Помощь в лечении систем от нечисти

**Saule** · 16 февраля, 2007

Теперь постоянно вылетает вот такое сообщение... это вирус? Мне кажеться что вирус... :)

Не волнуйтесь, это не вирус. И чтобы избавиться от таких сообщений, нужно отключить в Windows соответствующую службу:

Пуск > Выполнить (Start > Run)

Вписываем

services.msc

Нажимаем ОК.

Находим в списке сервисов -

Служба сообщений

(

Messenger

).

Правой кнопкой мыши кликаем по ней двойным кликом.

Затем, если возможно, нажимаем на кнопку Стоп (Stop) и изменяем Тип запуска (Startup type) на положение Отключено (Disabled).

Сохраняем изменения - Применить и ОК (Apply и ОК).

Подробнее в этом посте.

**Saule** · 16 февраля, 2007

Наловил вирусов, лечил AVZ, потом хайджеком удалил строчки в которых указаны были svcchost и mysvcc.
Посмотрите пожалуйста, что еще не так?

Тут есть два варианта. Первый:

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [winsystems25] winsystems.exe

O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe

O4 - HKLM\..\Run: [Routing] win2k.exe

O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [Routing] win2k.exe

O4 - HKLM\..\RunServices: [Windows Secure Update ] qvpzvw.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] azv.exe

O4 - HKLM\..\RunServices: [Windows.exe] nokwuow.exe

O4 - HKLM\..\RunOnce: [Routing] win2k.exe

O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe

O4 - HKCU\..\Run: [Routing] win2k.exe

O4 - HKCU\..\RunOnce: [Routing] win2k.exe

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).
Перезагружаем компьютер.
Находим и удаляем следующий файл:

C:\WINDOWS\system32\

win2k.exe

Также на всякий случай можно поискать и остальные из списка выше или точнее вот эти: mdm4.exe, nokwuow.exe, azv.exe, qvpzvw.exe, mssvcc.exe, winsystems.exe. Хотя их, скорее всего, уже нет (но в случае, если есть - удаляем).
Теперь нажимаем:
Start > Run (Пуск > Выполнить)

Копируем в строку: sc delete nvidGUIv

Нажимаем ОК или клавишу ENTER.

То же самое поочередно делаем с каждой из следующих строчек:

sc delete Performance True Type Font

sc delete TskScheduler

sc delete Win32Sr
После чего желательно сделать новый лог HijackThis.

_____________

И второй вариант с помощью SDFix, который сделает половину работы, описанной выше, самостоятельно.

Но затем нужно будет всё равно дочистить вручную то, что останется (либо лучше даже будет запустить SDFix в качестве профилактики, уже после того, как будут сделаны рекомендации из первого варианта).

Скачиваем SDFix
Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия. Желательно содержимое этого лога скопировать в своё сообщение + сделать новый лог HijackThis.

_____________

Объясню, почему желательно после лечения еще раз показать лог. Пока я пишу вам этот ответ, у вас в системе вполне к этому времени могут уже произойти изменения (т.е. еще что-нибудь закачаеться и установиться) - для этого вируса подобное поведение весьма характерно. Хотя если в логе никаких новых записей не добавиться и в системе будет порядок, то тогда всё хорошо :)

**saprat** · 17 февраля, 2007

После завершения сканирования компьютера антивирусной утилитой AVZ 4.22 (проверка осуществлялась как в тестовом, так и в лечебном режиме) в Анти-Хакере Касперского 1.8 исчезают ВСЕ правила для приложений (т.е. список приложений обнуляется). Беда небольшая, восстановить список не составляет большого труда, но почему такое происходит. Можно ли этого избежать в дальнейшем?

**ВоваЛЕНИН** · 17 февраля, 2007

Здравствуйте.

У меня ещё сохранилась проблема на диске С(приложение откл. с ошибкой).

Через несколько мин. после загрузки компа что-то переклинивает в машине и на мониторе появляютс чёрные пятна(в районе панелей инструментов и панели задач).Плюс я где-то прочитал,что частое мигание индикатора на машине это плохо.Ничего особенного выловить не могу.НОД32 показывает вирусов не обнаружено,сканирование на трояны он-лайн на микрософте показало 500 с лишним зараженных файлов.

Чего делать?

Logfile of HijackThis v1.99.1

Scan saved at 22:37:57, on 17.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\eTSrv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\DIGStream\digstream.exe

C:\Program Files\ESPNRunTime\DIGServices.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Free Desktop Clock\DesktopClock.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\user\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R3 - URLSearchHook: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRadi.dll

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MegauploadToolbar\megauploadtoolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRadi.dll

O3 - Toolbar: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRadi.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MegauploadToolbar\megauploadtoolbar.dll

O3 - Toolbar: &ESPN - {AE6F2894-AF10-4C9C-B16E-1DFC6FF8C0C6} - C:\Program Files\ESPN\Toolbar\DIGToolBar.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe

O4 - HKLM\..\Run: [DIGServices] C:\Program Files\ESPNRunTime\DIGServices.exe /brand=ESPN /priority=0 /poll=24

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skinClock] C:\Program Files\Free Desktop Clock\DesktopClock.exe

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe

O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Перевести - C:\Program Files\PRMT6\PRMTIE\translat.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{390B428E-DB7F-4249-90FA-D71930B059CF}: NameServer = 195.5.61.70,195.5.61.68

O17 - HKLM\System\CS1\Services\Tcpip\..\{390B428E-DB7F-4249-90FA-D71930B059CF}: NameServer = 195.5.61.70,195.5.61.68

O17 - HKLM\System\CS3\Services\Tcpip\..\{390B428E-DB7F-4249-90FA-D71930B059CF}: NameServer = 195.5.61.70,195.5.61.68

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Ltd. - C:\WINDOWS\system32\eTSrv.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

**Saule** · 17 февраля, 2007

Через несколько мин. после загрузки компа что-то переклинивает в машине и на мониторе появляютс чёрные пятна(в районе панелей инструментов и панели задач).Плюс я где-то прочитал,что частое мигание индикатора на машине это плохо.Ничего особенного выловить не могу.НОД32 показывает вирусов не обнаружено,сканирование на трояны он-лайн на микрософте показало 500 с лишним зараженных файлов.
Чего делать?

Dr.WEB - CureIt! - полная проверка компьютера и лечение всех зараженных файлов. Причем, если вдруг будут файлы, зараженные вирусом Jeefo, которые вылечить, даже с помощью Dr.WEB, невозможно, их необходимо обязательно удалить. Так как если останется хотябы один зараженный .ехе и он будет запущен на вашей системе, то всё начнется сначала.

Затем очень желательно переустановить NOD32, так как он тоже, скорей всего, в данный момент заражен.

**ВоваЛЕНИН** · 17 февраля, 2007

Dr.WEB - CureIt! - полная проверка компьютера и лечение всех зараженных файлов. Причем, если вдруг будут файлы, зараженные вирусом Jeefo, которые вылечить, даже с помощью Dr.WEB, невозможно, их необходимо обязательно удалить. Так как если останется хотябы один зараженный .ехе и он будет запущен на вашей системе, то всё начнется сначала.

Затем очень желательно переустановить NOD32, так как он тоже, скорей всего, в данный момент заражен.

Dr.WEB - CureIt!Скачиваю и проверяю регулярно,даже закладку сделал по вашим советам.

Удалил заражённые файлы ещё 15.02 после проверки.А вот переустановить нод наверное в точку.Т.к. в нём наверное куча заразы сидит.

Карантин тоже удалять с программ файлс НОДа?

А данный лог ничего страшного не показывает?

**ВоваЛЕНИН** · 17 февраля, 2007

Зашёл на Пандасофт,проверяюсь Активскан 5.54,

1 шпионов и 1 автодозвонщик уже есть,а ещё около 80 процентов проверяться осталось.Вирусов пока нет.

**Saule** · 18 февраля, 2007

Удалил заражённые файлы ещё 15.02 после проверки.А вот переустановить нод наверное в точку.Т.к. в нём наверное куча заразы сидит.
Карантин тоже удалять с программ файлс НОДа?

А данный лог ничего страшного не показывает?

Лог показывает только то, что по системе прошелся вышеупомянутый Jeefo Но раз уже удалили, то удалили. Я просто провела параллель со сканированием на Microsoft'е.

И, значит, в этом случае та ошибка, о которой вы говорили, скорее всего, связана не с вирусами, а с их последствиями. Было бы хорошо помнить, какое именно приложение отключалось с ошибкой? И как часто это случалось? Возможно при лечении пришлось удалить какой-то его компонент (либо он не мог корректно быть вылечен). Если есть такая возможность, то "пострадавшее" приложение нужно просто переустановить или заменить его подпорченные файлы.

P.S. Нод посоветовала переустановить, так как это не нормально, если он не видит ни одного файла из 500 зараженных (карантин удалять, если ничего важного туда не кидалось).

**ВоваЛЕНИН** · 18 февраля, 2007

22 шпиона,1 дозвонщик.Вир нет.

Хотят пандовцы 12.95 эвро за помосчь.(АктивСканПро)

Вот думаю,чего дальше.Делать.

Проверюсь Агнитумом,чего их антиспай прозевал,позавчера проверялся.

**ВоваЛЕНИН** · 18 февраля, 2007

22 шпиона,1 дозвонщик.Вир нет.

Хотят пандовцы 12.95 эвро за помосчь.(АктивСканПро)

Вот думаю,чего дальше.Делать.

Проверюсь Агнитумом,чего их антиспай прозевал,позавчера проверялся.

Инцидент --- Действие --- Область проверки

Dialer:dialer.xd Лечение невозможно c:\windows\switchagreement.txt

Adware:adware/navipromo Лечение невозможно Реестр Windows

Adware:adware/mirar Лечение невозможно Реестр Windows

Spyware:Cookie/Go Лечение невозможно C:\Documents and Settings\user\Application Data\Flock\Browser\Profiles\bindjw26.default\cookies.txt[.go.com/]

Spyware:Cookie/Adtech Лечение невозможно C:\Documents and Settings\user\Application Data\Flock\Browser\Profiles\bindjw26.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Doubleclick Лечение невозможно C:\Documents and Settings\user\Application Data\Flock\Browser\Profiles\bindjw26.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Apmebf Лечение невозможно C:\Documents and Settings\user\Application Data\Flock\Browser\Profiles\bindjw26.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/MetriWeb Лечение невозможно C:\Documents and Settings\user\Application Data\Flock\Browser\Profiles\bindjw26.default\cookies.txt[.metriweb.be/]

Spyware:Cookie/SpyLog Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.spylog.com/]

Spyware:Cookie/MetriWeb Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.metriweb.be/]

Spyware:Cookie/Doubleclick Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Go Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.go.com/]

Spyware:Cookie/Apmebf Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/Xiti Лечение невозможно C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\9m3lkglf.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Go Лечение невозможно C:\Documents and Settings\user\Cookies\user@go[3].txt

Spyware:Cookie/Overture Лечение невозможно C:\Documents and Settings\user\Cookies\user@perf.overture[1].txt

Spyware:Cookie/Toplist Лечение невозможно C:\Documents and Settings\user\Cookies\user@toplist[1].txt

Spyware:Cookie/Atwola Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000411.asw

Spyware:Cookie/2o7 Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000412.asw

Spyware:Cookie/2o7 Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000415.asw

Spyware:Cookie/Go Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000416.asw

Spyware:Cookie/Atwola Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000419.asw

Spyware:Cookie/2o7 Лечение невозможно C:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\0000041a.asw

и что это значит???,(панда показывает)...

**Stella** · 18 февраля, 2007

Здравствуйте

Я все продолжаю мучится со своим компьютером... Вирусов вроде не обнаружено, чуть раньше мы проверяли меня :-))) проверка сетевой платы пройдена успешно. Проверка почтовой службы, в этом же тесте(диагностика конфигурации в сети, через справку и поддержку в Windows) через раз показывает то ошибку, то тест пройден...

Я пользуюсь Outlook Express, почтовый ящик на Рамблере, настроено вх, исх - все правильно. При получении писем несколько раз уже вылетает синий экран... Последний раз ошибка отмечена так: 0х000000С2 (0х00000007, 0х00000CD4, 0х430С0508б 0хE1063649) Это что значит? Ad-Watch больше не включаю, Сауле сказала - не надо чайнику...

Каждый вечер чищу комп Ad-Aware, находит от 1 до 5 паразитов.С Рамблера сыплются, что-ли??? Раньше был ящик на сайте провайдера, а сейчас на публичном ...

Что делать, куда смотреть, подскажите, если можете!!!

**Saule** · 19 февраля, 2007

и что это значит???,(панда показывает)...

Это значит, что нужно отчистить карантин Outpost Firewall и удалить файлы куки.

В Firefox:

В верхнем меню:

Инструменты > Настройки > Приватность > Показать Cookies > кнопка Удалить cookies.
В Internet Explorer:

В верхнем меню:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Общие (General) > Удалить cookie (Delete Cookies)

Плюс те сайты, которые оставляли на вашем диске cookies категории 'tracking', можно добавить в список исключений браузера, чтобы избежать этого снова в дальнейшем.

В Firefox:

В верхнем меню:

Инструменты > Настройки > Приватность > Исключения

Вводим поочередно следующие адреса сайтов, после каждого нажимая на кнопку "Блокировать":

adtech.de

apmebf.com

doubleclick.net

go.com

metriweb.be

perf.overture.com

spylog.com

toplist.ru

xiti.com
В Internet Explorer:

В верхнем меню:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Конфиденциальность (Privacy) > Узлы... (Sites...)

Поочередно вводим те же адреса сайтов, после каждого нажимая на кнопку "Блокировать" ("Block").

**Saule** · 19 февраля, 2007

проверка сетевой платы пройдена успешно. Проверка почтовой службы, в этом же тесте(диагностика конфигурации в сети, через справку и поддержку в Windows) через раз показывает то ошибку, то тест пройден...

Правильно, ошибка возникает только тогда, когда с сетью возникают какие-либо явные или неявные проблемы. Только в каком именно из этих разделов она находится?

При получении писем несколько раз уже вылетает синий экран... Последний раз ошибка отмечена так: 0х000000С2 (0х00000007, 0х00000CD4, 0х430С0508б 0хE1063649) Это что значит?

Это значит, что один из процессов или драйверов режима ядра попытался выполнить недопустимую операцию с памятью - была сделана попытка повторно освободить пул, уже ранее освобожденный (текущий поток отправил пулу неверный запрос).

Как правило, причиной возникновения этой ошибки являются поврежденные драйверы устройств или программы. Поэтому нужно определить какой именно драйвер пытается некорректным образом освободить память и заменить его.

Единственное, для решения таких проблем, вам нужно совсем в другой топик:

Ошибки "STOP" или "Синий экран смерти", Рекомендации по устранению ошибок "STOP"

Каждый вечер чищу комп Ad-Aware, находит от 1 до 5 паразитов.С Рамблера сыплются, что-ли??? Раньше был ящик на сайте провайдера, а сейчас на публичном ...
Что делать, куда смотреть, подскажите, если можете!!!

Всё-таки очень важно еще и то, что именно находит у вас Ad-Aware. Вернее, объекты из какого "семейства" обнаруживаются у вас на компьютере (Tracking Cookie, Vulnerability, MRU List и др.)? Скрин, на всякий случай, чтобы было понятнее, где именно у Ad-Aware находится эта информация:

**unit** · 19 февраля, 2007

Привет, на днях у меня поселился PurityScan, ни Дрвеб ни Адвар его не убирают, хоть и находят.

Помогите спровадить гостя

**Matador_20** · 19 февраля, 2007

Комп постоянно сходит с ума и вырубает Эксплорер при заходе на некоторые файлы , будте добры помогите пожалуйста.

Logfile of HijackThis v1.99.1

Scan saved at 8:06:47 PM, on 2/19/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\r_server.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\FlashGet\flashget.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\Anton\Local Settings\Temp\wzadb7\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: (no name) - {03D7DC81-1852-3FC8-5765-0B35602522E1} - C:\WINDOWS\system32\pysnfcd.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: .protected

O4 - Global Startup: .protected

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: bw+0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: offline-8876480 - {722ADA2D-FEDE-42B3-956A-AE9F7EB6BEC5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

**zimarsky** · 19 февраля, 2007

Saule, очень нужна консультация и помощь. Некоторое время стали проявляться проблемки с признаками:

1. штатный firewall наотрез отказывается запускаться

2. появляются скрытые файлы, которые никак не увидеть и не удалить папку, в которой они еть

3. штатный СканДиск не запускается, ссылаясь на отсутствие монополии

4. пару раз антивирус указывал на наличие Трояна

5. комп может необычно долго выключаться или включаться (несамостоятельно)

Вот Лог из HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 21:58:22, on 19.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

E:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

E:\Program Files\Avast4\aswUpdSv.exe

E:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Program Files\key_ninja\Ninja.exe

C:\windows\system32\bgsvcgen.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

E:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ALEXAN~1.HC-\LOCALS~1\Temp\Rar$EX08.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [uVS10 Preload] e:\Program Files\Ulead VideoStudio 10\uvPL.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [PCTools FW] E:\Program Files\PC Tools Firewall Plus\PCTFW.exe /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Keyboard Ninja] E:\Program Files\key_ninja\Ninja.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - Startup: HDDlife.lnk = E:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

O4 - Global Startup: NaturalColorLoad.lnk = ?

O8 - Extra context menu item: Высокоскоростная печать Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Добавление в список для печати Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Печать Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Предварительный просмотр Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\windows\system32\bgsvcgen.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Заранее благодарен!

**VanGog** · 19 февраля, 2007

Привет, на днях у меня поселился PurityScan, ни Дрвеб ни Адвар его не убирают, хоть и находят.

Помогите спровадить гостя

Рекомендации по удалению
1. При помощи «Диспетчера задач» завершить троянский процесс.

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Дрвеб или Адвар покажут где он находится.

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

**ВоваЛЕНИН** · 19 февраля, 2007

C:\System Volume Information\_restore{2C750FE7-854F-45D9-B78B-910EB61F3D4A}\RP97\A0044950.sdb

инфицирован модификацией Munya.517

премещён,Кариет нашёл.

**ВоваЛЕНИН** · 19 февраля, 2007

C:\System Volume Information\_restore{2C750FE7-854F-45D9-B78B-910EB61F3D4A}\RP97\A0044950.sdb

инфицирован модификацией Munya.517

премещён,Кариет нашёл.

Вот что ОН_ЛАЙН КАСПЕР показывает:

ОТЧЕТ KASPERSKY ONLINE SCANNER

20 Февраль 2007 г. 1:03:13

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.83.0

Последнее обновление антивирусных баз: 19/02/2007

Число записей в антивирусных базах: 255439

-------------------------------------------------------------------------------

Параметры проверки:

Проверять, используя следующий набор антивирусных баз: стандартный набор

Проверять архивы: да

Проверять почтовые базы: да

Объект проверки - Мой компьютер:

C:\

D:\

E:\

F:\

J:\

Результаты проверки:

Всего проверено объектов: 123302

Найдено вирусов: 0

Найдено зараженных объектов: 0 / 0

Найдено подозрительных объектов: 0

Время проверки: 01:11:13

Имя зараженного объекта / Имя вируса / Последнее действие

C:\Documents and Settings\All Users\Application Data\PROject MT\PRMT\6.0\ER\Gendict.er Объект заблокирован пропустить

C:\Documents and Settings\All Users\Application Data\PROject MT\PRMT\6.0\ER\gendict_ER.al2 Объект заблокирован пропустить

C:\Documents and Settings\All Users\Application Data\PROject MT\PRMT\6.0\PROTECT\PrmtPro.dat Объект заблокирован пропустить

C:\Documents and Settings\All Users\Application Data\PROject MT\PRMT\6.0\RE\Gendict.re Объект заблокирован пропустить

C:\Documents and Settings\All Users\Application Data\PROject MT\PRMT\6.0\RE\gendict_RE.al2 Объект заблокирован пропустить

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Объект заблокирован пропустить

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Объект заблокирован пропустить

C:\Documents and Settings\LocalService\ntuser.dat Объект заблокирован пропустить

C:\Documents and Settings\LocalService\ntuser.dat.LOG Объект заблокирован пропустить

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Объект заблокирован пропустить

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Объект заблокирован пропустить

C:\Documents and Settings\NetworkService\NTUSER.DAT Объект заблокирован пропустить

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Объект заблокирован пропустить

C:\Documents and Settings\user\Cookies\index.dat Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Application Data\ApplicationHistory\cli.exe.c88dbd71.ini.inuse Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\History\History.IE5\index.dat Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\History\History.IE5\MSHist012007021920070220\index.dat Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Temp\Perflib_Perfdata_280.dat Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Temp\~DF2F25.tmp Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Temp\~DF376F.tmp Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Temp\~DF3C3E.tmp Объект заблокирован пропустить

C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить

C:\Documents and Settings\user\ntuser.dat Объект заблокирован пропустить

C:\Documents and Settings\user\ntuser.dat.LOG Объект заблокирован пропустить

C:\itouch_crash_info.txt Объект заблокирован пропустить

C:\Program Files\ESET\cache\CACHE.NDB Объект заблокирован пропустить

C:\Program Files\ESET\logs\virlog.dat Объект заблокирован пропустить

C:\Program Files\ESET\logs\warnlog.dat Объект заблокирован пропустить

C:\System Volume Information\MountPointManagerRemoteDatabase Объект заблокирован пропустить

C:\System Volume Information\_restore{2C750FE7-854F-45D9-B78B-910EB61F3D4A}\RP97\change.log Объект заблокирован пропустить

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

C:\WINDOWS\SchedLgU.Txt Объект заблокирован пропустить

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Объект заблокирован пропустить

C:\WINDOWS\Sti_Trace.log Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

C:\WINDOWS\system32\config\ACEEvent.evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\default Объект заблокирован пропустить

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\software Объект заблокирован пропустить

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\system Объект заблокирован пропустить

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\drivers\dtscsi.sys Объект заблокирован пропустить

C:\WINDOWS\system32\drivers\sptd.sys Объект заблокирован пропустить

C:\WINDOWS\system32\drivers\sptd2477.sys Объект заблокирован пропустить

C:\WINDOWS\system32\h323log.txt Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

C:\WINDOWS\wiadebug.log Объект заблокирован пропустить

C:\WINDOWS\wiaservc.log Объект заблокирован пропустить

C:\WINDOWS\WindowsUpdate.log Объект заблокирован пропустить

E:\System Volume Information\MountPointManagerRemoteDatabase Объект заблокирован пропустить

E:\System Volume Information\_restore{2C750FE7-854F-45D9-B78B-910EB61F3D4A}\RP97\change.log Объект заблокирован пропустить

Проверка завершена.

______.txt

**Saule** · 20 февраля, 2007

Комп постоянно сходит с ума и вырубает Эксплорер при заходе на некоторые файлы , будте добры помогите пожалуйста.

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {03D7DC81-1852-3FC8-5765-0B35602522E1} - C:\WINDOWS\system32\pysnfcd.dll

O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - Startup: .protected

O4 - Global Startup: .protected

O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).
Скачиваем SDFix
Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия. После этого желательно скопировать его содержимое в своё сообщение + сделать новый лог HijackThis.

**Saule** · 20 февраля, 2007

Saule, очень нужна консультация и помощь. Некоторое время стали проявляться проблемки с признаками

Да, у вас действительно живёт троян.

Закрываем все посторонние программы и приложения, чтобы ничего не мешало.
Скачиваем AVZ.
Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.
Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на rpcc и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с rpcc и затем нажимаем на кнопку "X").
Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).
После перезагрузки снова в верхнем меню AVZ выбираем:
Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:
```
C:\WINDOWS\System32\rpcc.dll
```
Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".
Еще раз перезагружаем компьютер.
Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard

**Matador_20** · 20 февраля, 2007

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {03D7DC81-1852-3FC8-5765-0B35602522E1} - C:\WINDOWS\system32\pysnfcd.dll

O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{38AFB~1\Bar888.dll (file missing)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - Startup: .protected

O4 - Global Startup: .protected

O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Скачиваем SDFix
Открываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix:

C:\

SDFix

Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.

Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия. После этого желательно скопировать его содержимое в своё сообщение + сделать новый лог HijackThis.

Сделал все как вы сказали , вот лог с SDFix :

SDFix: Version 1.66

Run by Anton - Tue 02/20/2007 @ 17:33:04.93

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

COM+ Messages

Path:

"C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272

COM+ Messages Deleted

Restoring Windows Registry Entries

Restoring Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\Temp\win9E5.tmp.exe - Deleted

C:\DOCUME~1\Anton\LOCALS~1\Temp\aax99F.tmp.exe - Deleted

C:\WINDOWS\system32\unsvchosts.lzma - Deleted

C:\WINDOWS\Temp\win*.tmp - Deleted

ADS Check:

C:\WINDOWS\system32

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"

"C:\\Program Files\\DAP\\DAP.exe"="C:\\Program Files\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\Babylon\\Babylon-Pro\\Babylon.exe"="C:\\Program Files\\Babylon\\Babylon-Pro\\Babylon.exe:*:Disabled:Babylon"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Zapu\\Zapu\\wDivi.exe"="C:\\Program Files\\Zapu\\Zapu\\wDivi.exe:*:Enabled:Zapu Control"

"C:\\DOCUME~1\\Anton\\LOCALS~1\\Temp\\win21.tmp.exe"="C:\\DOCUME~1\\Anton\\LOCALS~1\\Temp\\win21.tmp.exe:*:Enabled:win21.tmp"

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Documents and Settings\All Users\DRM\Cache\Indiv03.tmp

C:\Documents and Settings\Anton\Local Settings\Application Data\Microsoft\Media Player\MTVN\Downloads\003F8D78\BIT6D6.tmp

C:\WINDOWS\Temp\EMULE6ec\Avs video converter serial keygen.zip

C:\WINDOWS\Temp\EMULE6ec\Design Works Lite v4.0 serial keygen.zip

C:\WINDOWS\Temp\EMULE6ec\Discreetmail v3 serial keygen.zip

C:\WINDOWS\Temp\EMULE6ec\Excellent Card Games Pack 2 serial keygen.zip

C:\WINDOWS\Temp\EMULE6ec\PocketPlayer v2.51 serial keygen.zip

Add/Remove Programs List:

@BIOS

AVG Anti-Spyware 7.5

Babylon

DivX Content Uploader

DMIView

eAcceleration

eMule

Face-wizard

FlashGet(JetCar)

EXPERTool

HijackThis 1.99.1

i-Cool

ICQ 5.1

High Definition Audio Driver Package - KB888111

K-Lite Codec Pack 2.77 Full

mIRC

Mozilla (1.7.8)

Microsoft Compression Client Pack 1.0 for Windows XP

Nero OEM

Nero Suite

NeroVision Express 3

Nero Media Player

NVIDIA Drivers

Remote Administrator v2.2

Adobe Flash Player 9 ActiveX

Skype 3.0

Skype add-on for IE

Winamp (remove only)

WinRAR archiver

WinZip

WTVC Codec (Remove Only)

Microsoft User-Mode Driver Framework Feature Pack 1.0

Xerox Phaser 3420 PCL 6

Lizardtech DjVu Control

AutoUpdate

PDFlib Block Plugin 3.0

Logitech SetPoint

J2SE Runtime Environment 5.0 Update 10

J2SE Runtime Environment 5.0 Update 11

MediaLife

Skype Plugin Manager

MUSICMATCHr Jukebox

Remote Control Panel

PowerDVD

DivX Codec

DivX Player

Logitech Desktop Messenger

Microsoft Office Professional Edition 2003

Microsoft Office 2003 Hebrew User Interface Pack

Microsoft Office 2003 Russian User Interface Pack

Adobe Reader 8

Spelling Dictionaries Support For Adobe Reader 8

DivX Converter

DivX Web Player

ECHO is off.

Realtek High Definition Audio Driver

Ralink Wireless LAN Card

Finished

А вот лог новый с hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 5:44:20 PM, on 2/20/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\r_server.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\eAcceleration\Station\station.exe

C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Anton\Desktop\New Folder\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [softwareStation] "C:\Program Files\eAcceleration\Station\station.exe" /b Startup

O4 - HKLM\..\Run: [stopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus

O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k