Помощь в лечении систем от нечисти

**Roman_VK** · 6 марта, 2007

2SAULE:

Хочу сказать Вам спасибо, всё таки хорошо что ещё есть такие люди, как Вы ;)

**Saule** · 6 марта, 2007

Как только запускаю какую-нибудь программу у меня появляется окно IE и пытается что-то загрузить

Из чего вы сделали вывод, что он пытается что-либо загрузить? И не сделаете ли вы скриншот окна IE, которое открывается?

В любом случае можно попробовать сделать следующее:

Скачиваем

AVZ

http://z-oleg.com/avz4.zip' rel="external nofollow">

, распаковываем и запускаем.

В верхнем меню программы нажимаем:

Файл > Восстановление системы

В открывшемся приложении отмечаем галочкой "Восстановление параметров запуска .exe, .com, .pif файлов" и нажимаем на кнопку "Выполнить отмеченные операции".

По логу пофиксите следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

O1 - Hosts: Lavasoft Ad-aware Professional Build 162

O1 - Hosts: Logfile created on :19 февраля 2006 г. 13:22:59

O1 - Hosts: Using reference-file :0R114 09.02.2003

O1 - Hosts: ______________________________________________________

O1 - Hosts: Ad-aware Settings

O1 - Hosts: =========================

O1 - Hosts: Set : Activate in-depth scan (Recommended)

O1 - Hosts: Set : Move deleted files to recycle bin

O1 - Hosts: Set : Safe mode (always request confirmation)

O1 - Hosts: Set : Scan active processes

O1 - Hosts: Set : Scan registry

O1 - Hosts: Set : Deep scan registry

O1 - Hosts: Set : Scan my IE Favorites for banned URLs

O1 - Hosts: 13:22:59 Scan complete

O1 - Hosts: Summary of this scan

O1 - Hosts: ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ

O1 - Hosts: Total scanning time :00:00:00:0

O1 - Hosts: Objects scanned :0

O1 - Hosts: Objects identified :0

O1 - Hosts: Objects ignored :0

O1 - Hosts: New objects :0

O4 - HKLM\..\Run: [taskmgt.exe] C:\WINDOWS\system32\taskmgt.exe

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

P.S. И на всякий случай, как сделать скриншот:

Когда откроется окно, которое нужно "сфотографировать", нажмите на клавиатуре клавишу Print Screen (Prt Scr). Как правило, она находится сразу же за клавишей F12, но в зависимости от ваше клавиатуры местоположение может и отличатся.

Затем запустите программу Paint и нажмие в её верхнем меню:

Правка > Вставить (Edit > Paste)

После чего в меню Файл (File) выберите Сохранить как..(Save as...)

Введите название файла и сохраните его (желательно в формате JPEG/JPG, так как в нём изображение занимает меньше места, чем предлагаемый по умолчанию формат BMP).

**Saule** · 6 марта, 2007

Вот новый лог:

Попробуйте скачать на рабочий стол Look2Me-Destroyer.exe, после чего нужно закрыть все открытые окна и запустить эту программу.

Ставим галочку рядом с надписью "Run this program as a task".

Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute...".

Нажимаем OK (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.

При повторном включении Look2Me-Destroyer нажимаем на кнопку "Scan for L2M".

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M".

Затем ОК и, когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого компьютер выключится.

Включаем его обратно и проверяем, нормализовалась ли работа системы.

P.S. Если вдруг с помощью Look2Me-Destroyer ничего найдено не будет, то сообщите об этом.

**Astra** · 7 марта, 2007

Недавно где-то словила вирус Backdoor.Trojan - мой антивирусник (Norton AntiVirus 2004 с обновлёнными базами) удалить его не может.

Источник вируса, Norton показывает по такому адресу: C:\DOCUME~1\tester\LOCALS~1\Temp\maindll.dll

Я открывала эту папку, и пыталась в ручную, и с помощью DeletDoctor'а удалить файл maindll.dll - но он не удаляется... А может maindll.dll и вовсе не нужно удалять? Ведь вирус называется Backdoor.Trojan - но почему тогда антивирусник показывает его источник именно в maindll.dll ?

Вобщем-то система вроде работает, но при её загрузке стало появляться окно: ''ie_updater.exe - обнаружена ошибка. Приложение будет закрыто''.

Пожалуйста, подскажите что делать???

И ещё, у меня 7 процессов SVCHOST.EXE - это нормально?

Мне кажется как-то подозрительно у меня стал тратиться интернет-траффик - может из-за вируса?

(Хочу сразу прдупредить, что загружаться в безопасном режиме я не умею...)

**egils** · 7 марта, 2007

Попробуйте скачать на рабочий стол Look2Me-Destroyer.exe, после чего нужно закрыть все открытые окна и запустить эту программу.

1.Эта зараза на этой машине уже была примерно полгода обратно. Лечил (и кажется - вылечил) как описано в этой же теме раньше, правда симптомы болезни были не такими как сейчас, а как те, что описаны ранее.

2.Работа системы без какой либо причины нормализовалась вчера , 06.03.07.

3.Сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" программа выдала. Значит ли это, что было что лечить?

4.Человек, работающий за этой машиной, посещает очень ограниченное количество сайтов, и никак не "xxx, porno, crack, varez,..." . Где он это постоянно ловит ?

5. Есть ли что либо, с помощью чего я мог бы увидеть, что или кто (какая программа) лезет в интернет (к тому же создавая огромный поток данных) или из интернета и, соответсвенно, сии действа пресекать вручную?

Еще раз спасибо, что уделили мне внимание !

**Astra** · 7 марта, 2007

На предыдущей странице я спрашивала - как удалить Backdoor.Trojan - в другом топике мне посоветовали скачать программу HijackThis, я скачала и просканировала ей компьютер. Вот выкладываю здесь лог, который она выдала:

Logfile of HijackThis v1.99.1

Scan saved at 14:46:54, on 07.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\acer\epm\epm-dm.exe

C:\PROGRA~1\LAUNCH~1\LManager.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\DOCUME~1\tester\LOCALS~1\Temp\Rar$EX00.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common

Files\ReGet Shared\Catcher.dll

O2 - BHO: VPNS System - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - C:\WINDOWS\iedrives.dll

O2 - BHO: On-line Card Helper - {7E7D4BB8-E332-4441-8999-F613E3BE8D83} - C:\Program Files\ON-LINE

CARD\NameSpaceHandler.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton

AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton

AntiVirus\NavShExt.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11

\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet

Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet

Shared\CC_Link.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program

Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft

ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator

DIAMOND\PROMTIE4\promtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-

Translator DIAMOND\PROMTIE4\promtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator

DIAMOND\PROMTIE4\options.htm

O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} -

C:\Program Files\X-Translator DIAMOND\PROMTIE4\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe

O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-Translator

DIAMOND\PROMTIE4\promtie5.htm (HKCU)

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\X-

Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU)

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\X-Translator

DIAMOND\PROMTIE4\options.htm (HKCU)

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program

Files\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU)

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) -

https://w3s.webmoney.ru/WMAcceptor.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32

\fgceffx.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. -

C:\Acer\eManager\anbmServ.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program

Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common

Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common

Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common

Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт -

C:\WINDOWS\system32\imapi.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia

Shared\Service\Macromedia Licensing.exe

O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\tester\ie_updater.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton

AntiVirus\navapsvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1

\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common

Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec

Shared\Security Center\SymWSC.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт -

C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32

\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт -

C:\WINDOWS\system32\wbem\wmiapsrv.exe

Объясните пожалуйста, есть здесь признаки этого паразита???

**Милли** · 7 марта, 2007

До переустановки? Или вы имели в виду всё-таки до перезагрузки? (т.е. если я правильно поняла, то вы удалили вирус, перезагрузили компьютер, а когда включили его обратно, то пропал доступ к дискам?).

И еще, извиняюсь, но немного не понятно, что означает запуск дисков с рабочего стола. У вас там просто были ярлыки (Shortcuts) к этим дискам? А если попробовать создать новые?

Здравствуй Saule. Сейчас объясню. Именно после переустановки винды. Я такая, что сначало сделаю, а потом подумаю ;) У меня на компе три диска, два из них я отформатировала и все наладилось. Да, ярлыки, снова открываются с рабочего стола. Но диск С так и не смогла отформатировать, буквально за минуту до окончания форматирования пишет, что НЕ УДАЕТСЯ ЗАВЕРШИТЬ ФОРМАТИРОВАНИЕ. Новые ярлыки если сделать они то же не открываются с рабочего стола. Сейчас диск С можно открыть только та: Мой компьютер, наверху слово ПАПКИ и уже с этого дерева открываю диск С. А если открыть как обычно, например с рабочего стола, то пишет что НЕ УДАЕТСЯ НАЙТИ ФАЙЛ СЦЕНАРИЯ "с:autorn.vbs." Вот плиз новый лог

Logfile of HijackThis v1.99.1

Scan saved at 0:21:44, on 08.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\trafinspag.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe

C:\Program Files\Days\TimeDays.exe

C:\Program Files\QIP\qip.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ЯНОЧКА~1.АРТ\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [NetBlock Pro Agent] C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe 1

O4 - Startup: TimeDays!.lnk = C:\Program Files\Days\TimeDays.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Спасибо!

**Lar** · 7 марта, 2007

Огромное спасибо Saule за помощь.Не мог ответить раньше-были проблемы с инетом

**Saule** · 7 марта, 2007

Объясните пожалуйста, есть здесь признаки этого паразита???

Есть.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строчки:

O2 - BHO: VPNS System - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - C:\WINDOWS\iedrives.dll

O2 - BHO: On-line Card Helper - {7E7D4BB8-E332-4441-8999-F613E3BE8D83} - C:\Program Files\ON-LINE

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\fgceffx.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Теперь нажимаем:

Пуск > Выполнить (Start > Run)

Копируем в строку: services.msc

Нажимаем ОК или клавишу ENTER.

Находим в списке служб: ieupdater

Правой кнопкой мыши кликаем по этой службе двойным кликом.

Затем, если возможно, нажимаем на кнопку Стоп (Stop) и затем изменяем Тип её запуска (Startup type) на положение Отключено (Disabled).

Сохраняем изменения - Применить и ОК (Apply и ОК).

У меня такой службы соответственно нету, поэтому, чтобы вы "не потерялись" скрин окошка другой службы:

3. Перезагружаем компьютер.

4. Снова нажимаем:

Пуск > Выполнить (Start > Run)

Копируем в строку: sc delete ieupdater

Нажимаем ОК или ENTER.

5. Находим и удаляем следующие файлы:

C:\WINDOWS\system32\

fgceffx.dll

C:\Documents and Settings\All Users\Документы\Settings\

partnership.dll

И после этого желательно сделать новый лог HijackThis, так как боюсь, что последние файлы могут так просто не удалиться и поэтому с ними придеться делать чуть по-другому. Но вы всё равно сначала попробуйте.

**Saule** · 8 марта, 2007

А если открыть как обычно, например с рабочего стола, то пишет что НЕ УДАЕТСЯ НАЙТИ ФАЙЛ СЦЕНАРИЯ "с:autorn.vbs."

Попробуйте скачать следующий файл:

forMilli.rar

Распаковываем и запускаем (это командный файл, который выполнит необходимую чистку). После чего перезагружаем компьютер (чистка будет длиться буквально пару секунд) и проверяем исправилась ли ситуация.

Если вдруг не исправилась, то сообщите об этом.

forMilli.rar

**Милли** · 8 марта, 2007

Попробуйте скачать следующий файл:

forMilli.rar

Распаковываем и запускаем (это командный файл, который выполнит необходимую чистку). После чего перезагружаем компьютер (чистка будет длиться буквально пару секунд) и проверяем исправилась ли ситуация.

Если вдруг не исправилась, то сообщите об этом.

Супер!!! :) Огромное спасибо вам дорогая Saule!!! Все наладилось. Если есть время скажите пожал. можно ли эту програмку оставить и пользоваться ей дальше и еще у меня на ноут буке почти то же самое, так же не открываются диски. могу ли я эту прогу использовать для ноутбука?! Еще раз огромное спасибо!!!

**Дельфина** · 8 марта, 2007

Я очень извиняюсь, но не понимаю, что стало происходить с компом.... Интернет стал ужастно тормозить,выскакивают какие то страницы и програмка XenAntiSpyware нашла кучу непонятных процессов типа rsvp32_2.dll

Мне так кажется вирус.... не подскажете?

Скачала программу HijackThis

Вот , что выдало

Logfile of HijackThis v1.99.1

Scan saved at 9:03:42, on 08.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\svchosts.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\adirss.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Common Files\{7C14F2FD-0C80-1049-0609-040105050007}\Update.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\BinarySense\HDDlife\hddlifepro.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\SYSTEM32\adirka.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\User\Мои документы\avz4\avz.exe

C:\Program Files\XenAntiSpyware\XenAntiSpyware.exe

C:\Documents and Settings\User\Мои документы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Shell Doc Object and Control Helper Class - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\shdocvs.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: VPNS System - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - C:\WINDOWS\iedrives.dll

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [uIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\hddlifepro.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} (WeeklyExecuter Class) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{93906EC4-9D7B-4EAE-8244-0FE9819206FD}: NameServer = 80.70.224.2,80.70.224.4

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: CDRecorder031 - {A3BC5E20-0235-1ABF-9CE1-00AA00512031} - C:\WINDOWS\system32\pszq32.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000271 (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

**Дельфина** · 8 марта, 2007

Прочитала список того, из за чего стоит нервничать..собственно уже начинаю, т.к. нижеперечисленное тоже происходит.... (((

Спонтанная перезагрузка компьютера, без вашего в этом участия.

Появление критических и системных ошибок там, где их раньше никогда не было.

Резко увеличилось время загрузки операционной системы.

**-=stalnoy=-** · 8 марта, 2007

Привет.

Чо-то недавно опять глюки полезли.

правый клик отвалился.

Проверил вроде все чисто.

Посмотрите на всякий случай:

Logfile of HijackThis v1.99.1

Scan saved at 11:56:50, on 08.03.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\!!!!!RESERV!!!!!!\!!!SOFTWARE!!!\!!!ЗАЩИТА!!!\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://my.foto.mail.ru/ImageUploader4.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.117.66.227:84/activex/AxisCamControl.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{703DF741-1021-4A5A-875E-6870F967684D}: NameServer = 192.168.100.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{722EB47F-9B1F-4321-9437-559C09217E7B}: NameServer = 212.188.4.10 195.34.32.116

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing)

O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Program Files\Common Files\Logitech\Bluetooth\LBTSERV.EXE (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Intel NCS NetService (NetSvc) - Unknown owner - c:\Program Files\Intel\NCS\Sync\NetSvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

**Saule** · 8 марта, 2007

Сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" программа выдала. Значит ли это, что было что лечить?

Нет, это стандартное сообщение. Если было бы что лечить, то вы бы видели список зараженных файлов на удаление уже после сканирования.

Человек, работающий за этой машиной, посещает очень ограниченное количество сайтов, и никак не "xxx, porno, crack, varez,..." . Где он это постоянно ловит ?

Сложно сказать, так как вариантов может быть много. Но наиболее распространенными остаются:

запуск пользователем какого-либо приложения или программы;
электронная почта и открытие писем;
посещение случайных ссылок в инете (совсем не обязательно xxx, porno, crack или varez содержания);
файлообменные сети;
сменные носители информации (грубо говоря, знакомый пришел со своей флешкой, которая перед этим побывала на зараженном компьютере, но сам этот знакомый сам о заражении пока что тоже просто не знает...);
через уязвимости операционной системы, в случае если во время не устанавливались нужные обновления.

Есть ли что либо, с помощью чего я мог бы увидеть, что или кто (какая программа) лезет в интернет (к тому же создавая огромный поток данных) или из интернета и, соответсвенно, сии действа пресекать вручную?

Для этого обычно устанавливается файрволл (он же брандмауэр, он же межсетевой экран).

Топик: Firewall - Что это такое.

Либо в качестве более легкого варианта можно использовать, например, TCPView (бесплатная программа Марка Руссиновича, работает без инсталляции). Или более постоянное приложение - NetLimiter 2 Monitor (3-я сверху; также бесплатна).

**Saule** · 8 марта, 2007

Супер!!! ;) Огромное спасибо вам дорогая Saule!!! Все наладилось. Если есть время скажите пожал. можно ли эту програмку оставить и пользоваться ей дальше и еще у меня на ноут буке почти то же самое, так же не открываются диски. могу ли я эту прогу использовать для ноутбука?!

Эта программка устраняет только последствия того вируса, который у вас раньше был (т.е. для других случаев она бесполезна).

Если это понятно, то использовать можно: но при условии, что системный диск на этом ноутбуке также является диском С (!). Если вдруг потребуется "починить доступ" к какому-либо другому, то её нужно немножечко изменить. Поэтому либо напишите об этом, либо можно сделать это и самостоятельно (для этого надо открыть этот файл с помощью простого Блокнота (Notepad) и заменить в каждой строке: C:\ на то, что вам нужно, например, на D:\).

И еще такой момент, если у вас были заражены оба компьютера. Возможно, есть смысл подумать, каким именно образом вы заразились. Не пользуетесь ли случайно USB-флешками (USB Flash Memory Storage) или может быть недавно у кого-нибудь что-то подобное брали? И в случае, если действительно пользуетесь, обязательно проверьте их содержимое с помощью антивируса. Говорю об этом просто на всякий случай.

**Saule** · 8 марта, 2007

Интернет стал ужастно тормозить,выскакивают какие то страницы и програмка XenAntiSpyware нашла кучу непонятных процессов типа rsvp32_2.dll
Мне так кажется вирус.... не подскажете?

И даже не один((

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: Shell Doc Object and Control Helper Class - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\shdocvs.dll

O2 - BHO: VPNS System - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - C:\WINDOWS\iedrives.dll

O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} (WeeklyExecuter Class) -

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll

O21 - SSODL: CDRecorder031 - {A3BC5E20-0235-1ABF-9CE1-00AA00512031} - C:\WINDOWS\system32\pszq32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).
Cкачиваем SDFix
Распаковываем и запускаем SDFix.exe (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix. В вашем случае она будет здесь:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

После этого желательно скопировать содержимое отчёта SDFix в своё сообщение здесь + сделать новый лог HijackThis, т.к. возможно, этого для полного лечения будет еще не достаточно.

**Дельфина** · 8 марта, 2007

Все сделала. Теперь у меня постоянно выскакивает табличка типа :

winlogon.exe - Ошибка приложения

Инструкция по адресу такому то, обратилась к памяти такой то, память не может быть использована

и две кнопки ок и кенсл

Нажимаю любую из них - комп гаснет и через какое то время перезагружается... и опять с этой табличкой

Не нажимаю ничего - все грузится, но табличка так и висит... что это может быть?

отчёт SDFix

SDFix: Version 1.69

Run by User - 08.03.2007 @ 16:33:02,60

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

Client IP-IPX

SVKP

wincom32

Path:

"C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000271

\??\C:\WINDOWS\system32\SVKP.sys

\??\C:\WINDOWS\system32\wincom32.sys

Client IP-IPX Deleted

SVKP Deleted

wincom32 Deleted

Restoring Windows Registry Entries

Restoring Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Below files will be copied to Backups folder then removed:

C:\Documents and Settings\User\Local Settings\Temp\6.dllb - Deleted

C:\Documents and Settings\User\Local Settings\Temp\7.dllb - Deleted

C:\WINDOWS\system32\ma.exe.exe - Deleted

C:\WINDOWS\system32\pp.exe.exe - Deleted

C:\WINDOWS\system32\zu.exe.exe - Deleted

C:\DOCUME~1\User\LOCALS~1\Temp\_check32.bat - Deleted

C:\DOCUME~1\User\LOCALS~1\Temp\_td129.tmp - Deleted

C:\WINDOWS\s32.txt - Deleted

C:\WINDOWS\search_res.txt - Deleted

C:\WINDOWS\system32\adirss.exe - Deleted

C:\WINDOWS\system32\dd.exe - Deleted

C:\WINDOWS\system32\dlh9jkd1q6.exe - Deleted

C:\WINDOWS\system32\dlh9jkd1q7.exe - Deleted

C:\WINDOWS\system32\dlh9jkd1q8.exe - Deleted

C:\WINDOWS\system32\lnwin.exe - Deleted

C:\WINDOWS\system32\qvxga6met3.exe - Deleted

C:\WINDOWS\system32\sm.exe - Deleted

C:\WINDOWS\system32\svcp.csv - Deleted

C:\WINDOWS\system32\SVKP.SYS - Deleted

C:\WINDOWS\system32\unsvchosts.exe - Deleted

C:\WINDOWS\system32\wincom32.ini - Deleted

C:\WINDOWS\system32\winsub.xml - Deleted

C:\WINDOWS\system32\zlbw.dll - Deleted

C:\WINDOWS\ws386.ini - Deleted

Could Not Remove C:\WINDOWS\system32\svchosts.exe

ADS Check:

C:\WINDOWS\system32

No streams found.

Final Check:

Remaining Services:

------------------

Remaining Files:

---------------

C:\WINDOWS\system32\rsvp32_2.dll Found - LSP!

C:\WINDOWS\system32\svchosts.exe Found

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

C:\Documents and Settings\All Users\„®Єг¬Ґвл\Settings\winsys2f.dll

C:\WINDOWS\fsrv.dll

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp.LOG

C:\Documents and Settings\NetworkService\NTUSER.DAT.tmp.LOG

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp.LOG

C:\Documents and Settings\User\NTUSER.DAT.tmp.LOG

C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp.LOG

C:\Documents and Settings\User\Local Settings\Temp\winA919.tmp

C:\WINDOWS\system32\config\default.tmp.LOG

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG

C:\WINDOWS\system32\config\software.tmp.LOG

C:\WINDOWS\system32\config\system.tmp.LOG

C:\WINDOWS\system32\msdrives\BIT6.tmp

Add/Remove Programs List:

4WomenOnly 5.2

55mm v6 for Adobe Photoshop & Compatible Applications

AD Sound Recorder 2.4

Addon XP

ArtMoney SE v7.22

ASCII Art Generator 3.2.2

Ashampoo UnInstaller Platinum 2

AutoCombats.info

Beauty Pilot 1.10

C-Media USB Mass Storage Driver

Color Correction Wizard 1.0

DCE Tools 1.0

Uninstall DreamSuite Bonus

Error Messages for Windows

EspAnadir Clasific Pro RE

Alien Skin Exposure

Alien Skin Eye Candy 5 Nature

Fish Tycoon

Framing Studio 1.43

HijackThis 1.99.1

ICQ 5.1

Microsoft Internationalized Domain Names Mitigation APIs

Windows Internet Explorer 7

ImageSkill BackgroundRemover_Demo (remove only)

InCD

ђҐиҐЁп д Єб Lexmark

Jasc Paint Shop Pro 9 GDI+ Patch

Jasc Paint Shop Pro 9.01 - (9.0.1.1)

Jasc Paint Shop Pro 9.01 Patch

jv16 PowerTools 2006

High Definition Audio Driver Package - KB835221

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB873333

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB873339

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB885250

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB885835

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB885836

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB886185

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB887472

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB887742

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB887797

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB888113

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB888302

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB890175

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB890859

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB891781

Џ ЄҐв ЁбЇа ў«ҐЁ© ¤«п Windows XP - KB893086

Ѓ §®ўл© Ї ЄҐв Ї®бв ўйЁЄ б«г¦Ўл ЄаЁЇв®Ја дЁЁ б¬ ав-Є ав (Microsoft)

Security Update ¤«п Microsoft .NET Framework 2.0 (ЉЃ917283)

Kerish Doctor 2006 (Version 3.30)

Lexmark P910 Series

Lexmark Supplies Monitor

L&H TTS3000 Deutsch

L&H TTS3000 Russian

Living 3D Dolphins Screen Saver

Maxthon Browser (remove only)

Microsoft .NET Framework 1.1

Microsoft .NET Framework 2.0

mpegable Player

mpegable X4 live

Mail.Ru Agent

InCD Reader

Microsoft Compression Client Pack 1.0 for Windows XP

Nero OEM

Nero Suite

NeroVision Express 2

Microsoft National Language Support Downlevel APIs

Nero Media Player

NeroVision Express 2 Content

NVIDIA Drivers

Photo Click 1.27

Photo Frame Show

Photo Frames 1.89

Photo Gadget Pro

Photo Gadget

Intel® PRO Network Adapters and Drivers

QIP 2005 Uninstall

Reg Organizer 4.0 RC1

Salon Styler Pro 5.21 ђгббЁдЁЄ в®а

SAMSUNG CDMA Modem Driver Set

SAMSUNG Mobile USB Modem Software

SAMSUNG Mobile USB Modem 1.0 Software

Macromedia Flash Player 8

SolveigMM AVI Trimmer

Lernout & Hauspie TruVoice American English TTS Engine

SAMSUNG Mobile USB Modem ^^

Windows Live Safety Scanner

Џа®ЁЈалў вҐ«м Windows Media 11

Windows XP Service Pack 2

WinMediaCodec 9.0

ЂаеЁў в®а WinRAR

Wire Pilot 1.00

Microsoft User-Mode Driver Framework Feature Pack 1.0

XenAntiSpyware 4.3.0

Your Uninstaller! 2006 Version 5

Macromedia Flash Player

Sketch

Picture Package

Microsoft .NET Framework 1.1 Russian Language Pack

Logitech SetPoint

Photofile Manager

ASUS Enhanced Display Driver

Aurelon PhotoPro PhotoTools

Enhancer

Coloriage

WIndows 98se Mass Driver

Photo Crop Editor 1.06

Noiseware Professional Edition

Logitech G-series Keyboard Software

Seavus Project Viewer 2.7.0 Trial

Sony USB Driver

Windows Genuine Advantage v1.3.0254.0

Microsoft Private Folder 1.0

Kodak DIGITAL GEM Professional Plug-In 2.0.0

WebMoney Keeper Classic 3.1.0.0

Skype Recorder v1.2

Microsoft .NET Framework 2.0

Ulead Photo Express 6

Lexmark Fax Solutions

Samsung Samples Installer

Noise Buster

Noiseware Professional Plug-in

Samsung PC Studio

DiscWizard for Windows

Stamp

Decorator

Adobe Reader 7.0.9

Samsung PC Studio

Microsoft XML Parser

Microsoft .NET Framework 1.1

Adobe Photoshop Lightroom

Portraiture Plug-in

HDDlife

Kodak DIGITAL GEM Airbrush Professional Plug-In 2.0.0

PhotoFrame Pro 3.0 Demo

XMLinst

Samsung PC Studio 3 USB Driver Installer

X-Translator Revolution Giant

Realtek High Definition Audio Driver

Jasc Paint Shop Pro 9

ImageMixer VCD2

ђ биЁаҐЁҐ HighMAT ¤«п ¬ бвҐа § ЇЁбЁ Є®¬Ї Єв-¤ЁбЄ®ў бЁбвҐ¬л Microsoft Windows XP

Finished

Logfile of HijackThis v1.99.1

Scan saved at 17:25:58, on 08.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\BinarySense\HDDlife\hddlifepro.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\Maxthon\Maxthon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\User\Мои документы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16