstat.dll

C:\WINDOWS\System32\confbrw.dll

C:\WINDOWS\System32\brwstat.dll

C:\WINDOWS\System32\alrsbatt.dll

C:\WINDOWS\System32\diagisr.dll

7. Снова перезагружаем компьютер.

8. Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

9. Затем желательно сделать полное сканирование системы с помощью AVG Anti-Spyware и если что-либо им будет найдено, удалить.

[Saule]

Словил какуюто гадость, которая при каждом соединении с инетом организует исходящий поток, примерно в 3 мб за 10минут, при этом ЦП загружается процентов на 80-90. В фаерволе она обозначается как svcchost.exe. Удалял через hijackthis и вручную из папки system32, но при каждой новой загрузке вновь воскрешается, и приходится вручную вновь и вновь прибивать ее. Подскажите как избавиться от этой радости, кто сталкивался?!

Во-первых, у файла svcchost.exe обязательно есть "сообщник", выявить которого можно только по логу (обычно mysvcc.exe, recsl.exe и пр.). Поэтому удаление одного файла - положительного результата не даст.

И, во-вторых, очень желательно проверить, установлены ли на вашем компьютере следующие заплатки (если не установлены, то их нужно установить):

Microsoft Security Bulletin MS06-040

Microsoft Security Bulletin MS05-039

Microsoft Security Bulletin MS04-011

Microsoft Security Bulletin MS03-043

http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx' rel="external nofollow">

При соединении какойто вирь лезет в и-нет (соотношение исход./ вход. трафика 3/1...10/1).

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: UpdateMonitor Class - {12639463-00DB-4646-803D-528026140D88} - C:\WINDOWS\system32\dllcache\wumon.dll

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Нажимаем: Start > Run (Пуск > Выполнить)

Копируем в строку: services.msc

Нажимаем ОК или клавишу ENTER.

В открывшемся приложении находим в списке служб следующую:

Application Layer Gateway Servic

es

(не перепутай с системной: Application Layer Gateway Servic

e

).

Кликаем по ней двойным кликом и в открывшемся окне нажимаем на кнопку Stop/Стоп. Плюс изменяем её StartUp Type/Тип Запуска на положение Disabled/Отключено. Теперь Apply и ОК.

То же самое делаем со следующей службой:

Windows taskmanager

(кликнуть по ней, нажать на Stop и изменить тип запуска на Disabled).

И со следующей:

Disk Checker Service

3. Перезагружаем компьютер.

4. Start > Run (Пуск > Выполнить)

Копируем в строку:

sc delete Network helper Service

Нажимаем ОК или клавишу ENTER.

Затем поочередно то же самое делаем со следующим:

sc delete Application Layer Gateway Services

sc delete Windows taskmanager 

sc delete Disk Checker Service

5. Удаляем файлы:

C:\WINDOWS\

alg.exe

(не перепутай с системным: C:\WINDOWS\

system32

\alg.exe)

C:\WINDOWS\

chkdsk.exe

(аналогично alg.exe)

C:\WINDOWS\

taskmgr.exe

(аналогично alg.exe)

C:\WINDOWS\System32\

explorer.exe

(системный находится здесь: C:\

WINDOWS

\explorer.exe)

6. Снова перезагружаем компьютер.

[Saule]

спасибо за прогу которую выложили :( она удолила всё кроме - C:\WINDOWS\System32\slbipsch.exe\[uPX]..... вот эту хрень удолить не получается :( помогите пожалуйста, а то я ломак

Очень важно удалять slbipsch.exe только после того, как был активирован AVZ Guard.

То есть сначала нажимаем в верхнем меню AVZ: AVZ Guard > Включить AVZ Guard. Кнопка ОК.

После этого временно (на то время пока AVZ Guard включен) будут заблокированы ВСЕ(!) приложения, кроме самого AVZ, которые каким-либо образом изменяют реестр, создают файлы на каком-либо диске, запускают процессы, открывают потоки др. процессов и обращаются к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip.

Поэтому теперь с помощью AVZ можно удалить из реестра запись уведомления Winlogon, которая ссылается на slbipsch (в его верхнем меню: Сервис > Менеджер автозапуска; подробнее: пост). Это необходимо для того, чтобы после следующей перезагрузки slbipsch больше не загрузился, т.к. в этом случае он снова будет под защитой системы. Если пробовать удалить эту запись без включения AVZ Guard - она сразу же восстановится.

Теперь перезагружаем компьютер, не выключая AVZ Guard и не выходя из AVZ. Это важно, т.к. опять же, если AVZ Guard будет выключен до удаления файлов slbipsch, то вредоносный модуль уведомления Winlogon восстановится. А удалить эти файлы без перезагрузки нельзя (т.к. они пока что находятся под защитой системы).

После перезагрузки удаляем файлы (в верхнем меню AVZ: Файл > Отложенное удаление файла):

C:\WINDOWS\system32\slbipsch.dll

C:\WINDOWS\system32\slbipsch.exe

Снова перезагружаем компьютер.

После чего отключаем AVZ Guard (в верхнем меню AVZ: AVZ Guard > Отключить AVZ Guard).

P.S. Если процесс перезагрузки системы при активированном AVZ Guard будет длиться дольше, чем обычно + некоторые приложения и программы будут выдавать сообщения о ошибках - не пугаемся. Т.к. это связано с временным ограничением работы этих программ (т.е. если приложение совершает "неразрешенное" действие из перечисленных выше, оно будет блокировано до тех пор, пока AVZ Guard не будет выключен). Именно поэтому перед этим лечением рекомендуется закрыть всё постороннее.

Кряк Виндовый. Удалять надо по особому. Этим уже давно никто не пользуется.

Очень приятно, что кому-то еще эта тема всё-таки небезразлична

Единственное, мне кажется, что reset5 используется теми, кто до сих так и не установил Service Pack2. И как раз в данном случае этот пакет не установлен (т.е. нужно иметь в виду, что после удаления reset5, Windows через какое-то время может попросить денежку).

[DIMKA-vrn]

slbipsh.exe

а что это за процесс ? :sm(100):

[хэлоумэн]

Во-первых, у файла svcchost.exe обязательно есть "сообщник", выявить которого можно только по логу (обычно mysvcc.exe, recsl.exe и пр.). Поэтому удаление одного файла - положительного результата не даст.

И, во-вторых, очень желательно проверить, установлены ли на вашем компьютере следующие заплатки (если не установлены, то их нужно установить):

Microsoft Security Bulletin MS06-040

Microsoft Security Bulletin MS05-039

Microsoft Security Bulletin MS04-011

Microsoft Security Bulletin MS03-043

http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx' rel="external nofollow">

Спасибо, заплатки поставил, svcchost.exe и mysvcc.exe вроде удалились, но появилось новое - igfrmqie.exe. С ним цп еще больше тормозит, подскажите программу, которая почистила бы от всей этой нечисти!?

А ВОТ КСТАТИ Logfile of HijackThis:

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

D:\WINDOWS\System32\MMTray.exe

D:\WINDOWS\System32\CTsvcCDA.exe

D:\WINDOWS\System32\MMTray2k.exe

D:\Program Files\AGAVA Firewall\fwservice.exe

D:\WINDOWS\System32\MMTrayLSI.exe

D:\WINDOWS\System32\qttask.exe

D:\PROGRA~1\DrWeb\SpiderNT.exe

D:\WINDOWS\System32\MsPMSPSv.exe

D:\Program Files\ICQLite\ICQLite.exe

D:\Program Files\OpenVPN\bin\openvpn-gui.exe

D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

D:\Program Files\DrWeb\spiderml.exe

D:\Program Files\DrWeb\DRWEBSCD.EXE

D:\PROGRA~1\DrWeb\spidernt.exe

D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

D:\Program Files\AGAVA Firewall\fwusrv.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

D:\Program Files\Download Master\dmaster.exe

D:\Program Files\Punto Switcher\ps.exe

D:\Program Files\TGTSoft\StyleXP\StyleXP.exe

D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

D:\Program Files\Common Files\Teleca Shared\Generic.exe

D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

D:\Documents and Settings\007\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9202

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CTSysVol] D:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] D:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe

O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iCQ Lite] "D:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [openvpn-gui] D:\Program Files\OpenVPN\bin\openvpn-gui.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Games\NFS\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [spIDerMail] "D:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "D:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [AGAVA Update Server] "D:\Program Files\AGAVA Firewall\fwusrv.exe"

O4 - HKLM\..\RunServices: [mlibsysmc] igfrmqie.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] D:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [sTYLEXP] D:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm

O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm

O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU)

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU)

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU)

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU)

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: AGAVA Firewall (fwservice) - Unknown owner - D:\Program Files\AGAVA Firewall\fwservice.exe" -trayicon (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Program Files\OpenVPN\bin\openvpnserv.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: StyleXPService - Unknown owner - D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

[хэлоумэн]

А вот еще на всякий случай список объектов автозапуска, полученный в AVZ.

Просканил системный диск в AVZ, но ничего подозрительного не нашлось

avz_autorun.htm

avz_autorun.htm

[Saule]

slbipsh.exe

а что это за процесс ?

DrWeb: Win32.HLLM.Limar.based

Kaspersky: Email-Worm.Win32.Warezov.eq

Bitdefender: Worm.Stration.L

Только суть вопроса немного не понятна, т.к. 3 дня назад я тебе уже подробно писала каким образом он удаляется :(

Saule, посмотри, что за червь точит?

А главное, как пофиксить? :)

Диагноз о наличии червя был сделан по каким-либо внешним признакам?

Если да, то сделай, пожалуйста, с помощью AVZ сканирование + исследование системы (в верхнем меню: Файл > Исследование системы; только пункт "Создать ZIP архив..." - отмечать не нужно), после чего приложи созданный им протокол.

В логе HijackThis смущает лишь следующее.

Строчки O17 именно в таком виде и были?:

O17 - HKLM\System\CCS\Services\Tcpip\..\{08091338-514C-43B0-83F2-22534C496C2B}: NameServer =

O17 - HKLM\System\CS1\Services\Tcpip\..\{08091338-514C-43B0-83F2-22534C496C2B}: NameServer =

[Saule]

появилось новое - igfrmqie.exe. С ним цп еще больше тормозит, подскажите программу, которая почистила бы от всей этой нечисти!?

У вас одна из разновидностей IRCBot (Backdoor Trojan). И в этом случае гораздо эффективнее будет использовать приложение, специально написанное под корректное удаление его конкретных модификаций.

1. Скачиваем SDFix

Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix.

В вашем случае она будет здесь:

D:\

SDFix

2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

3. Открываем папку SDFix и запускаем файл RunThis.bat.

Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4. После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

Если вдруг после этого вам покажется, что проблема в системе всё равно не исчезла, скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis.

[хэлоумэн]

Saule, спасибо за помощь, все сделал. выкладываю логи, прокомментируйте пжлста результаты, что там сделалось?

И в следующий раз значит в таких случаях использовать SPDFix?

report.txt

hijackthis21.txt

report.txt

hijackthis21.txt

[хэлоумэн]

Ё-моё, ничего не вычищается пытался с помощью SPDFix два раза, но бесполезно. Я так подозреваю что единственный выход - форматирование системного диска, да?

новый лог:

hijackthis___.txt

hijackthis___.txt

[Saule]

И в следующий раз значит в таких случаях использовать SPDFix?

В папке SDFix есть файл SDFix_ReadMe.htm, где перечислены все модификации IRCBot/SDBot, которые данная версия SDFix распознаёт и удаляет. То есть это специализированная утилита, которая никак не может заменить полноценный антивирусный сканер (но именно этот вирус она удаляет гораздо качественнее).

пытался с помощью SPDFix два раза, но бесполезно.

Не совсем бесполезно, т.к. после чистки SDFix показал другие компоненты трояна, которые по обычному логу, к сожалению, не видны (единственное, удалить их самостоятельно он не мог, т.к. в нем не заложены конкретно эти названия).

1. Открываем любой текстовый редактор (напр., Notepad/Блокнот) и копируем туда следующее:

REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"sszalmon"=-

Сохраняем этот текстовый файл с расширением .reg (либо сохраняем и затем меняем расширение вручную - с .txt на .reg) и запускаем его. На вопрос Windows "Are you sure you want to add this information... to registry?" - отвечаем "Yes".

2. В логе HijackThis удаляем с помощью кнопки "Fix Checked" следующие строчки:

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

3. Открываем AVZ и в его верхнем меню выбираем:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку:

D:\WINDOWS\system32\igfrmqie.exe

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое поочередно делаем со следующим:

D:\WINDOWS\system32\accplocm.exe

D:\WINDOWS\system32\awllbbma.exe

D:\WINDOWS\system32\svcchost.exe

D:\WINDOWS\system32\mysvcc.exe

4. Перезагружаем компьютер.

В том случае, если за вчерашний день вирусом не было создано новых файлов (это можно посмотреть отсортировав файлы по дате их создания, либо в отчете SDFix, либо с помощью утилиты combofix.exe), все ваши мучения на этот раз должны благополучно закончиться.

P.S. Чтобы отсортировать файлы по их дате создания:

Заходим в необходимую папку (обычно WINDOWS и WINDOWS\system32) и выбераем в верхнем меню проводника:

View > Details (Вид > Таблица)

Затем правой кнопкой мыши кликаем по любому заголовку таблицы и добавдяем (нажимаем на) атрибут

Date Created

:

После чего сортируем файлы по этому атрибуту, нажав в таблице на этот заголовок (т.е. файлы установятся в порядке даты их создания и вычислить те, которые появились недавно будет легко).

Изменено 22 декабря, 2006 пользователем Saule

[Azhar]

Здравствуйте! Спасибо за помощь всем, кто описывает как бороться с нечистью.

Я знала по тому как увеличился исходящий траффик, что у меня засел троян. Я даже знала, в каком файле он сидит. Это был файл irdvxc.exe в папке sistem32. Через диспетчер задач этот процесс не завершался. Файл невозможно было удалить. Hijackthis его тоже не удалял.

Ни одна из 5-6 антивирусных программ мне не помогла!!!! в том числе и те, которые были рекомендованы здесь. ОНи просто не видели этот троян!!!!! Файл я обнаружила совершенно случайно. После недавней борьбы с urdvxc.exe я по привычке мониторила комп на предмет невесть откуда взявшихся файлов и обнаружила новую гадость. В тот день я ничего из инета не скачивала, ничего не сохраняла. Этот файл был единственным созданным 20 декабря.

ПОтом обратила внимание, что Hijackthis предлагает прекратить его работу с помощью services.msc . Или я в пылу борьбы уже путаю с тем, что предлагали сделать с неудаляющимися программами.

Так как я совершенно не понимаю ничего в services.msc , то и преращала работу и переводила в ручной режим как бог на душу ляжет и по принципу нравится мне название процесса или нет Главное, что irdvxc.exe и еще процессы, вызванные удаленным несколько дней назад совершенно случайно urdvxc.exe, я остановила и удалила.

Но так как я обнаружила, что у меня перстал работать интернет и еще что-то я со страху все процессы первела в режим автоматической работы. Наверное, это не есть полезно. Помогите и подскажите, что можно перевести в режим ручного запуска, а что можно отключить совсем?

И еще, я пофиксила:

1)файл directx.exe, который сидел в C:\WINNT\directx.exe - он ведь не нужен? В службах он описан как просто и незатейливо как отвечающий за directx.exe.

2) C:\WINNT\system32\msasvc.exe, который описан как Adobe LT Service;

3) и за компанию C:\WINNT\System32\mnmsrvc.exe , решив что нечего ко мне на рабочий стол лезть.

Успокойте или расстройте меня - я удалила что-то важное или нет?

Выкладываю логфайл

Logfile of HijackThis v1.99.1

Scan saved at 2:02:29, on 23.12.2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINNT\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\WINNT\system32\rundll32.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINNT\system32\ctfmon.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\WINNT\system32\tlntsvr.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\netdde.exe

C:\WINNT\System32\locator.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\system32\cidaemon.exe

C:\WINNT\System32\dmadmin.exe

C:\WINNT\system32\clipsrv.exe

C:\WINNT\System32\msdtc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\ICQ\ICQ.exe

C:\Program Files\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [msvcc25] salvage.exe

O4 - HKLM\..\Run: [mysvcig38] recsl.exe

O4 - HKLM\..\Run: [Managments Service] winstku.exe

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ru-ru\msnappau.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [PrevxOne] "C:\Program Files\Prevx1\PXConsole.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\RunServices: [msvcc25] salvage.exe

O4 - HKLM\..\RunServices: [mysvcig38] recsl.exe

O4 - HKLM\..\RunServices: [Managments Service] winstku.exe

O4 - HKCU\..\Run: [vssl2] C:\WINNT\system32\winsrcv.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Закачать &все при помощи ReGet Jr. - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Jr. - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B2310A70-971B-4EFA-95E0-F06582F1BE9F}: NameServer = 82.200.130.10 212.19.149.53

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Adobe LT Service (ALTS) - Unknown owner - C:\WINNT\system32\msasvc.exe (file missing)

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing)

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: directx.exe - Unknown owner - C:\WINNT\directx.exe (file missing)

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing)

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

[Kolya_Pusy_Lamer]

Спасибо Saule, вирусы с помощью ваших рекомендаций убил...

Но после их убиения отрубился доступ в Инет и LSPFix мне не помог... Я обновил систему до второго сервис пака и связь восстановилась. Насколько я понял, в моём случае, повреждаются некоторые .dll файлы, которые используются для доступа в интернет.

Если моя догадка верна, подскажите как их лучьше всего восстанавливать, а если нет - то расскажите непутёвому,где-же он отрубается...

З.Ы. А что мне сейчас сделать с RESET 5 ?

[хэлоумэн]

Saule, спасибо большое за подробный ответ, с наступающим всех!!!

[Dmlter]

Проблема: winlogon загружает процессор на 100-99%. Процесс логина и загрузки ~20 минут.

В safe тоже самое. Запустить что-либо не воможно. Hijackthis за час не загрузился.

ОС WinXP SP2 без последующих обновлений.

Из антивирей стоит NOD32 с постоянным обновлением.

[Saule]

И еще, я пофиксила:

1)файл directx.exe, который сидел в C:\WINNT\directx.exe - он ведь не нужен? В службах он описан как просто и незатейливо как отвечающий за directx.exe.

2) C:\WINNT\system32\msasvc.exe, который описан как Adobe LT Service;

3) и за компанию C:\WINNT\System32\mnmsrvc.exe , решив что нечего ко мне на рабочий стол лезть.

Успокойте или расстройте меня - я удалила что-то важное или нет?

1. вирус

2. вирус

3. достаточно установить тип запуска этой службы на положение "Отключено":

Start > Run

Вписываем

services.msc

Нажимаем ОК или на клавишу ENTER

В открывшемся приложении находим в списке служб следующую:

NetMeeting Remote Desktop Sharing

Кликаем по ней двойным кликом и в открывшемся окне изменяем её StartUp Type/Тип Запуска на положение Disabled/Отключено. Теперь Apply и ОК.

Выкладываю логфайл

По логу желательно сделать следующее:

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [msvcc25] salvage.exe

O4 - HKLM\..\Run: [mysvcig38] recsl.exe

O4 - HKLM\..\Run: [Managments Service] winstku.exe

O4 - HKLM\..\RunServices: [msvcc25] salvage.exe

O4 - HKLM\..\RunServices: [mysvcig38] recsl.exe

O4 - HKLM\..\RunServices: [Managments Service] winstku.exe

O4 - HKCU\..\Run: [vssl2] C:\WINNT\system32\winsrcv.exe

Затем на кнопку "Fix Checked".

2. Start > Run (Пуск > Выполнить)

Копируем в строку:

sc delete Adobe LT Service

Нажимаем ОК или клавишу ENTER.

Start > Run (Пуск > Выполнить)

Копируем в строку:

sc delete directx.exe

Нажимаем ОК или клавишу ENTER.

3. Не обязательно, но лишним в данном случае не было бы - чистка с помощью SDFix:

1) Скачиваем

SDFix

http://downloads.andymanchesta.com/RemovalTools/SDFix.zip' rel="external nofollow">

Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix.

В вашем случае она будет здесь:

C:\

SDFix

2) Теперь необходимо перезагрузить компьютер в безопасный режим (

Safe Mode

)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

3) Открываем папку

SDFix

и запускаем файл

RunThis.bat

.

Пишем букву

Y

и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4) После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись

Finished

и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием

Report.txt

), где будут описаны все сделанные им действия.

Если вдруг после этого вам покажется, что проблема в системе всё равно не исчезла, скопируйте содержимое этого лога в своё сообщение + сделайте новый лог HijackThis.

Но так как я обнаружила, что у меня перстал работать интернет и еще что-то я со страху все процессы первела в режим автоматической работы. Наверное, это не есть полезно. Помогите и подскажите, что можно перевести в режим ручного запуска, а что можно отключить совсем?

По аналогии с NetMeeting Remote Desktop Sharing вы можете отключить следующее:

• Оповещатель (Alerter)

• Служба сообщений (Messenger)

• Telnet (TlntSvr)

• если не отправляете и не принимаете факсимильные сообщения:

  Служба факсов (Fax)

• если у вас обычный домашний компьютер, а не сеть:

  Обозреватель компьютеров (Browser)

• если у вас нет необходимости открывать доступ к вашим файлам и принтерам:

  Сервер (lanmanserver)

• если не используете Сервер папки обмена (ClipBook):

  Диспетчер сетевого DDE (NetDDEdsdm)

  Служба сетевого DDE (NetDDE)

Это то, что бросается в глаза в первую очередь.

[dima89]

Saule

подхватил червя , аваст его не удаляет,

вот лог

Logfile of HijackThis v1.99.1

Scan saved at 17:01:48, on 26.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\windows\system32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Program Files\OpenOffice.org 2.0.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0.3\program\soffice.BIN

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\Диман \Мои документы\aswclnr.exe

C:\Documents and Settings\Диман \Мои документы\aswclnr.tmp

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\Диман \Мои документы\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [steam] "c:\games\steam\steam.exe" -silent

O4 - Startup: OpenOffice.org 2.0.3.lnk = C:\Program Files\OpenOffice.org 2.0.3\program\quickstart.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{17DAFE1B-9B50-43BF-9FCB-A92C1443C871}: NameServer = 212.188.4.10 195.34.32.116

O20 - AppInit_DLLs: vwipsti_.dll e1.dll

O20 - Winlogon Notify: netstraf - C:\windows\system32\netstraf.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Если моя догадка верна, подскажите как их лучьше всего восстанавливать, а если нет - то расскажите непутёвому,где-же он отрубается...

Чтобы понять, где именно он отрубается, нужно сделать хоть какие-то тесты. Например:

Start/Пуск > Help and Support/Справка и поддержка > раздел "Networking and the Web"/"Работа в сети и Интернет" > Fixing networking or Web problems/Устранение неполадки сети или при работе в Интернете > Diagnose network configuration and run automated networking tests > нажимаем на "Scan your system"

З.Ы. А что мне сейчас сделать с RESET 5 ?

За установку Service Pack 2 - хвалю :D Теперь большинство проблем с вирусами отпадет само собой. Единственное, не могу быть уверенна, что Windows через какое-то время не попросит повторно её активировать.. Но RESET 5 теперь тебе точно не нужен.

добрый день.. :D

будьте добры посмотрите этот лог.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {5B20194F-C69E-833C-4552-02AB3E4088B2} - C:\WINDOWS\System32\oylrovm.dll

O3 - Toolbar: rtnews Toolbar - {9d6b51ce-25c0-461c-893e-ff0ef332745c} - C:\Program Files\rtnews\tbrtn1.dll

O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} -

http://dinet.info/ad/us00/ad.cab

http://dinet.info/ad/us00/ad.cab' rel="external nofollow">

O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt1.bnj

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер. После чего, нужно повторить лог.

[Saule]

подхватил червя , аваст его не удаляет

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.apeha.ru

O20 - AppInit_DLLs: vwipsti_.dll e1.dll

O20 - Winlogon Notify: netstraf - C:\windows\system32\netstraf.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Закрываем все посторонние программы, чтобы ничего не мешало.

3. Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на netstraf и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с netstraf и затем нажимаем на кнопку "X"). Если такой строки там не окажеться - просто переходим к следующему пункту.

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя из AVZ (это важно).

5. После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:

C:\windows\system32\netstraf.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

6. То же самое, поочередно, делаем со следующими файлами:

C:\windows\system32\e1.dll

C:\windows\system32\vwipsti_.dll

7. Снова перезагружаем компьютер.

8. Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

[удачи-тебе]

hijackthis.log

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {5B20194F-C69E-833C-4552-02AB3E4088B2} - C:\WINDOWS\System32\oylrovm.dll

O3 - Toolbar: rtnews Toolbar - {9d6b51ce-25c0-461c-893e-ff0ef332745c} - C:\Program Files\rtnews\tbrtn1.dll

O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} -

http://dinet.info/ad/us00/ad.cab

http://dinet.info/ad/us00/ad.cab' rel="external nofollow">

O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt1.bnj

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер. После чего, нужно повторить лог.

всё так и сделал...вот новый лог hijackthis.log

hijackthis.log

[Saule]

всё так и сделал...вот новый лог hijackthis.log

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {55B201FF-C057-E521-6D17-0489B6CF9930} - C:\WINDOWS\System32\yhqovpf.dll

O4 - HKLM\..\Run: [ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\App.exe" hide

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер. После чего, желательно снова повторить лог, т.к. всё еще не могу понять, что у вас за инфекция.

[Форматцевт]

Saule: Юль так что у меня? Или у меня паранойя?

Изменено 26 декабря, 2006 пользователем Indomito

[Kolya_Pusy_Lamer]

Чтобы понять, где именно он отрубается, нужно сделать хоть какие-то тесты. Например:

Start/Пуск > Help and Support/Справка и поддержка > раздел "Networking and the Web"/"Работа в сети и Интернет" > Fixing networking or Web problems/Устранение неполадки сети или при работе в Интернете > Diagnose network configuration and run automated networking tests > нажимаем на "Scan your system"

Блин, какой я крутой хакер... 3 года работаю в Вин ХР а про такое и не подумал... :D

Saule, такой вопрос: если сделать архив раздела свежеустановленной Windows,а потом из этого архива восстанавливать системные файлы на другом компе (или на этом-же, но после неприятностей), это возможно, или-же я просто систему догроблю? Может, есть вариант попроще? Приношу извинения за ламерство...

Изменено 27 декабря, 2006 пользователем Saule

[Saule]

Saule: Юль так что у меня? Или у меня паранойя?

Программа, которую ты отметил на основании повышенной сетевой активности, занимается переводом "на лету" на различные иностранные языки, при этом база переводчика находится не на компьютере пользователя.. Поэтому ничего странного в её сетевой активности я не вижу.

Наряду с этим, проверка на наличие в ней каких-либо adware, spyware и пр. вредоносных компонентов дала более чем благоприятные результаты - никакой преступной деятельностью эта программа не занимается. Минимальная модификация реестра (удаление: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PostBootReminders\Microsoft.NetDriveReconnectFailed]; изменение для библиотек riched20.dll и riched32.dll в разделе: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]; плюс добавление записи о себе в раздел Uninstall), все настройки, касающиеся техники перевода и серверов, с которыми создаётся соединение, есть в её .ini-файлах.

По поводу Tracking Cookie: вторая часть поста