Помощь в лечении систем от нечисти

[Saule]

Всем привет

Временно нахожусь в России, и тут, как всегда, просто невероятные проблемы с интернетом. Из-за чего хочу предупредить, что, по всей видимости, пару недель буду появляться на форуме гораздо реже.

Я здесь уже видел такую, стартовая с траница постоянно ставится на www.APEHA.ru

В логе ничего не видно, может как-то по-другому можно исправить?

В настоящий момент у вас также установлена стартовая страница www.APEHA.ru (вернее, правильнее будет сказать: на момент создания лога HijackThis)? Или же вы без проблем можете на какое-то время её изменить, но она периодически возвращается и появляется снова?

Дело в том, что эта страница устанавливается в настройки браузера вместе с играми (списка которых - не знаю). Поэтому самый несложный вариант - просто запретить любые изменения вашей стартовой страницы. Например, через редактор групповых политик:

Start > Run

Вписываем

gpedit.msc

Нажимаем ОК или клавишу ENTER

Находим:

Local Computer Policy > User Configuration > Administrative Templates > Windows Components > Internet Explorer

Кликаем по параметру "

Disable changing home page settings

" и изменяем на вкладке настройку с "Not configured" на "Enable".

Сохраняем изменения - Apply и OK.

вот мой новый лог... может всё получилось?

Скажите, вам удалось найти у себя на диске файлы из 6-ого пункта инструкции? Или если точнее:

C:\WINDOWS\System32\

tmp_4t.dll

C:\Documents and Settings\All Users\Документы\Settings\

winsys2f.dll

Только программа платная, триал на 30 дней, а вы сказали "к примеру", т.е. если вы еще знаете похожие программы, напишите пожалуста, можно без ссылок. Поиском я пользовался, но ничего путного не нашел. А пока воспользуюсь Total UnInstall

Я посоветовала System Safety Monitor именно потому что у него есть бесплатная версия (платные программы вообще редко мною здесь упоминаются, т.к. в этой теме это попросту неуместно) :)

Что касается других вариантов, то они действительно есть, но не помню, чтобы System Safety Monitor какой-либо из них в чем-либо уступал + в данный момент назвать что-либо конкретное мне будет достаточно проблематично (см. начало поста).. Точно было еще пару российских проектов, но, к сожалению, не бесплатных.

Вообщем, то, что сейчас пришло в голову:

Cyberhawk

WinPatrol (но как совсем облегченный вариант, т.к. слишком слабые технологии).

И по поводу Total UnInstall, то у него, насколько я помню, совсем другие функции (более-менее качественное удаление установленных при нем программ). Хотя, возможно, что-либо с того времени, когда я его смотрела, и изменилось.

[Saule]

А что это за ipwins вообще?

IpWins - это действительно именно то, что так замучало вас рекламой.

Для удаления, как уже было замечено Сыр'ом, ставим галочки в HijackThis напротив следующих строчек:

O4 - HKLM\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe

O20 - Winlogon Notify: winbjt32 - winbjt32.dll (file missing)

Нажимаем на кнопку "Fix Checked", перезагружаем компьютер, после чего удаляем всю папку:

C:\Program Files\

Ipwindows

Одна беда - нет доступа к настройкам IE. Лечится ли это? Если да, то как? Бэкапов системы нет.

Для начала можно дочистить до конца мусор. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3073C~1\Bar888.dll (file missing)

O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3073C~1\Bar888.dll (file missing)

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe

O4 - HKLM\..\RunServices: [systemTools] C:\WINDOWS\System32\kernels1118.exe

O20 - Winlogon Notify: wincah32 - wincah32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

___________

И о доступе к настройкам IE: где-то в реестре у вас установлено соответствующее ограничение. Причем в большинстве случаев используется следующий ключ:

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

И DWORD параметр:

NoBrowserOptions

(если он равен 1, то доступ к настройкам IE запрещен)

Поэтому, если вы уже умеете пользоваться реестром (Start > Run; вписываем regedit, нажимаем ОК..), можно просто попробовать найти этот параметр и удалить.

Если нет, то также можно скачать AVZ:

Распаковываем, запускаем и нажимаем в его верхнем меню:

Файл > Восстановление системы

Отмечаем галочкой пункт "

Удаление всех Policies (ограничений) текущего пользователя

" и нажимаем на кнопку "Выполнить отмеченные операции".

Если и это вдруг не поможет, то проверьте, не удален ли у вас случайно из системы следующий файл:

C:\WINDOWS\system32\

inetcpl.cpl

[Nika]

Сауле, спасибо большое.

IE заработал уже после чистки мусора.

Однако

следующий ключ:

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

И DWORD параметр:

NoBrowserOptions (если он равен 1, то доступ к настройкам IE запрещен)

в реестре не обнаружились.

Также из лога HijackThis пропала строка

O4 - HKLM\..\RunServices: [systemTools] C:\WINDOWS\System32\kernels1118.exe

Хотя возможно, это явилось результатом работы ewido, avz и spybot-a.

не удален ли у вас случайно из системы следующий файл:

C:\WINDOWS\system32\

inetcpl.cpl

Файл на месте.

Такое ощущение, что принятые меры разбудили все, что мирно дремало в системе, и оно полезло наружу. Ewido и SpyBot отловили еще кучу мелкой дряни и якобы даже почистили. После всего этого начала происходить вещь, которая мне очень не нравится: при подключении к сети из нее сразу же скачивается примерно от 100 до 500 кб неизвестно чего. Никаких приложений при этом не запущено. Netstat ничего не показывает. Дата обновления самого netstat.exe совпадает с датой создания и лежит где-то в 2001 году.

При ручной проверке на свежие файлы не видно ничего, чего по идее быть не должно - насколько я могу судить, но возможно я просто не знаю, куда смотреть.

Как выловить эту прокачку и отследить, что, чем, откуда и куда скачивается?

Вот эта вещь

O4 - HKLM\..\Run: [{B073C838-0977-1049-0726-020228010007}] "C:\Program Files\Common Files\{B073C838-0977-1049-0726-020228010007}\Update.exe" mc-110-12-0000272

сидит в автостарте. Может она иметь отношение к описываемому явлению?

Еще мне интуитивно не нравятся процессы lsass.exe, csrss.exe, smss.exe - особенно первый. Насколько я поняла из информации, которую удалось найти, с ним далеко не все однозначно. Как проверить?

[Nika]

Да, забыла добавить - минут через 10-15 после подключения к сети система начала уходить в перезагрузку.

Вот уж, что называется, "не буди лихо".. 8(

[Сыр]

Вот эта вещь

O4 - HKLM\..\Run: [{B073C838-0977-1049-0726-020228010007}] "C:\Program Files\Common Files\{B073C838-0977-1049-0726-020228010007}\Update.exe" mc-110-12-0000272

сидит в автостарте. Может она иметь отношение к описываемому явлению?

Мне она тоже не нравится. Вы какой антивирус используете?

Советую Вам скачать и проверится вот этим:

http://download.drweb.com/drweb+cureit/?lng=ru

Еще мне интуитивно не нравятся процессы lsass.exe, csrss.exe, smss.exe - особенно первый.

Судя по логу, 1 и 3 процессы у Вас в полном порядке :smoke_1: А 2 из вышеперечисленных я вообще не нашел :sm(100): Может, искал плохо?..

Вот уж, что называется, "не буди лихо".. 8(

А Вы бы предпочли, что бы все это добро продолжало себе тихо дремать на компьютере?..

[Nika]

Мне она тоже не нравится. Вы какой антивирус используете?

Постоянно никакой, для проверки сомнительных файлов Касперский Personal. Буду признательна, если присоветуете для постоянного мониторинга что-нибудь более-менее эффективное, но при этом не столь нескромное в плане ресурсов.

Сегодня по вашему совету скачала др.Веба и проверилась им - кое-что отловил, но странная прокачка при подключении к сети осталась, как и периодические перезагрузки и подвисания. Может быть, все же прибить для профилактики вот это самое, которое вам тоже не понравилось? Что-то я сомневаюсь, что оно жизненно необходимо..

Кстати, когда загружен Касперский - "никто никуда не идет"..

Судя по логу, 1 и 3 процессы у Вас в полном порядке :sm(100): А 2 из вышеперечисленных я вообще не нашел :sm(100): Может, искал плохо?..

В логе его действительно нет. Зато есть в списке процессов, выдаваемом на три пальца. Как это может быть - не спрашивайте. Или не меня. 8)

А Вы бы предпочли, что бы все это добро продолжало себе тихо дремать на компьютере?..

Вы правы, конечно - по большому счету. Но когда работы завал, а железо старое, и переустанавливать винду просто рискованно, то поневоле приходишь к мысли, что уж лучше бы "это добро" тихо дремало себе до планового апгрейда. Так что вопрос где-то местами философский, сродни "быть или не быть", да и к тому же оффтопик. Посему будем воевать дальше - а что делать? :sm(100):

[Сыр]

Кстати, порылся, нашел вот что:

http://www.avira.com/ru/threats/section/fu...tomate.q.1.html

Похоже, это Вас softomate одолел. Осталось найти, как его уничтожить.

Постоянно никакой, для проверки сомнительных файлов Касперский Personal. Буду признательна, если присоветуете для постоянного мониторинга что-нибудь более-менее эффективное, но при этом не столь нескромное в плане ресурсов.

Касперский 6 :) Ну или Dr. Web.

Сегодня по вашему совету скачала др.Веба и проверилась им - кое-что отловил,

А по-конкретнее нельзя? Ну, хотя бы тип вирусов...

"никто никуда не идет"

В смысле, что когда КАV загружен, то вот этого:

при подключении к сети из нее сразу же скачивается примерно от 100 до 500 кб неизвестно чего.

не происходит? Кстати, а чем Вы это отслеживаете? Если уж на то пошло, поставьте брандмауэр и посмотрите, кто и откуда что качает. :)

В логе его действительно нет. Зато есть в списке процессов, выдаваемом на три пальца. Как это может быть - не спрашивайте. Или не меня. 8

:) :) :D Как это? Не понял. Но это видимо уже не ко мне. Будет вместе ждать Saule. :)

А вообще проведите эксперимент - уберите этот update.exe из автозагрузки и посмотрите, будет ли что-нибудь там грузится, будет ли система перезагружаться и т.д.

Изменено 10 января, 2007 пользователем Сыр

[Saule]

Nika

1. Start > Run
   Вписываем: services.msc
   Нажимаем ОК или клавишу ENTER.
   Находим в списке служб следующую:
   
   COM+ Messages

   Кликаем по ней двойным кликом и в открывшемся приложении изменяем StartUp Type на положение Disabled + если возможно, нажимаем на кнопку Stop.
   Сохраняем изменения (Apply и ОК).
   

2. Затем удаляем с помощью HijackThis строку:
   
   O4 - HKLM\..\Run: [{B073C838-0977-1049-0726-020228010007}] "C:\Program Files\Common Files\{B073C838-0977-1049-0726-020228010007}\Update.exe" mc-110-12-0000272

   
   

3. Перезагружаем компьютер.
   
4. После чего удаляем ту службу:
   Start > Run
   
   
   Копируем в строку:
   sc delete COM+ Messages
   
   
   Нажимаем ОК или клавишу ENTER.

   
   

И еще на будущее: после того, как вы что-либо удаляете, но проблемы в системе всё равно остаются, очень желательно прикладывать после этого новый лог (!)

А 2 из вышеперечисленных я вообще не нашел Может, искал плохо?..

Процесс csrss.exe в логе HijackThis не отображается, так как его названию назначен соответствующий дескриптор безопасности и система просто не позволяет открывать его "кому попало" (для отображения нужно иметь специальную привилегию). Т.е. это нормально :D

[Nika]

[*]Start > Run

Вписываем: services.msc

Нажимаем ОК или клавишу ENTER.

Находим в списке служб следующую:

COM+ Messages

Кликаем по ней двойным кликом и в открывшемся приложении изменяем StartUp Type на положение Disabled + если возможно, нажимаем на кнопку Stop.

Сохраняем изменения (Apply и ОК).

Оказалась, что служба УЖЕ выключена. При попытке включить появилось сообщение о невозможности включения из-за отсутствия файла svchost.exe (или svchosts?).

Дальше сделала п. 2-3-4. Но ничего не изменилось, т.е. проблема осталась. Виснет вроде пореже, но по-прежнему качает свои полмегабайта, когда выключен KAV.

Вот свежий лог:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\mgabg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\OpenVPN\bin\openvpn-gui.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\WINDOWS\System32\tbctray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\RM\rm.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\TechniSat DVB\bin\Server4PC.exe

D:\antivir\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\System32\tbctray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gorlach, REM-SN, 1] "C:\Program Files\RM\rm.exe" my text here

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe

O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29B3E20F-EBE0-4CBD-8106-86B1D0697791}: NameServer = 213.138.113.2,213.138.110.132

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000272 (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Кстати, порылся, нашел вот что:

http://www.avira.com/ru/threats/section/fu...tomate.q.1.html

Похоже, это Вас softomate одолел. Осталось найти, как его уничтожить.

Оно и есть, судя по всему. Нашла его работу в ProgramFiles\CommonFiles...

Но только ли оно?

Еще одна нелогичность: папка ProgramFiles\Windows NT, в ней:

\Accessories\wordpad.exe

\Pinball\полный комплект стандартного пинболла

dialer.exe

htrn_jis.dll

hypertrm.exe

Даты создания у всего этого старые, но имеются странности типа создан в 2004, изменен в 2001.

Если я все правильно понимаю, то и вордпад и пинболл должны быть где-то в \windows, но там их нет, а ярлыки с десктопа ведут в ProgramFiles\Windows NT.

А по-конкретнее нельзя? Ну, хотя бы тип вирусов...

Кто ж знал, что надо записывать.. Из 6 найденных бяк, насколько я помню - 4 трояна и 2 чего-то другого.

В смысле, что когда КАV загружен, то вот этого:

не происходит? Кстати, а чем Вы это отслеживаете?

Индикатором состояния подключения в его развернутом виде.

Если уж на то пошло, поставьте брандмауэр и посмотрите, кто и откуда что качает. :sm(100):

К моему стыду, я не знаю, как это делается. Но сейчас попробую найти какую-нибудь инструкцию.

[VanGog]

И по поводу Total UnInstall, то у него, насколько я помню, совсем другие функции (более-менее качественное удаление установленных при нем программ). Хотя, возможно, что-либо с того времени, когда я его смотрела, и изменилось.

Это я к тому чтоб после истечения 30 дней безболезненно удалить System Safety Monitor со всеми ее скрытыми ключами, которые она насоздавала для проверки срока давности, и заново поставить опять на 30 дней.

П.С. Программа выше всяких похвал, редко такие встречаются. Спасибки.

К моему стыду, я не знаю, как это делается. Но сейчас попробую найти какую-нибудь инструкцию.

Самое хорошее сочетание простоты, наглядности и эффективности ИМХО у Agnitum Outposta Firewall. Даже настраивать практически ничего не надо, к тому же он русский.

Еще одна нелогичность: папка ProgramFiles\Windows NT, в ней:

\Accessories\wordpad.exe

\Pinball\полный комплект стандартного пинболла

dialer.exe

htrn_jis.dll

hypertrm.exe

Тут все нелогично, но так и должно быть. Это стандартная папка.

[Vasj]

Здравствуйте, появилась такая штука, нехорошая :Comand service

лежит тут : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

ничем немогу удалить, пробывал поразному(безопасный режим, разблокировочную прогу,разные програмы), а воз и ныне там. Помогите.

Logfile of HijackThis v1.99.1

Scan saved at 2:14:10, on 2007.01.11.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\VM303_STI.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\LightSurf\Common\IconMgr.exe

C:\Program Files\LightSurf\Colorific\hgcctl95.exe

C:\Program Files\LightSurf\Color Indicator\TICIcon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\Rar$EX00.641\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.one.lv/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=011707 serial=DR12WEX-1504397-KTY lang=EN

O4 - HKLM\..\Run: [ActualSpy] C:\Program Files\Actual Spy\ActualSpy.exe hs

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Lasaaannc - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Kannsieza lasagansia lasaaiaa - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

[Long]

Добрый день!

Очень нуждаюсь в Вашей помощи.

Уже в Н-ный раз сталкиваюсь с такой проблемой - Нод32 находит

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\L0WRD941\loader[1].cab »CAB »loader.exe - Win32/TrojanDownloader.Small.ON троян

Как избавиться от этой заразы - ума не приложу. Кроме Нода АВП больше никаких нет.

Лог прилагаю

Logfile of HijackThis v1.99.1

Scan saved at 11:19:25, on 12.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\E_S00RP1.EXE

C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\ABBYY Lingvo\LvAgent.exe

C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\Eset\nod32krn.exe

C:\ODI\OSTORE\BIN\OSCMGR4.EXE

C:\ODI\OSTORE\BIN\OSSERVER.EXE

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\r_server.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Rar$EX00.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Program Files\DIALux\DLXShellExtension.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: e-Backup 1.4 Scheduler.lnk = ?

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe

O4 - Global Startup: ABBYY Lingvo 6.0 Launcher.lnk = C:\Program Files\ABBYY Lingvo\LvAgent.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Заполнить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Настроить Меню - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Сохранить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Заполнить - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Заполнить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Сохранить - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Сохранить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Тулбар RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CADD00BD-D5E5-40E6-88B9-0E077857E81F}: NameServer = 212.109.32.5,212.109.32.9

O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Program Files\DIALux\DLXToolBox.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O20 - Winlogon Notify: WLogon - C:\WINDOWS\SYSTEM32\srvc.dll

O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP1.EXE

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: ICONICS License Server (GenRegistrar) (GenRegistrar) - ICONICS, Inc. - C:\Program Files\Common Files\ICONICS\GenRegistrarServer.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: Echelon LNS xDriver Broker (LdvxBroker) - Echelon Corporation - C:\LonWorks\bin\LdvxBroker.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: ObjectStore Cache Manager R4.0 - Object Design, Inc. - C:\ODI\OSTORE\BIN\OSCMGR4.EXE

O23 - Service: ObjectStore Server R4.0 - Object Design, Inc. - C:\ODI\OSTORE\BIN\OSSERVER.EXE

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Помогите пожалуйста, буду весьма признателен

[LOOKING-22]

Добрый :(

Сегодня я запустил Средство удаления вредоносных программ Microsoft Windows-ноябрь 2006 которая нашла у меня Trojan - Backdoor !!

Программа естественно удалила троянец ,

Но мне этого не достаточно Помогите !!!! Я сам предпринимаю меры и прошу Вашей помощи

[Saule]

Здравствуйте, появилась такая штука, нехорошая :Comand service

лежит тут : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

ничем немогу удалить, пробывал поразному(безопасный режим, разблокировочную прогу,разные програмы), а воз и ныне там. Помогите.

1. Скачиваем ren-cmdservice и распаковываем архив на рабочем столе.

Важное примечание: распаковать папку действительно нужно именно на рабочем столе (либо затем просто её туда перенести), т.к. корректное удаление

Comand service

возможно только когда ren-cmdservice запущен отсюда:

Desktop\ren-cmdservice

.

Открываем папку программы и запускаем файл ren-cmdservice.bat.

Нажимаем на любую клавишу клавиатуры и ждем, пока перед вами автоматически откроется текстовый файл с отчетом (файл tmp.txt в папке ren-cmdservice).

2. Удаляем временные файлы системы:

Либо с помощью

ATF-Cleaner

http://www.atribune.org/ccount/click.php?id=1' rel="external nofollow">

:

Скачиваем, запускаем (инсталляция не требуется), для полной чистки отмечаем галочкой "Select All" и нажимаем на кнопку "Empty Selected".

Либо в ручную:

1. Идем: C:\Windows\
   Temp
   Удаляем всё содержимое этой папки.

2. Дальше: Start > Run
   Висываем
   %temp%
   Нажимаем ОК или клавишу ENTER.
   Удаляем всё содержимое папки, которая откроется автоматически.

3. Control Panel > Internet Options
   Нажимаем на кнопку
   Delete Files
   .

3. Теперь перезагрузите компьютер и после этого удостоверьтесь, что Comand service действительно удален.

В случае каких-либо вопросов, скопируйте содержимое отчета ren-cmdservice в своё сообщение.

И еще один важный момент касательно случаев, когда Comand service никак не получается удалить.

Вполне возможно, что этот Adware-модуль каждый раз устанавливается "по новой" одной из программ, установленных на вашем компьютере (установленных по Adware-лицензии, т.е. условно бесплатных).

Если будет желание это проверить, то сново запустите HijackThis, нажмите на "Open the Misc Tools selection", затем на "Open Uninstall Manager" и затем на кнопку "Save list...".

После чего будет создан файл uninstall_list.txt - это список программ, установленных на вашем компьютере.

Скопируйте его в своё сообщение.

[LOOKING-22]

Добрый

Сегодня я запустил Средство удаления вредоносных программ Microsoft Windows-ноябрь 2006 которая нашла у меня Trojan - Backdoor !! :(

Программа естественно удалила троянец ,

Но мне этого не достаточно Помогите !!!! Я сам предпринимаю меры и прошу Вашей помощи

Этого окозалось достаточно :(

[Saule]

Уже в Н-ный раз сталкиваюсь с такой проблемой - Нод32 находит

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\L0WRD941\loader[1].cab »CAB »loader.exe - Win32/TrojanDownloader.Small.ON троян

Как избавиться от этой заразы - ума не приложу. Кроме Нода АВП больше никаких нет.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

O20 - Winlogon Notify: WLogon - C:\WINDOWS\SYSTEM32\srvc.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер.

3. Удаляем файлы, если такие еще будут присутствовать:

C:\WINDOWS\SYSTEM32\

srvc.dll

C:\WINDOWS\System32\

ntos.exe

4. Избавляемся от временных файлов системы с помощью ATF-Cleaner: cкачиваем, запускаем, отмечаем галочкой "Select All" (если для полной отчистки) и нажимаем на кнопку "Empty Selected".

P.S. И на всякий случай проверьте, установлена ли на вашем компьютере следующая заплатка (если нет, то желательно установить):

KB911562

[bamby]

Добрый день!

Мучительно воюю с svcchost (он же icrss.exe).

SDFix написал что удалил icrss, но откуда-то же он появляется?! (перед этим удаляла его ручками, снова возник)

логи прилагаю.

кого там ещё замочить, и как? :)

Report.txt

hijackthis.log

Report.txt

hijackthis.log

[ser208]

Добрый день!

Мучительно воюю с svcchost (он же icrss.exe).

SDFix написал что удалил icrss, но откуда-то же он появляется?! (перед этим удаляла его ручками, снова возник)

логи прилагаю.

кого там ещё замочить, и как? :)

Где сейчас svcchost? Что то его не видно. Так же, как и icrss.

А вообще SP2 желательно поставить.

Пофиксить O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

Его нет, но и запись ни к чему.

Отключи службу Telnet.

Изменено 12 января, 2007 пользователем ser208

[ser208]

Long

Добрый день!

Очень нуждаюсь в Вашей помощи.

Ты сам ставил Radmin?

Если не сам, то

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

C:\WINDOWS\System32\r_server.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

Затем на кнопку "Fix Checked"

Next reboot.

Изменено 12 января, 2007 пользователем ser208

[bamby]

Где сейчас svcchost? Что то его не видно. Так же, как и icrss.

ну правильно, не буду же я смотреть на них :sm(100): убила!!

просто я до этого убивала svcchost много раз, потом он через некоторое время опять откуда-то появлялся.

icrss я тоже удаляла оттуда.

поэтому сейчас сижу и жду - выползут снова или нет, пофиксено или нет.. хз.

r_server.exe это Radmin?

мне его друг ставил... потом наверное файл был удалён в поисках вирусов.

телнет прикрою, ага :)

и всё же, смотрю в журнал outpost и не перестаю нервничать:

какой-то процесс назвав себя SYSTEM сидит в инете по протоколу gre. Что это?

кто-то ещё периодически куда-то лезет.. иногда по icmp..

в районе 20 открытых портов..

неужели всё так и должно быть?

[ser208]

ну правильно, не буду же я смотреть на них :sm(100): убила!!

просто я до этого убивала svcchost много раз, потом он через некоторое время опять откуда-то появлялся.

icrss я тоже удаляла оттуда.

поэтому сейчас сижу и жду - выползут снова или нет, пофиксено или нет.. хз.

r_server.exe это Radmin?

мне его друг ставил... потом наверное файл был удалён в поисках вирусов.

телнет прикрою, ага :)

и всё же, смотрю в журнал outpost и не перестаю нервничать:

какой-то процесс назвав себя SYSTEM сидит в инете по протоколу gre. Что это?

кто-то ещё периодически куда-то лезет.. иногда по icmp..

в районе 20 открытых портов..

неужели всё так и должно быть?

"Молодец" у тебя друг :sm(100)::sm(100):. А что, подружку мониторить пригодится :sm(100):

System будет, все правильно. Другое дело можешь в правилах попробовать запретить ему входящие-исходящие.

Если инет упадет, то отменишь (у меня вот запрещен. см. рис.).

Я бы тебе посоветовал другим антивирусом систему прогнать.

Касперским+АVZ, или DWeb +AVZ.

Изменено 12 января, 2007 пользователем ser208

[Giacint]

Saule:

Почитал ветку и поразился, с каким терпением ты разбираешь каждый случай ;) Спасибо тебе, нечасто встречается такое в Сети ;)

Вот и мой случай. Винда недавно поставлена, толком не настроена. Брандмауэр отключен, все возможные обновления отключены, никаких бесконтрольных процессов (вроде бы) не должно быть, однако КИС от Касперского периодически отлавливает странные исходящие UDP-соединения на странные айпишники (чаще всего на 10.64.165.75 по порту 1900). Опять же, напрягает количество процессов svchost.exe - до семи штук доходит. Оно надо?

А последние пару дней Мониторинг сети от Анти-Хакера Касперского показывает, что висит два соединения avp.exe - одно входящее, другое исходящее. Суточный траф небольшой, но напрягает, ибо не понимаю - зачем? Раньше ведь не было..

Спрашивал на ру-борде - помочь не смогли.

Вот мой лог:

Logfile of HijackThis v1.99.1Scan saved at 1:08:38, on 13.01.2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\ATKKBService.exeC:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Chameleon Clock\ChamClock.exeC:\Program Files\!~Internet\MuxaSoft Dialer\mdialer32.exeC:\Program Files\procexp.exeD:\@GIACINT\T-Mail\T-Mailnt.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\Far\Far.exeC:\Program Files\!~Internet\Torrent\uTorrent v1.6.exeC:\WINDOWS\system32\ntvdm.exeC:\Program Files\!~Internet\Miranda\miranda32.exeD:\Program Files\TheBat!\thebat.exeD:\@GIACINT\T-Mail\T-Mailnt.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\!~INTE~1\FlashGet\jccatch.dllO2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\!~Internet\RoboForm\RoboForm.dllO2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\!~INTE~1\DOWNLO~1\dmiehlp.dllO2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\!~INTE~1\FlashGet\getflash.dllO3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\!~Internet\RoboForm\RoboForm.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\!~INTE~1\FlashGet\fgiebar.dllO3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\!~Internet\Download Master\dmbar.dllO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -DelayO4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exeO4 - HKCU\..\Run: [MuxaSoft Dialer 4] C:\Program Files\!~Internet\MuxaSoft Dialer\mdialer32.exeO4 - Startup: procexp.lnk = C:\Program Files\procexp.exeO4 - Startup: T-Mail [1].lnk = D:\@GIACINT\T-Mail\T-Mailnt.EXEO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: &SaveChm - C:\Program Files\!~Internet\SaveChm\SaveChm.vbsO8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Get File Size - res://C:\Program Files\!~Internet\Get File Size\GetFileSize.exe/130O8 - Extra context menu item: Save Flash - res://C:\Program Files\!~Internet\Flash Saving Plugin\FlashSButton.dll/210O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htmO8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\!~Internet\Download Master\dmieall.htmO8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\!~Internet\FlashGet\jc_all.htmO8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\!~Internet\Download Master\dmie.htmO8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\!~Internet\FlashGet\jc_link.htmO8 - Extra context menu item: Заполнить формы - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComFillForms.htmlO8 - Extra context menu item: Настроить Меню - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComCustomizeIEMenu.htmlO8 - Extra context menu item: Сохранить формы - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComSavePass.htmlO8 - Extra context menu item: Тулбар RoboForm - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComShowToolbar.htmlO9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dllO9 - Extra button: Заполнить - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComFillForms.html (file missing)O9 - Extra 'Tools' menuitem: Заполнить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComFillForms.html (file missing)O9 - Extra button: Сохранить - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComSavePass.html (file missing)O9 - Extra 'Tools' menuitem: Сохранить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComSavePass.html (file missing)O9 - Extra button: SaveChm - {34F8C0D0-06F7-4f71-9E8E-190337851167} - C:\Program Files\!~Internet\SaveChm\SaveChm.vbsO9 - Extra 'Tools' menuitem: SaveChm - {34F8C0D0-06F7-4f71-9E8E-190337851167} - C:\Program Files\!~Internet\SaveChm\SaveChm.vbsO9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComShowToolbar.html (file missing)O9 - Extra 'Tools' menuitem: Тулбар RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\%21%7EInternet\RoboForm\RoboFormComShowToolbar.html (file missing)O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\!~Internet\Download Master\dmaster.exeO9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\!~Internet\Download Master\dmaster.exeO9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\!~INTE~1\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\!~INTE~1\FlashGet\flashget.exeO9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\!~Internet\Flash Saving Plugin\FlashSButton.dll (HKCU)O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dllO16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://my.foto.mail.ru/ImageUploader3.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EEC13220-300B-491C-ABEA-B2AE619D0C49}: NameServer = 81.30.199.5 81.30.199.94O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dllO20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exeO23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exeO23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[bamby]

;)

Друг по моей же просьбе в принципе ставил.. только там какие-то глюки с доступом были, короче, всё равно ничего он не поадминит по своей повременке :sm(100):))

А другим я пробовала - mcafee, так блин.. у меня outpost повис при проверке почты - ему видите ли надо в инет когда я почту проверяю, потом вообще всё повисло. Потом этот svcchost выполз, mcafee проверяет процессы, в упор его не видит.. к чертям такой антивирус! (хотя хвалили, и знакомые, и в инете).

у меня spyware doctor сейчас, вроде работает, но смутно. уже выползший вирь видит, кричит "сейчас мы его убьём!!" а потом снова всё выползало.

system в outpost не нашла как отключать. там вообще непонятно откуда у него ноги растут.. где exeшник.

тьфу-тьфу, пока тихо. спасибо этому форуму ;)

[Vasj]

Saule:

Огромное Вам спасибо, ваша помощь спасла мои нервы и жизнь моего компьютера. ;)

Ещё раз большое спасибо.

[ser208]

Saule:

Почитал ветку и поразился, с каким терпением ты разбираешь каждый случай ;) Спасибо тебе, нечасто встречается такое в Сети :sm(100):

Вот и мой случай. Винда недавно поставлена, толком не настроена. Брандмауэр отключен, все возможные обновления отключены, никаких бесконтрольных процессов (вроде бы) не должно быть, однако КИС от Касперского периодически отлавливает странные исходящие UDP-соединения на странные айпишники (чаще всего на 10.64.165.75 по порту 1900). Опять же, напрягает количество процессов svchost.exe - до семи штук доходит. Оно надо?

А последние пару дней Мониторинг сети от Анти-Хакера Касперского показывает, что висит два соединения avp.exe - одно входящее, другое исходящее. Суточный траф небольшой, но напрягает, ибо не понимаю - зачем? Раньше ведь не было..

Спрашивал на ру-борде - помочь не смогли.

[/code]

Извини, что влез. Ты ведь к Saule обращался. ;)

Что за IP-адреса, можешь посмотреть командой whois.

Количество процессов svchost.exe приемлимое, если они все из папки system32 (так оно и есть).

AVP-это процесс Касперского. Он обновляется. А еще если включен Веб-мониторинг, то трафик проходит через монитор Касперского, но показывается, как будто это его трафик.