Помощь в лечении систем от нечисти

[Saule]

Насколько я понял увеличивается папка C:\\Windows\Temp\ - там создаются файлы типа PR23.tmp, PR2A.tmp -разного размера.

Это на 99% троян.

Попробуйте сделать он-лайн сканирование системы с помощью Ewido:

http://www.ewido.net/en/onlinescan/

[simply_the_best]

Это на 99% троян.

Попробуйте сделать он-лайн сканирование системы с помощью Ewido:

http://www.ewido.net/en/onlinescan/

Сделал, вот что у меня нашли:

Tracing.Cookie не пойму откуда -вчера и позавчера их находил и удалял Ад-Аваре

Adware.Generic HKU\S-1-5-21-507.....числа...\Software\microsoft\Windows\CurrentVersion\Ext\Stats\{код какой-то}

Dropper.Agent.xk - ссылка на прогу, говорящую, не истек ли срок ключа Касперского, вроде давно скачивал, но удалю

Adware.SaveNow ссылка на exe-шник CrystalPlayer - наверное, рекламный модуль

Adware.SaveNow C:\\System Volume Information\_restore{DAFD....}\RP216\A0483691.exe/VVSN.exe

Dropper.Agent.xk C:\\System Volume Information\_restore{DAFD....}\RP216\A0485480.exe

Все удалил. И это - то, что мне мешало работать? И почему это ни одна из прог, которые я написал выше, что применял, не нашла?

И еще: после того, как прогой ATF-Cleaner я удалил все Temp'ы, вроде ничего новог не пишется?!

[simply_the_best]

И еще вопрос, если можно я рисунок прикрепил, где фотка из AVG Anti-Spyware - работали только Опера и Касперский, corbina - мой провайдер. Спросить я хотел, а первые несколько подключений - это что?

[Sanitar]

2 Saule. Скачал Dr Web (ознакомительную), запустил, и вот что он нашел, причем аваст это все промаргал. Что лучше с этим сделать? очень интересно что такое линго ком, я вроде как ничего такого не устанавливал.

startl.exe C:\Program Files\LingoCom Возможно, BACKDOOR.Trojan

A0019583.dll C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP146 Adware.Cydoor

A0019584.dll C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP146 Adware.Cydoor

A0019737.dll C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP148 Program.RemoteAdmin

A0019738.exe C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP148 Program.RemoteAdmin

A0019739.exe C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP148 Program.RemoteAdmin

A0019740.exe C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP148 Program.RemoteAdmin

A0019741.dll C:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP148 Program.RemoteAdmin

[Saule]

Скачал Dr Web (ознакомительную), запустил, и вот что он нашел, причем аваст это все промаргал. Что лучше с этим

Ну на самом деле, можно сказать, что аваст ничего не проморгал. Так как на файл startl.exe в папке LingoCom (переводчик программ, оф.сайт: http://www.lingocom.com/) у Веба сработал эвристик (поэтому в его отчете было слово "возможно"). А к папкам System Volume Information у антивирусов всё равно доступа нет.

Если есть желание эти папки всё же отчистить, то делаем следующее:

Кликаем правой кнопкой мыши на 'My Computer' (Мой Компьютер) и выбераем в открывшемся меню его 'Properties' (Свойства).

Находим закладку 'System Restore' (Восстановление Системы).

И в ней ставим галочку напротив 'Turn off System Restore on all drives' (Запpетить Восстановление Системных файлов на всех дисках).

Затем на 'Apply' (Пpименить).

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем 'ОК'.

Для верности перезагружаем компьютер.

После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив 'Turn off System Restore on all drives').

После этого папки System Volume Information будут чистыми.

Спросить я хотел, а первые несколько подключений - это что?

Поставьте галочку рядом с 'Hide local conections' и проверьте, будет ли сетевая активность отображаться там точно также.

И лог с помощью HijackThis нет желания сделать?

Изменено 5 февраля, 2007 пользователем Saule

[Santim]

Значит такая проблема. В тело письма и по аське самопроизвольно отправляется сообщение типа "Слух, вот сайтик тебе вчера забыл дать - counter-forever.cn" дак вот сканирование ничего не дает. Но это точно троян сидит. Ничегоне пойму как избавиться. Не заходите только на этот сайт. Да и кста он же убил IE

[Saule]

Значит такая проблема. В тело письма и по аське самопроизвольно отправляется сообщение типа...

Dr.WEB CureIt! + удаление файлов созданных в тот же день или позднее, что и объекты, найденные с помощью Веба (предположительно: WINDOWS\system32\upnp.exe; WINDOWS\system32\msvcrl.dll; WINDOWS\system32\adv.txt и/или др.).

Если всё равно не поможет, то нужен лог HijackThis.

_________

P.S. На всякий случай, чтобы посмотреть дату создания файлов:

Нужно зайти в папку C:\WINDOWS\system32 и выбрать в верхнем меню проводника:

View > Details (Вид > Таблица)

Затем правой кнопкой мыши кликаем по любому заголовку таблицы и добавляем (нажимаем на) атрибут Date Created:

После чего сортируем файлы по этому атрибуту, нажав в таблице на заголовок "Date Created" (т.е. файлы установятся в порядке даты их создания и вычислить те, которые появились примерно в нужное нам в данном случае время - будет легко).

[amin]

Помогите и мне , мож и у меня что не так :(

заранее спасибо!

Logfile of HijackThis v1.99.1

Scan saved at 21:19:18, on 10.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Total Commander 6.53 Podarok Edition\TOTALCMD.EXE

C:\Program Files\Opera\Opera.exe

C:\Program Files\Apollo\Apollo.exe

E:\prg\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ultranet.com.ua/news/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DE36889-FC31-403A-901B-28D1B82BC408}: NameServer = 192.168.0.1 195.242.114.10

O17 - HKLM\System\CCS\Services\Tcpip\..\{85D7205C-8529-4BBB-9282-7EF84CE5355C}: NameServer = 195.5.11.210,195.5.6.10,195.5.6.10

O20 - AppInit_DLLs: c:\progra~1\outpos~1\wl_hook.dll C:\PROGRA~1\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: License Management Service SON - e-sonopress - C:\Program Files\Common Files\esonopress Shared\Service\Licence Manager SON.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Помогите и мне , мож и у меня что не так ;)

заранее спасибо!

На мой взгляд, всё нормально.

Если вдруг у вас были внезапные перезагрузки, то дело, по всей видимости, не в вирусе, а в несовместимости каких-либо программ.

И из ненужных записей системы пофиксить можно следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

Плюс у вас установлены ограничения к каким-то настройкам Internet Explorer. Поэтому, в случае, если вы устанавливали их не сами, то точно также с помощью HijackThis можно исправить строчку:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

[PS_FORCE]

Помогите и мне. Коунтер-форевер всё равно отсылает сообщения, все подозрительные файлы убил.

Logfile of HijackThis v1.99.1

Scan saved at 15:34:39, on 11.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\Fmctrl.EXE

D:\PCIRADIO\Radiotray.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\NetUP\UTM5_wintray\UTM5_wintray.exe

D:\Program Files\Download Master\dmaster.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Miranda IM\miranda32.exe

D:\PS FORCE\Архивы\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=021807 serial=DR12CNF-7728679-WWK lang=EN

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [RadioTray] D:\PCIRADIO\Radiotray.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [utm5_wintray] C:\Program Files\NetUP\UTM5_wintray\UTM5_wintray.exe

O4 - HKCU\..\Run: [Download Master] D:\Program Files\Download Master\dmaster.exe -autorun

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1145553265078

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.16.100.201/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{164E9541-302A-4840-8726-A411B2E41ABE}: NameServer = 192.168.100.100

O17 - HKLM\System\CS1\Services\Tcpip\..\{164E9541-302A-4840-8726-A411B2E41ABE}: NameServer = 192.168.100.100

O17 - HKLM\System\CS2\Services\Tcpip\..\{164E9541-302A-4840-8726-A411B2E41ABE}: NameServer = 192.168.100.100

O17 - HKLM\System\CS3\Services\Tcpip\..\{164E9541-302A-4840-8726-A411B2E41ABE}: NameServer = 192.168.100.100

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: MySQL - Unknown owner - D:\Program.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Mike59]

Здравствуйте, добрые люди.

Помощи вашей прошу я.

О, блин, стихами заговорил... ;)

В общем, нахватался я заразы и занялся самолечением.

В результате, я вроде бы заразу поудалял, но...

Теперь каждые 75 секунд (замерял) вылетает окно:

"Generic Host Process for Win32 Services has

encountered a problem and needs to close. We are sorry

for the inconvenience."

Ну, и т.д.

Нажимаю на кночку "Не посылать репорт" и больше ничего не случается.

Понимаю, что какая-то гадость пытается себя запустить, но понять кто это - не могу. Ума не хватает.

Буду весьма признателен за помошь

Лог HijackThis прилагаю

Logfile of HijackThis v1.99.1

Scan saved at 15:49:39, on 11.02.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Michael\Desktop\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.17.1.6:8080

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

[Mike59]

Мне помогать уже не надо!

Сам управился.

Спасибо! ;)

[Saule]

Коунтер-форевер всё равно отсылает сообщения, все подозрительные файлы убил.

Вам нужно скачать программу LSP-Fix (http://cexx.org/lspfix.htm)

Затем включить и сделать скриншот её окна (т.е. того, что она вам покажет). После чего прикрепить эту картинку к своему сообщению (либо просто вышлите на e-mail).

Вот я сделала у себя для примера:

Больше ничего с этой программой делать не нужно (по крайней мере, пока не нужно). Так как любые неверные действия в вашем случае могут повести за собой неприятные последствия (если быть точнее - исчезнет интернет). А мне бы этого очень не хотелось, поэтому лучше всё делать аккуратно.

[Saule]

Мне помогать уже не надо!

Сам управился.

На всякий случай всё же напишу способ удаления того, что у вас было:

1. Закрываем все посторонние программы и приложения, чтобы ничего не мешало.

2. Скачиваем AVZ.

   Распаковываем, запускаем и нажимаем в его верхнем меню:

   AVZ Guard > Включить AVZ Guard

   В появившемся окошке нажимаем ОК.

3. Далее снова в верхнем меню AVZ:
   Сервис > Менеджер автозапуска

   В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на rpcc и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с rpcc и затем нажимаем на кнопку "X").

4. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).

5. После перезагрузки снова в верхнем меню AVZ выбираем:
   Файл > Отложенное удаление файла

   И копируем в появившееся окошко следующую строку:

   C:\WINDOWS\System32\rpcc.dll

   Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

6. Еще раз перезагружаем компьютер.

7. Отключаем AVZ Guard (в верхнем меню AVZ):
   AVZ Guard > Отключить AVZ Guard

[PS_FORCE]

Вот

[Saule]

Вот

Теперь нужно поставить галочку рядом с "I know what I'm doing..." и нажать кнопку "Finish".

И если после следующей перезагрузки контакты ICQ всё равно будут получать сообщения с ссылкой, то сообщите.

[Mike59]

На всякий случай всё же напишу способ удаления того, что у вас было:

Спасибо, Saule, я сделал то же самое, но вручную в сейф моде. Метод удаления при помощи AVZ оценил

Странно, что тот же AVZ у меня эту гадость не находил.

Если не в лом, в двух словах, поясните пожалуйста, почему нечисть так странно себя вела?

[Saule]

Если не в лом, в двух словах, поясните пожалуйста, почему нечисть так странно себя вела?

По идее, сообщений об ошибках 'Generic Host Process for Win32 Services' не должно было быть.

rpcc.dll был зарегистрирован в системе, как модуль уведомления Winlogon:

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

И таким образом происходит автозапуск этой библиотеки. При этом вся её дальнейшая работа ведется уже из контекста системного winlogon.exe, без каких-либо отдельных процессов.

Вообще, этот троян занимается рассылкой спама. И для того, чтобы обойти файрволл, для создания соединения используется системный процесс svchost.exe. Только вот с вашим svchost.exe в силу каких-то причин этот приём, по всей видимости, не заработал. Т.е. троян на вашей системе не смог работать корректно (благодаря чему вам и удалось удалить его в безопасном режиме - если бы всё пошло так, как было запрограммировано, такое удаление просто не было бы возможным).

[SpiceStas]

Ребята, зашёл в инет днём, отркл google. фАЕРВОЛ КАК ВСЕГДА НАЧАЛ ГОВОРИТЬ ОБ ОЧЕРЕДНОЙ АТАКЕ (Я ЭТИ СООБЩЕНИЯ ИГНОРИРУЮ ТАК КАК ДОСТАЛ) - и на тебе: НОД 32 сообщил что у меня ТРОЯН TrojanProxy.Slaper.C trojan. Что делать? пробовал удалить - не выходит, всё равно он появляется, делал и вот так:

C:\System Volume Information\_restore{59622F89-79EB-40D1-A3F2-AD3D11339F10}\RP36\A0010758.exe - Win32/TrojanProxy.Slaper.C trojan - renamed to C:\System Volume Information\_restore{59622F89-79EB-40D1-A3F2-AD3D11339F10}\RP36\A0010758.Vexe

но всё равно НОД видит что это вирус Что делать? чем лечить? кстати, она сразе же в Documents and Settings создал 1.exe (я его конечно же удалил).

ВОТ СКАНИРУЮ ПО ПРОСЬБЕ АВТОРА ТЕМЫ:

Logfile of HijackThis v1.99.1

Scan saved at 0:16:37, on 14.02.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\PROGRA~1\MYSECR~1\MSFMON.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\WINDOWS\System32\svcchost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\QIP\qip.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.regsoft.net/purchase.php3?productid=74266

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [MSF_Monitor] C:\PROGRA~1\MYSECR~1\MSFMON.exe /Start

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sysms] C:\WINDOWS\system32\sysem.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Панель задач ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{033806D4-02FB-4250-9C09-2D7303383AA0}: NameServer = 212.9.224.1 212.9.224.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{033806D4-02FB-4250-9C09-2D7303383AA0}: NameServer = 212.9.224.1 212.9.224.2

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

мне винду переустанавливать? или как?

[Сыр]

Я может щас глупость скажу, но попробуй отключить восстановление системы

[Loader]

1. Отключи мониторинг антивируса

2. Как я понял ты уже имеешь доступ на запись к папке C:\System Volume Information\

3. Удали всю папку C:\System Volume Information\_restore{59622F89-79EB-40D1-A3F2-AD3D11339F10}\RP36\ минуя корзину то есть shift+Del

4. Включи мониторинг антивируса

Изменено 14 февраля, 2007 пользователем Loader

[ser208]

C:\PROGRA~1\MYSECR~1\MSFMON.exe --похожа на заразу

C:\WINDOWS\System32\svcchost.exe --зараза

O4 - HKLM\..\Run: [msvcc25] svcchost.exe ----отсюда запуск этой заразы

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe ---и отсюда как сервис (хотя самого не видно)

O4 - HKCU\..\Run: [sysms] C:\WINDOWS\system32\sysem.exe --еще одна

C:\Program Files\Internet Explorer\IEXPLORE.EXE ---аж 3 процесса--подозрительно

http://www.freedrweb.com/cureit/?lng=ru

Попробуй это, только NOD на время проверки выключи (и сервис тоже) (желательно, но не обязательно)

Saule тебе подскажет все правильнее, так что можешь подождать.

На SP2 давно уже пора переходить.

Изменено 14 февраля, 2007 пользователем ser208

[Saule]

но всё равно НОД видит что это вирус Что делать? чем лечить? кстати, она сразе же в Documents and Settings создал 1.exe (я его конечно же удалил).

1. Скачиваем SDFix

   Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

   В системном каталоге будет создана папка SDFix:

   C:\
   SDFix
2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)
   При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
3. Открываем папку SDFix и запускаем файл RunThis.bat.

   Пишем букву Y и нажимаем на ENTER.

   Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

   Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4. После перезагрузки процедура удаления снова ненадолго продолжится.

   Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

   Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

5. Теперь кликаем правой кнопкой мыши на 'My Computer' (Мой Компьютер) и выбераем в открывшемся меню его 'Properties' (Свойства).

   Находим закладку 'System Restore' (Восстановление Системы).

   И в ней ставим галочку напротив 'Turn off System Restore on all drives' (Запpетить Восстановление Системных файлов на всех дисках).

   Затем на 'Apply' (Пpименить).

   Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем 'ОК'.

   Для верности снова перезагружаем компьютер.

   После чего снова идем по пути, описанном выше:

   My Computer > Properties > System Restore

   И убираем поставленную ранее галочку (т.е. напротив 'Turn off System Restore on all drives').

Если после этого у вас всё равно остануться какие-то проблемы, скопируйте, пожалуйста, в своё сообщение отчет SDFix + новый лог программы HijackThis.

[Gevara]

Скачал я кряк для офиса и компьютер перестал загружаться. переустановил винду. Теперь постоянно вылетает вот такое сообщение... это вирус? Мне кажеться что вирус... :)

[Vova76]

Здравтсвуйте Saule!

Наловил вирусов, лечил AVZ, потом хайджеком удалил строчки в которых указаны были svcchost и mysvcc.

Посмотрите пожалуйста, что еще не так?

Logfile of HijackThis v1.99.1

Scan saved at 21:59:44, on 16.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\win2k.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\вова\Рабочий стол\Аптечка\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [winsystems25] winsystems.exe

O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Routing] win2k.exe

O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [Routing] win2k.exe

O4 - HKLM\..\RunServices: [Windows Secure Update ] qvpzvw.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] azv.exe

O4 - HKLM\..\RunServices: [Windows.exe] nokwuow.exe

O4 - HKLM\..\RunOnce: [Routing] win2k.exe

O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe

O4 - HKCU\..\Run: [Routing] win2k.exe

O4 - HKCU\..\RunOnce: [Routing] win2k.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{90E6E866-B079-4455-9D27-D30749575313}: NameServer = 100.100.100.100

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TskScheduler - Unknown owner - C:\WINDOWS\taskshed.exe (file missing)

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe