Помощь в лечении систем от нечисти

**Saule** · 5 апреля, 2007

Вообщем не знаю что делать. Уже проверила многими антивирусами, но не один эти вирусы не обнаруживает.

Эти вирусы находятся не на вашем компьютере. Просто у вас, по всей видимости, в Касперском включена функция проверки сетевых дисков (по аналогии с 5-ым:

_________

В логе можно пофиксить остатки Yahoo Companion (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

**Милли** · 5 апреля, 2007

Эти вирусы находятся не на вашем компьютере. Просто у вас, по всей видимости, в Касперском включена функция проверки сетевых дисков (по аналогии с 5-ым:

_________

В логе можно пофиксить остатки Yahoo Companion (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Я все сделала как вы сказали. И в каспере отключила проверку сетевых дисков, я правильно сделала? надо было отключить?

**Maikll** · 5 апреля, 2007

Saule: будь любезна, посмотри мои логи, а то подозрение, что какая-то гадость на компе живет. Заранее спасибо

**Saule** · 5 апреля, 2007

Я все сделала как вы сказали. И в каспере отключила проверку сетевых дисков, я правильно сделала? надо было отключить?

Выключать эту функцию было не нужно (хотя компьютер и будет работать немного быстрее), так как те вирусы из сетевой папки никуда после этого не исчезнут (просто имейте в виду, что они находятся не на вашем компьютере, а на другом, с которым у вас есть сетевое соединение). Если у вас есть такая возможность, то сообщите о них администратору вашей сети.

Saule: будь любезна, посмотри мои логи, а то подозрение, что какая-то гадость на компе живет. Заранее спасибо

Да, живет.

Cкачиваем SDFix и запускаем (это самораспаковывающийся архив).
В системном каталоге будет создана папка SDFix:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

Если после этого всё-равно останутся какие-нибудь подозрения, то желательно присоединить лог SDFix к своему сообщению.

**Maikll** · 5 апреля, 2007

Большое мерси Saule

посмотри на всякий случай лог

**Saule** · 5 апреля, 2007

Большое мерси :) Saule
посмотри на всякий случай лог

Операция прошла успешно :)

Единственное, нужно удалить архив с копиями тех вредоносных файлов, который SDFix всегда создаёт на всякий случай:

C:\SDFix\backups\

backups.zip

И еще в системе очень много временных файлов с атрибутом 'скрытный' (их список находится в этом логе после слов "Checking For Files with Hidden Attributes"; файлы с расширением .tmp), их также желательно по возможности удалить.

**Gesha45** · 5 апреля, 2007

На днях ко мне затесалась вот такая гадосьь.

C:\System Volume Information\_restore{F855F682-B0B5-48D3-9E3D-F810629BAFB9}\RP97\A0086101.exe

D:\System Volume Information\_restore{F855F682-B0B5-48D3-9E3D-F810629BAFB9}\RP97\A0086115.exe

D:\System Volume Information\_restore{F855F682-B0B5-48D3-9E3D-F810629BAFB9}\RP97\A0086154.exe

У же три дня Касперский вечером обнаруживает её на всех четырёх дисках. Удаляет, а на другой день при проверке вечером, та же картина.

Что это? И как от этого избавиться?

Изменено 5 апреля, 2007 пользователем Gesha45

**Darth Emil** · 5 апреля, 2007

Пользуюсь AkelPad'ом вместо Блокнота, даже заменил екзешник.

Только что пытаюсь открыть текстовый файл, а Акелпад говорит:

Я насторожился, скачал эту библиотеку с www.dll-files.ru, закинул в WINDOWS\System32. Заработало.

Потом пытаюсь запустить Ad-Aware SE Professional, вылетает с такой ошибкой:

Вопрос: Что я подцепил? Как и чем лечить? Чем это чревато? И не затронуты ли дистры программ? :)

Изменено 5 апреля, 2007 пользователем Darth Emil

**Saule** · 5 апреля, 2007

У же три дня Касперский вечером обнаруживает её на всех четырёх дисках. Удаляет, а на другой день при проверке вечером, та же картина.
Что это? И как от этого избавиться?

Вам нужно просто отчистить папки System Volume Information, так как у антивируса "как бы нет доступа" на удаление вирусов из этих папок (это особенность операционной системы Windows):

Для этого кликаем правой кнопкой мыши на "My Computer" ("Мой Компьютер") и заходим в "Properties" ("Свойства").

Находим закладку "System Restore" ("Восстановление Системы") и ставим галочку напротив "Turn off System Restore on all drives" ("Запpетить Восстановление Системных файлов на всех дисках").

Затем на "Apply" ("Пpименить").

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".

Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

После этого папки System Volume Information будут чистыми.

**Saule** · 5 апреля, 2007

Вопрос: Что я подцепил? Как и чем лечить? Чем это чревато? И не затронуты ли дистры программ?

Скорее всего, ты ничего не цеплял.

Возможно, сначала какой-нибудь деинсталлятор удалил эту библиотеку, считая, что в систему поставил её именно он (такое встречается в криво написанных инсталляторах, которые вместе с программой устанавливают некоторые системные библиотеки Windows, необходимые для работы этой программы; несмотря на то, что Microsoft явным образом запрещает так делать).

А затем, также возможно, ты скачал неподходящую для тебя версию riched20.dll (потому что Ad-Aware также ругается именно на эту библиотеку).

Попробуй выполнить команду sfc /scannow (подробнее в этом посте)

Если же всё-таки есть подозрения на какой-нибудь вирус, то нужно сделать хотя бы лог HijackThis

**Darth Emil** · 5 апреля, 2007

Если же всё-таки есть подозрения на какой-нибудь вирус, то нужно сделать хотя бы лог HijackThis

Logfile of HijackThis v1.99.1Scan saved at 1:33:27, on 06.04.2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\TGTSoft\StyleXP\StyleXPService.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\mHotkey.exeC:\program files\tgtsoft\stylexp\stylexp.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Rainmeter\Rainmeter.exeC:\Program Files\Total Commander XP\Totalcmd.exeC:\WINDOWS\explorer.exeC:\Program Files\AlfaClock\AlfaClock.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exeC:\Program Files\Agnitum\Outpost Firewall\outpost.exeC:\Program Files\Download Master\dmaster.exeC:\Program Files\Winamp\Winamp.exeC:\Program Files\QIP\qip.exeC:\Program Files\Mozilla Firefox\firefox.exeE:\Кто тронет - убью!!!\Антивирусы\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dllO2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLLO2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dllO2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dllO3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dllO3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dllO3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLLO4 - HKLM\..\Run: [CHotkey] mHotkey.exeO4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exeO4 - HKCU\..\Run: [sTYLEXP] C:\program files\tgtsoft\stylexp\stylexp.exe -HideO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [AlfaClock Classic] "C:\Program Files\AlfaClock\AlfaClock.exe" /startupO4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exeO4 - Startup: Rainmeter.lnk = C:\Program Files\Rainmeter\Rainmeter.exeO4 - Startup: TC.lnk = C:\Program Files\Total Commander XP\Totalcmd.exeO8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Pro\Add_UrlO.htmO8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Pro\Add_AllO.htmO8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htmO8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htmO8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htmO8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htmO9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dllO9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htmO9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htmO9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htmO9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htmO9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exeO9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exeO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exeO9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO17 - HKLM\System\CCS\Services\Tcpip\..\{52DDBE44-DDAE-4056-9D16-A6E8D182EB3F}: NameServer = 82.200.130.10 212.19.149.53O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exeO23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

Попробуй выполнить команду sfc /scannow

Ну я восстановление системы вырубил вообще-то...

**Saule** · 5 апреля, 2007

Logfile of HijackThis v1.99.1

В логе действительно ничего плохого не видно.

Ну я восстановление системы вырубил вообще-то...

А к System Restore эта команда никакого отношения не имеет

При запуске

sfc.exe

проверяет версии всех системных файлов ОС и если при этой проверке вдруг обнаружится, что какой-либо из файлов был изменен, то он заменяется на его исходную версию, которая копируется из папки system32\

dllcache

, либо (в случае его отсутствия там) из папки, содержащей установочные файлы ОС (именно поэтому в процессе выполнения этой процедуры иногда требуется вставить в CD-ROM установочный диск вашей Windows).

Попробуй, вполне возможно, что всё заработает так, как надо.

**Darth Emil** · 6 апреля, 2007

Увы, sfc /scannow не помог... Ad-Aware SE Professional вылетает с ошибкой, переустановка не помогает.

**NickGolovko** · 6 апреля, 2007

Увы, sfc /scannow не помог... Ad-Aware SE Professional вылетает с ошибкой, переустановка не помогает.

У вас XP или Vista? 32-bit или 64-bit?

**Saule** · 6 апреля, 2007

Увы, sfc /scannow не помог... Ad-Aware SE Professional вылетает с ошибкой, переустановка не помогает.

Разработчики Ad-Aware также объясняют эту ошибку устаревшими версиями или отсутствием в системе библиотек riched20.dll или riched32.dll.

**Darth Emil** · 6 апреля, 2007

У вас XP или Vista? 32-bit или 64-bit?

Windows XP Pro SP2 Rus 32bit. Раньше Ad-Aware SE Professional работал! Сдаётся мне что всему виной ICQ 5.1 Lite с русиком и Google Talk, которые я ставил для пробы

Тьфу... вот дела: скачал библиотеку riched32.dll, закинул в system32... Заработало!

Наверное впрям кривой инсталлятор...

Изменено 6 апреля, 2007 пользователем Darth Emil

**Gesha45** · 6 апреля, 2007

Saule:

Вам нужно просто отчистить папки System Volume Information, так как у антивируса "как бы нет доступа" на удаление вирусов из этих папок (это особенность операционной системы Windows):
Для этого кликаем правой кнопкой мыши на "My Computer" ("Мой Компьютер") и заходим в "Properties" ("Свойства").

Находим закладку "System Restore" ("Восстановление Системы") и ставим галочку напротив "Turn off System Restore on all drives" ("Запpетить Восстановление Системных файлов на всех дисках").

Затем на "Apply" ("Пpименить").

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".

Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

После этого папки System Volume Information будут чистыми.

Спасибо, всё стало в норме. :)

Таким способом очистить не докадался бы. Я искал эту папку через поиск, но безрезультатно.

А чем опасна эта зараза? Или просто сидит и действует на нервы? :)

**ser208** · 6 апреля, 2007

А чем опасна эта зараза? Или просто сидит и действует на нервы?

Воспользуешься восстановлением системы--зараза выплывет на свет.

**Romeozzz** · 6 апреля, 2007

И снова здравствуйте уважаемая Saule!

Опять я к Вам с моей проблемой открытия/всплытия непонятных окон....на сей раз называет себя "CID"...

Посмотрите пожалуйста мой лог...чего в нём не так?

Спасибо =)

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:08:40, on 06.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\soundman.exe

C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\Clock Tray Skins\ClockTraySkins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Documents and Settings\Romeozzz\Рабочий стол\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MAgent] "C:\Program Files\Mail.Ru\Agent\MAgent.exe" -LM

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [Memo Ball Link Remote] C:\Documents and Settings\All Users\Application Data\Each Bird Memo Ball\Cashshow.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [skinClock] C:\Program Files\Clock Tray Skins\ClockTraySkins.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ProxyThird] C:\DOCUME~1\Romeozzz\APPLIC~1\CLOCKR~1\Part Bait.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 6885 bytes

**Saule** · 6 апреля, 2007

Посмотрите пожалуйста мой лог...чего в нём не так?

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Memo Ball Link Remote] C:\Documents and Settings\All Users\Application Data\Each Bird Memo Ball\Cashshow.exe

O4 - HKCU\..\Run: [ProxyThird] C:\DOCUME~1\Romeozzz\APPLIC~1\CLOCKR~1\Part Bait.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть).

2. Перезагружаем компьютер.

3. Находим и удаляем следующие папки:

C:\Documents and Settings\All Users\Application Data\Each Bird Memo Ball

Documents and Settings\Romeozzz\Application Data\CLOCKR...... - точное название этой папки, к сожалению, по логу не видно, но оно начинается на Clockr. Думаю, что других папок в том месте с таким же началом не будет.

Если всплывающие окошки вдруг после этого не пропадут, то тогда сделайте, пожалуйста, следующее:

1. Открыв HijackThis, нажимаем на кнопку Open the Misc Tools selection (если у вас программа открывается без начального фрейма, то сначала нужно будет нажать на кнопку Main Menu), затем Open Uninstall Manager и затем на Save list....

Это сохранит список программ из "Установка и удаление программ" ("Add or Remove Programs") в текстовый файл - uninstall_list.txt.

Скопируйте его содержание в своё сообщение.

+

2. Скачиваем утилиту NoLop, запускаем и нажимаем на кнопку Search and Destroy:

Если вдруг ею что-нибудь будет найдено, компьютер нужно будет перегрузить (кнопка REBOOT; программа вам скажет об этом в своем сообщении). Но скорее всего найдено ничего не будет, а меня интересует лог этой утилиты, который будет создан после её сканирования в папке на диске C:

C:\

NoLop.log

**Saule** · 6 апреля, 2007

А чем опасна эта зараза? Или просто сидит и действует на нервы?

Дело в том, что зараза там могла быть совершенно любая и не это по сути было в данном случае важно. Важно было то, где именно она находилась.

System Volume Information

- это папки, в которые Windows копирует данные для функции восстановления системы. Т.е. там хранятся так называемые контрольные точки восстановления, которые по умолчанию создаются системой автоматически как минимум каждый день (более подробно можно почитать здесь:

Восстановление системы с помощью функции System Restore

http://www.softboard.ru/index.php?s=&showtopic=37015&view=findpost&p=299964' rel="external nofollow">

).

И вот сама ситуация была примерно следующая. Вы случайно ловите вирус, который сразу же блокируется Касперским. Но ваша система к тому времени уже успевает скопировать копии этого вируса в свои папки для System Restore

Через некоторое время Касперский это обнаруживает и соответственно начинает ругаться. Но доступа на удаление чего бы то ни было из этих папок у антивируса нет (так как в противном случае смысла в функции System Restore не было бы никакого). И наиболее простой выход из такой ситуации - это удаление всего содержимого из этих папок, что и было сделано выше.

**Romeozzz** · 6 апреля, 2007

Saule, будте так любезны...сделал всё как Вы сказали...пока окна не выскакивали =)

Спасибо! )

Вот новый лог HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 20:48:40, on 06.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\soundman.exe

C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Clock Tray Skins\ClockTraySkins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\NOTEPAD.EXE