Помощь в лечении систем от нечисти

**Trap** · 22 января, 2007

Здравствуйте. Уважаемая Saule, у меня к вам вопрос. Скачал по ссылке данного топика программу "SDFix". При проверке NOD32 выдает следующее "Файл D:\DISTR\SDFix\SDFix.zip инфицирован приложение Win32/PrcView. Файл может быть удален. Рекомендуется сделать копии любых критических данных перед продолжением." Что это ложное срабатывание или действительно вирус есть в данной программе?

Здравствуйте. Уважаемая Saule, у меня к вам вопрос. При сканировании NOD32 выдает следующее: "Файл D:\RECYCLER\S-1-5-21-1177238915-746137067-839522115-500\Dc77.exe инфицирован троян Win32/TrojanClicker.Small.JF. Файл может быть удален. Рекомендуется сделать копии любых критических данных перед продолжением". При этом из всех действий предлагает только пропуск, лечить и удалить нельзя. Сканировал при помощи AVZ и Dr. Web-cureit, они ничего не видят. Не подскажете, что делать?

Здравствуйте. Уважаемая Saule, у меня к вам вопрос. Скачал по ссылке данного топика программу "SDFix". При проверке NOD32 выдает следующее "Файл D:\DISTR\SDFix\SDFix.zip инфицирован приложение Win32/PrcView. Файл может быть удален. Рекомендуется сделать копии любых критических данных перед продолжением." Что это ложное срабатывание или действительно вирус есть в данной программе?

Извините за безобразие в предыдущем сообщение. Хотел написать немного иначе.java script:emoticon('', 'smid_8')

**Saule** · 22 января, 2007

Конечно напугали вы меня здорово, что у меня там сидит что-то похлеще Vundo!

Не волнуйтесь, теперь осталось совсем немного :(

1. VundoFix оставил после себя два файла:

C:\WINDOWS\system32\

ddccc.dll

C:\WINDOWS\system32\

vtutu.dll

Попробуйте просто удалить их вручную (снова включив опцию видеть скрытые файлы). Если вдруг не получится, то сообщите об этом, пожалуйста.

2. И раз AVZ мы использовать здесь не можем, то попробуйте скачать приложение DriverView. Либо здесь присоединила его же, только на русском:

driverview.rar

Запускаем и нажимаем в верхнем меню:

Вид > HTML-отчет - Всё (View > HTML Report - All Items)

После чего перед вами откроеться файл с отчётом, который также будет сохранен в папке этой программы с названием report.html.

Если вы можете прикрепить этот отчет к своему сообщению, то прикрепите его.

Если же вдруг вы не можете этого сделать (т.е. вы можете копировать сюда только текст), то тогда следующим образом:

В верхнем меню DriverView нажимаем:

Правка > Выделить всё (Edit > Select All)

И затем на:

Файл > Сохранить выделенное (File > Save Selected Items)

И сохраняем всё в текстовый файл.

После чего копируем это в своё сообщение (или через ПМ, как с логом HijackThis).

3. И последнее. Посмотрите, сколько места на диске занимает у вас данный файл (просто кликните по нему правой кнопкой мыши, зайдите в 'Properties'/'Свойства' и напротив 'Size' и 'Size on disk' будет этот размер):

C:\

ej6jawja.sys

Во временном фолдере все же не удаляется один файл
C:\DOCUME~1\Elina1\LOCALS~1\Temp~DF267B.tmp

Это решается?

Этот файл, по всей видимости, просто нужен вашей системе. И то, что он не удаляется - это нормально (если вы пробуйте удалять его с помощью специальной программы, то на самом деле после перезагрузки компьютера он удаляется, но система затем создаёт себе новый, так как таким образом она поддерживает некоторые действия, которые вы совершаете во время своей же работы).

driverview.rar

**Saule** · 22 января, 2007

Скачал по ссылке данного топика программу "SDFix". При проверке NOD32 выдает следующее "Файл D:\DISTR\SDFix\SDFix.zip инфицирован приложение Win32/PrcView..." Что это ложное срабатывание или действительно вирус есть в данной программе?

Это не ложное срабатывание. NOD32 правильно всё говорит. Только с чего вы взяли, что речь там идет о вирусе? Там ведь написано русскими буквами: "приложение" :( (обратите внимание на следующий свой же вопрос, в том случае NOD вам уже говорит о "трояне".. поэтому если бы в SDFix был бы вирус, то, наверное, вместо слова "приложение", он бы так и сказал).

И если кратко, то

Win32/PrcView

- это потенциально опасное приложение, которое имеет возможность видеть детализированную информацию о любом процессе системы (а следовательно, завершать любой из этих процессов или, наоборот, запускать снова). Потенциально опасное из-за того, что такие возможности, разумеется, могут быть использованы в первую очередь во вредоносных целях. Но как вы понимаете, я надеюсь, это совсем не тот случай.

При сканировании NOD32 выдает следующее: "Файл D:\RECYCLER\S-1-5-21-1177238915-746137067-839522115-500\Dc77.exe инфицирован троян Win32/TrojanClicker.Small.JF...

Вы не пробовали отчистить мусорную корзину и после этого перегрузиться?

Если это не помогает, то сделайте сканирование Ewido (оно удалит).

**Tamara** · 22 января, 2007

Не волнуйтесь, теперь осталось совсем немного :(
1. VundoFix оставил после себя два файла:

C:\WINDOWS\system32\

ddccc.dll

C:\WINDOWS\system32\

vtutu.dll

УБРАЛА

3. И последнее. Посмотрите, сколько места на диске занимает у вас данный файл (просто кликните по нему правой кнопкой мыши, зайдите в 'Properties'/'Свойства' и напротив 'Size' и 'Size on disk' будет этот размер):
C:\

ej6jawja.sys

Занимает 4,00Кв (4 096d) (created: 29.08.2002; modified - 24.10.2006)

2. DriverView

Имя драйвера :

Адрес : 0xF982A000

Тип файла : Неизвестно

Описание :

Версия :

Создатель :

Имя продукта :

Дата изменения : N/A

Дата создания : N/A

Имя файла : C:\WINDOWS\system32\drivers\

==================================================

Изменено 23 января, 2007 пользователем Saule

**Saule** · 22 января, 2007

Занимает 4,00Кв (4 096d) (created: 29.08.2002; modified - 24.10.2006)

Отлично. Удаляйте его и тогда, скорей всего, это всё.

Как в целом сейчас чувствует себя ваш компьютер?

**Tamara** · 23 января, 2007

Отлично. Удаляйте его и тогда, скорей всего, это всё.

Как в целом сейчас чувствует себя ваш компьютер? :)

Все!!! ??? Ура-а-а-а-а! :)

Я уже расчитывала еще на такое же письмо из 5-ти пунктов!

Па--а-а си-и--ба!

А на личку не ответили ;)

Компу намного легче! :) Это очень заметно! По загрузке и всему остальному!

Но с Виндой я все же что-то натворила! Что то стерла! :( Наверно придется переустанавливать

может есть программка проверяющая целостность компонентов!

Все!!! ??? Ура-а-а-а-а! :)

Я уже расчитывала еще на такое же письмо из 5-ти пунктов!

Па--а-а си-и--ба!

А на личку не ответили ;)

Компу намного легче! :) Это очень заметно! По загрузке и всему остальному!

Но с Виндой я все же что-то натворила! Что то стерла! :( Наверно придется переустанавливать

может есть программка проверяющая целостность компонентов!

Да! и там в предыдущем посте может удалить всю инфу по драйверу! А то такой хвост висит! ;)

..

**VanGog** · 23 января, 2007

может есть программка проверяющая целостность компонентов!

Выполните команду Пуск-выполнить: sfc /scannow - проверка всех системных файлов Windows и восстановление в случае несоответсвия, может понадобится установочный диск(хотя врядли).

**Trap** · 23 января, 2007

Уважаемая Saule, большое спасибо за помощь и извините, что отвлек ваше внимание на свои небольшие проблемы.

**tmn** · 23 января, 2007

привет! немоглибы вы и мне помочь, вот мой лог

Logfile of HijackThis v1.99.1

Scan saved at 22:38:03, on 23.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\$ISR\0\ISRService.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\Администратор\Мои документы\Полученные файлы\HijackThis.exe

C:\WINDOWS\system32\dumprep.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\

O4 - HKLM\..\Run: [iSR_MONITOR] C:\$ISR\$APP\ISRMonitor.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{0CA5B4C2-5C8F-4EE6-9B00-2EF8ECE27E6C}: NameServer = 88.147.129.15 88.147.128.17

O17 - HKLM\System\CCS\Services\Tcpip\..\{1F042273-0940-40D8-A6CF-D6B8C7C2F407}: NameServer = 10.1.1.1,217.23.64.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{0CA5B4C2-5C8F-4EE6-9B00-2EF8ECE27E6C}: NameServer = 88.147.129.15 88.147.128.17

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: FirstDefense-ISR Service (ISRService) - Raxco Software, Inc. - C:\$ISR\0\ISRService.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Alex81-09** · 23 января, 2007

Как можно вылечит Neshta и где взять

**Saule** · 24 января, 2007

привет! немоглибы вы и мне помочь, вот мой лог

Привет. А в чем конкретнее заключается ваша проблема? Так как по логу HijackThis ничего странного не заметно.

**Jein** · 24 января, 2007

Был установлен антивирус Симантек, он нашёл зараженные файлы и написал, что изолировал их. Файлы поражены вирусом Trojan Horse. После этого появились проблемы. При попытке открытия диска, выдаётся ошибка, что Windows не может найти и запустить файл copy.exe

Надеюсь на вашу помощь, вот мой лог:

Logfile of HijackThis v1.99.1

Scan saved at 18:23:28, on 24.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Saitek\Software\ProfilerU.exe

C:\Program Files\Saitek\Software\SaiMfd.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\TEMP\Rar$EX00.692\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU2970.dll

O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED42987-A227-4B31-A56C-9782B24AFE0B}: NameServer = 195.54.192.33,195.54.192.39

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Монитор описаний Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**VanGog** · 24 января, 2007

При попытке открытия диска, выдаётся ошибка, что Windows не может найти и запустить файл copy.exe

Возможно у вас в корне диска есть файл autorun.inf, который и пытается при открытии диска найти copy.exe, который был вирусом и удален Simantek. Так что удалите его и будет вам счастье!

ПС. Файл скрытый так что включите отображение скрытых файлов

**tmn** · 25 января, 2007

Привет. А в чем конкретнее заключается ваша проблема? Так как по логу HijackThis ничего странного не заметно.

проблема в том что сидит троян medbot и меняет ярлыки дисков, и у бивает вордовские документы

**VanGog** · 25 января, 2007

Пройдись какой нибудь антитроянской программой, AVZ например. Подробнее в теме Важно знать!

**Saule** · 26 января, 2007

При попытке открытия диска, выдаётся ошибка, что Windows не может найти и запустить файл copy.exe

Способ исправления (если что-то будет вдруг не до конца понятно, то спрашивайте):

http://www.softboard.ru/index.php?s=&s...st&p=324764

И в логе HijackThis пофиксите следующие строчки (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужное и затем нажать на кнопку "Fix Checked"):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

проблема в том что сидит троян medbot и меняет ярлыки дисков, и у бивает вордовские документы

В этом случае желательно сделать следующее:

Нажимаем:
Start > Run (Пуск > Выполнить)

Вписываем: cmd

Нажимаем ОК или клавишу ENTER.

В появившемся приложении вводим команду: tasklist /svc > c:\slog.txt

И нажимаем на клавишу ENTER.

После этого на диске C:\ будет создан файл slog.txt, в который cmd выведет информацию по запущенным у вас процессам. Найдите его, откройте и скопируйте содержимое в своё сообщение (приложение cmd просто закройте).
Скачиваем AVZ.
Распаковывает, запускаем, делаем сканирование системы, после чего нажимаем в верхнем меню программы:

Файл > Исследование системы

Только опцию "Создать .ZIP архив с протоколом исследования системы" - отмечать там не нужно (обращаю на это ваше внимание из-за того, что многие очень часто всё-таки ставят там галку, не смотря на то, что по умолчанию эта опция не отмечена).

Затем также скопируйте его содержимое или присоедините протокол к сообщению.

**tmn** · 26 января, 2007

В этом случае желательно сделать следующее:

привет!

€¬п ®Ўа § PID ‘«г¦Ўл

========================= ====== =============================================

System Idle Process 0 Ќ/„

System 4 Ќ/„

smss.exe 548 Ќ/„

csrss.exe 596 Ќ/„

winlogon.exe 620 Ќ/„

services.exe 668 Eventlog, PlugPlay

lsass.exe 680 PolicyAgent, ProtectedStorage, SamSs

svchost.exe 852 DcomLaunch, TermService

svchost.exe 928 RpcSs

svchost.exe 972 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,

ERSvc, EventSystem,

FastUserSwitchingCompatibility, helpsvc,

Irmon, lanmanserver, lanmanworkstation,

Netman, Nla, RasMan, Schedule, seclogon,

SENS, SharedAccess, ShellHWDetection,

TapiSrv, Themes, TrkWks, W32Time, winmgmt,

wscsvc, wuauserv, WZCSVC

svchost.exe 1036 Dnscache

svchost.exe 1076 LmHosts, RemoteRegistry, SSDPSRV, WebClient

spoolsv.exe 1404 Spooler

explorer.exe 1440 Ќ/„

scardsvr.exe 1472 SCardSvr

svchost.exe 1644 BthServ

SAgent2.exe 1692 EPSONStatusAgent2

ISRService.exe 1748 ISRService

MDM.EXE 1768 MDM

nod32krn.exe 1800 NOD32krn

scsiaccess.exe 1888 ScsiAccess

SMax4PNP.exe 1920 Ќ/„

SMAgent.exe 1932 SoundMAX Agent Service (default)

StarWindService.exe 1964 StarWindService

svchost.exe 1976 stisvc

rundll32.exe 304 Ќ/„

nod32kui.exe 348 Ќ/„

ctfmon.exe 504 Ќ/„

CAPRPCSK.EXE 1680 Ќ/„

alg.exe 2360 ALG

wscntfy.exe 2384 Ќ/„

CAPPSWK.EXE 2424 Ќ/„

wuauclt.exe 2752 Ќ/„

Opera.exe 2956 Ќ/„

cmd.exe 2376 Ќ/„

tasklist.exe 2568 Ќ/„

wmiprvse.exe 2620 Ќ/„

avz_sysinfo.htm

avz_sysinfo.htm

Изменено 29 января, 2007 пользователем Saule

**Jein** · 26 января, 2007

Способ исправления (если что-то будет вдруг не до конца понятно, то спрашивайте):

http://www.softboard.ru/index.php?s=&s...st&p=324764

И в логе HijackThis пофиксите следующие строчки (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужное и затем нажать на кнопку "Fix Checked"):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

В логе HijackThis всё сделала, как сказали. Перестала при загрузке выскакивать ошибка про ненайденный файл svchost.exe.

А вот проблема с поиском файла copy.exe осталась.

Файл autorun.inf найден только на диске F (так у меня на компе разбит диск на C, F, G), но при открытии блокнотом никаких записей "open=copy.exe" и т.п там нет.

В реестре нашла следущие:

HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a8a36440-7320-11db-952c-00304f3da9d0}\shell\Autoplay\DropTarget

"C:\\WINDOWS\\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe" - удалила

HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28ded400-d633-11da-bef1-806d6172696f}\Shell\AutoRun\command

"C:\\WINDOWS\\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe" - удалила

HKEY_USERS\S-1-5-21-790525478-1060284298-1374007955-1003\Software\Microsoft\Search Assistant\ACMru\5603

Имя: 003 Тип: REG_SZ Значение: copy.exe - что делать с этим, тоже удалять?

**Loginov** · 26 января, 2007

Добрый день. Может Вы мне поможете с проблемкой, а проблемка заключается вот в чем:

Антивирус Касперского находит Trojan-Spy.Win32.Banker.alr в D:\WINDOWS|system32\sfc_os.dll. Вылечить файл не удается по причине блокировки его системой. В безопасном режиме тоже пробывал - не помогает. Выход в инет всегда сопровождался перезагрузкой системы до того момента, когда я поставил Tiny Personal Firewall. Помогите плз.

Logfile of HijackThis v1.99.1

Scan saved at 17:42:00, on 26.01.2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

D:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

D:\Program Files\QuickTime\qttask.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe

D:\Program Files\ICQLite\ICQLite.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

D:\Program Files\Tiny Personal Firewall\persfw.exe

D:\WINDOWS\regdll.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\msnmsgr.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Mass Downloader\massdown.exe

D:\Program Files\Total Commander XP\TOTALCMD.EXE

F:\KillMe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://crossnet.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - D:\Program Files\Mass Downloader\MDHELPER.DLL

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HydraVisionDesktopManager] D:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [siemens SmartSync - ScheduleSync] D:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [iCQ Lite] "D:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: + &Mass Downloader: download this file - D:\Program Files\Mass Downloader\Add_Url.htm

O8 - Extra context menu item: + Mass Downloader: download &All files - D:\Program Files\Mass Downloader\Add_All.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - D:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - D:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{E98A50CA-E7E6-4F7C-AE55-D7589C66BBCC}: NameServer = 192.168.100.22,192.168.100.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{FAC4A89B-4748-4F47-85C7-1F47AD4DE115}: NameServer = 192.168.100.22 192.168.100.3

O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Tiny Personal Firewall (PersFw) - Unknown owner - D:\Program Files\Tiny Personal Firewall\persfw.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Register DLL Driver - Unknown owner - D:\WINDOWS\regdll.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Windows Messenger - Unknown owner - D:\WINDOWS\msnmsgr.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

Если это необходимо

**VanGog** · 26 января, 2007

Добрый день. Может Вы мне поможете с проблемкой, а проблемка заключается вот в чем:
Антивирус Касперского находит Trojan-Spy.Win32.Banker.alr в D:\WINDOWS|system32\sfc_os.dll. Вылечить файл не удается по причине блокировки его системой. В безопасном режиме тоже пробывал - не помогает.

Оригинальный файл sfc_os.dll в win xp sp2 весит 140288 байт, подмененый вирусом скорее всего меньше.

1.Удалить вирус можно с помощью KillBox

Процедура удаления файла с помощью Killbox выполняеться следующим образом:
В строку его окошка нужно скопировать точное местоположение файла (например, C:\Program Files\Common Files\svchost.exe).

Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

Следует убедиться в том, что троянский файл System32\sfc_os.dll удален;

2. Следует поискать sfc_os.dll в скрытой папке Windows\DllCache – если там найдется такой файл, то достаточно скопировать его в Windows\System32 и перезагрузиться;

3. Если файл sfc_os.dll отсутствует в Windows\DllCache, то необходимо восстановить его из дистрибутива. Для этого следует перейти в папку I386 дистрибутива и выполнить команду:

expand SFC_OS.DL_ %windir%\System32\SFC_OS.DLL

После выполнения команды следует перезагрузить компьютер. Восстановление файла из дистрибутива является наиболее надежным и правильным методом.

Так же если я не ошибаюсь D:\WINDOWS\msnmsgr.exe тоже вирус. Его удалить и

и в логе HijackThis пофиксите следующие строчки (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужное и затем нажать на кнопку "Fix Checked"):

O23 - Service: Windows Messenger - Unknown owner - D:\WINDOWS\msnmsgr.exe

**Nesex** · 27 января, 2007

Здравствуйте!

У меня проблема, "жрётся" трафик по страшной силе, причём даже тогда, когда нет никаких действий, просто подключен к сети и стоит в режиме ожидания. Фаерволом пробовал, что-то блокировать и отследить, но знаний не хватает. Подскажите пожалуйста, что можно сделать. Вот мой лог:

Logfile of HijackThis v1.99.1

Scan saved at 14:59:20, on 27.01.2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

E:\Win 2000 sistema\Alwil Software\Avast4\aswUpdSv.exe

E:\Win 2000 sistema\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINNT\System32\nvsvc32.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\explorer.exe

E:\Win 2000 sistema\Alwil Software\Avast4\ashWebSv.exe

E:\Win 2000 sistema\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Mixer.exe

E:\WIN200~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\TrafficCompressor\TCompres.exe

C:\Program Files\DRTools\daemon.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Total Commander\Totalcmd.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\Shaa\LOCALS~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

/waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe

/dump:os_startup

O4 - HKLM\..\Run: [avast!] E:\WIN200~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TrafficCompressor] C:\Program Files\TrafficCompressor\TCompres.exe

/Autorun

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DRTools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel -

res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O15 - Trusted Zone: http://www.vipspace.net

O16 - DPF: ConferenceRoom Java Client - http://campus.k26.ru:8000/java/cr.cab

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) -

https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{C1DC2D07-53AF-4708-A2DB-57CA75B0C2C8}: NameServer =

172.17.1.2,62.33.187.3

O18 - Protocol: bw+0 - {33B005EF-98F2-4019-9796-ADAE9546A03D} - C:\Program