Помощь в лечении систем от нечисти

[ser208]

Есть веская причина. Пароли с мыла пропадают.

Из браузерного и из стационарного.

Где дырка может быть???

Как найти??

Помогите плз.

Похоже на работу Pinch.

NetMeeting Remote Desktop отключи.

Скачай и запусти AVZ, выкладывай логи, как раньше описано спецами.

Как они пропадают? Твою почту кто-то забирает или что?

Изменено 7 апреля, 2007 пользователем ser208

[Smile:)]

Хочу выразить огромную признательность Вам, Saule, за столь тяжкий и неблагодарный труд. Пусть Вам всегда сопутствует удача. Ваш труд ценен для каждого, в чем и я успел убедится. Я думаю, я солидарен со многими в своих пожеланиях. Еще раз хочу отметить Ваш энтузиазм и преданность. Спасибо, что Вы есть.

__

Пусть немного помпезно, зато искренне.

С уважением, Smile.

[Alex567]

NetMeeting Remote Desktop отключил

Вот лог от AVZ:

Протокол антивирусной утилиты AVZ версии 4.24

Сканирование запущено в 07.04.2007 21:34:14

Загружена база: 101221 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.04.2007 13:01

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58213

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082680)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559680

KiST = 804E26A8 (284)

Функция NtTerminateProcess (101) перехвачена (80584740->A2958210), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (115) перехвачена (8057A697->A2958170), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 284, перехвачено: 2, восстановлено: 2

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 22

Количество загруженных модулей: 320

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\WINDOWS\Temp\JETB92E.tmp

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"

Проверка завершена

Просканировано файлов: 40783, извлечено из архивов: 31275, найдено вредоносных программ 0

Сканирование завершено в 07.04.2007 21:38:15

!!! Внимание !!! Восстановлено 2 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:04:01

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Создание архива с файлами из карантина

Создание архива с файлами из карантина завершено

Выполняется исследование системы

Исследование системы завершено

Похоже, что пропадает информация при заполненении (или автозаполнении)

различных регистрационных форм,

в том числе и почтовые логин-пароль и т.д.

Кому это надо и зачем не знаю, но сил терпеть это безобразие уже нет.

[Saule]

Saule, будте так любезны...сделал всё как Вы сказали...пока окна не выскакивали =)

Раз NoLop что-то всё-таки удалил, то тогда должно быть всё хорошо.

Единственное, желательно обновить J2SE Runtime Environment, так как вы, скорее всего, заражаетесь именно через уязвимости в этом продукте.

На английском:

http://www.java.com/en/download/

На русском:

http://www.java.com/ru/download/

Или через IE:

DOWNLOAD JAVA SOFTWARE FOR WINDOWS using Internet Explorer browser

ЗАГРУЗИТЬ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ JAVA ДЛЯ WINDOWS с помощью обозревателя Internet Explorer

А также нужно отчистить Java кеш, т.к. там может до сих пор оставаться копия вируса.

Это можно сделать, к примеру, с помощью ATF-Cleaner (отмечаем галочкой Java Cashe и нажимаем на кнопку Empty Selected):

[ser208]

Похоже, что пропадает информация при заполненении (или автозаполнении)

различных регистрационных форм,

в том числе и почтовые логин-пароль и т.д.

Кому это надо и зачем не знаю, но сил терпеть это безобразие уже нет.

Да ты объясни какое безобразие? Что у тебя происходит в конце-то концов?

Из чего следует, что пассы увели?

Изменено 7 апреля, 2007 пользователем ser208

[Romeozzz]

Огромнейшее спасибо о всемогущая Saule!

:(

[sollar_valley]

Пожалуйста помогите, при открывании диск С, пишет "Не удается найти файл сценария C:\autorun.vbs". И ярлыки, картинки не открываются, диск нельзя отформатировать...

Logfile of HijackThis v1.99.1

Scan saved at 12:29:04, on 08.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Bluetooth\BTNtService.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Flashget\flashget.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\25AE~1\LOCALS~1\Temp\Временная папка 3 для hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Flashget\jccatch.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\DOCUME~1\25AE~1\0016~1\Dmaster\DOWNLO~1\dmiehlp.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\getflash.dll (file missing)

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmbar.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Flashget\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Flashget\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Documents and Settings\Лапочка\Рабочий стол\ЛЕНОЧКА\Rambler Assistant\ramblertoolbarU3670.dll/dic.htm

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmaster.exe (file missing)

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Documents and Settings\Лапочка\Рабочий стол\Dmaster\Download Master\dmaster.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\FlashGet.exe (file missing)

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\Лапочка\Рабочий стол\Flashget\FlashGet.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{004068DD-C2C2-4FDD-9972-3F3E29732394}: NameServer = 212.48.193.38 212.48.193.36

O17 - HKLM\System\CS1\Services\Tcpip\..\{004068DD-C2C2-4FDD-9972-3F3E29732394}: NameServer = 212.48.193.38 212.48.193.36

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\Лапочка\Рабочий стол\Оксана\Bluetooth\BTNtService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\25AE~1\LOCALS~1\Temp\hpdj.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[ser208]

Пожалуйста помогите, при открывании диск С, пишет "Не удается найти файл сценария C:\autorun.vbs". И ярлыки, картинки не открываются, диск нельзя отформатировать...

Если нужно отформатировать системный раздел, то из загруженной системы этого сделать нельзя. Если дело за этим, то начинайте установку системы и оттуда отформатируете.

[Saule]

Пожалуйста помогите, при открывании диск С, пишет "Не удается найти файл сценария C:\autorun.vbs". И ярлыки, картинки не открываются, диск нельзя отформатировать...

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:
   O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll

   Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть).

2. Скачиваем Dr.WEB CureIt!, если вы еще не сделали этого, проверяем компьютер и удаляем всё вредоносное, что им будет найдено.

3. Перезагружаем компьютер.

4. Скачиваем следующий файл:

   sollar_valley.rar

   Распаковываем и запускаем (это командный файл, который выполнит необходимую чистку). После чего снова перезагружаем компьютер (чистка будет длиться буквально пару секунд) и проверяем исправилась ли ситуация.

sollar_valley.rar

[sollar_valley]

Если нужно отформатировать системный раздел, то из загруженной системы этого сделать нельзя. Если дело за этим, то начинайте установку системы и оттуда отформатируете.

Дело в том что при переустановки не работает автозапуск и отформатировать не получается

[ser208]

Дело в том что при переустановки не работает автозапуск и отформатировать не получается

Чепуха какая-то

[sollar_valley]

sollar_valley.rar

Распаковываем и запускаем (это командный файл, который выполнит необходимую чистку). После чего снова перезагружаем компьютер (чистка будет длиться буквально пару секунд) и проверяем исправилась ли ситуация.

А как распокавать этот файл, у меня он загрузился только открывается как картинка

Изменено 8 апреля, 2007 пользователем Saule

[ser208]

А как распокавать этот файл, у меня он загрузился только открывается как картинка

Поставьте Winrar.

[sollar_valley]

Поставьте Winrar.

:D БОЛЬШОЕ СПАСИБО!!!!!!!!!!!!!!!!!! ВСЕМ ОЧЕНЬ БЛАГОДАРНА, РАБОТАЕТ!!!!!!!!!!!!!!!!!!

КСТАТЕ, ЭТО БЫЛ ВИРУС? ПРОСТО У МОИХ ЗНАКОМЫХ ТОЖЕ КОМПЫ ЛЕТЯТ.

СПАСИБО, ВСЕ РАБОТАЕТ!!!!!!!!!!!!!!!

:) А Я УЖЕ ДУМАЛА, ЧТО КОМП ПОЛЕТЕЛ :)

Изменено 8 апреля, 2007 пользователем Saule

[Saule]

КСТАТЕ, ЭТО БЫЛ ВИРУС? ПРОСТО У МОИХ ЗНАКОМЫХ ТОЖЕ КОМПЫ ЛЕТЯТ. :D

:)СПАСИБО, ВСЕ РАБОТАЕТ!!!!!!!!!!!!!!!

:) А Я УЖЕ ДУМАЛА, ЧТО КОМП ПОЛЕТЕЛ :D

Да, это был вирус, распространяющийся в первую очередь через USB-флешки. Так что не вставляйте какие-либо свои сменные носители информации в компьютеры ваших знакомых (или наоборот, не вставляйте в свой компьютер чужие), пока они не приведут их в порядок.

P.S. Форматирование у вас также не получалось из-за этого вируса.

[arbuzzz]

Здравствуйте уважаемая Saule!

Давно уже не чистил систему и реестр, но на днях решился и начал с автозагрузки, но обнаружил что CCleaner перестал добавлять в список автозагрузки недавно установленные программы. На скрине слева - CCleaner, справа - Task manager сразу после старта системы, никакие другие приложения в ручную не запускал.

<a href="http://photos.digitalrave.net/images/7247log.gif"><img'>http://photos.digitalrave.net/images/7247log.gif"><img src="http://photos.digitalrave.net/images/7247log.gif" width=200 height=120></a>

Кроме того, некоторые приложения начали подглючивать (поэтому и хотел почистить реестр).

Теперь опасаюсь, что у меня вирус. Не могли-бы Вы посмотреть мой лог?

Logfile of HijackThis v1.99.1

Scan saved at 12:26:16, on 11.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Program Files\Alias\Maya 7.0 Personal Learning Edition\docs\wrapper.exe

C:\Program Files\Common Files\Acronis\ProcessActivityMonitor\paamsrv.exe

C:\Program Files\Alias\Maya 7.0 Personal Learning Edition\docs\jre\bin\java.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

E:\Softsort\Таблетки\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.5.161.51:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Progs\ReGetD\ReGetDx\iebar.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Заполнить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Настроить Меню - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O8 - Extra context menu item: Сохранить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Тулбар RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll

O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll

O9 - Extra button: Заполнить - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Заполнить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Сохранить - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Сохранить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Тулбар RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - C:\Program Files\Alias\Maya 7.0 Personal Learning Edition\docs\wrapper.exe" -s "C:\Program Files\Alias\Maya 7.0 Personal Learning Edition\docs\Wrapper.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Program Files\Common Files\Acronis\ProcessActivityMonitor\paamsrv.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Сорри, скрин с CCleaner и Task manager:

[Saule]

Давно уже не чистил систему и реестр, но на днях решился и начал с автозагрузки, но обнаружил что CCleaner перестал добавлять в список автозагрузки недавно установленные программы. На скрине слева - CCleaner, справа - Task manager сразу после старта системы, никакие другие приложения в ручную не запускал.

В логе ничего подозрительного не видно. Однако, предположу, что "...CCleaner перестал добавлять в список автозагрузки недавно установленные программы..." из-за программы Ad-Watch, одна из функций которой - защита автозагрузки от каких-либо изменений.

Т.е. если эта опция у вас активирована, то Ad-Watch действительно не даст сделать CCleaner'у или вам никаких существенных изменений по этой части в системе, возвращая всё "так, как было", после каждой перезагрузки компьютера.

Попробуйте временно выключить Ad-Watch и убрать его из автозапуска.

[ser208]

Можно пофиксить в HiJack

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Отключи в службах NetMeeting Remote Desktop

Ничего в Таскменеджере лишнего, чего не показал ССleaner, нет.

Он следит, скорее всего, только за ветками реестра (run, run once...).

То, что запускается, как службы (acronis, Maya) ССleaner не фиксирует.

Изменено 11 апреля, 2007 пользователем ser208

[arbuzzz]

Спасибо Saule и ser208!

Ещё мааленький вопросик:

Немного порылся в опциях хайджека, нашёл там бэкапы. Можно-ли безопасно экспериментировать с убийством процессов, чтобы потом можно было их восстановить, если зафиксил чего-нить не то?

[ser208]

Спасибо Saule и ser208!

Ещё мааленький вопросик:

Немного порылся в опциях хайджека, нашёл там бэкапы. Можно-ли безопасно экспериментировать с убийством процессов, чтобы потом можно было их восстановить, если зафиксил чего-нить не то?

То что пофиксить, это вообще не процессы, а записи, которых нет (не найдены). BHO-дополнение к IE и второе -- кнопка в нем же.

А убил процесс, перегрузился или запустил программу процесса или службу, и они опять работают. Зачем тебе для этого Hijack?

Чтобы программы не подгружались можно галочку в CCleaner или в msconfig убрать.

Чтобы службы--в службах остановить и поставить в "отключено" или "вручную".

Потом можно на место вернуть.

Изменено 11 апреля, 2007 пользователем ser208

[arbuzzz]

Спасибо, теперь всё понятно :)

[Nita]

Подскажите пожалуйста, что мне делать? У меня на рабочем столе сместились обои я не могу исправить этого, и я не знаю почему это случилось. :)

[ser208]

Правой кнопкой по рабочему столу--свойства--рабочий стол--расположение--растянуть.

Или поправить разрешение.

[Saule]

Подскажите пожалуйста, что мне делать? У меня на рабочем столе сместились обои я не могу исправить этого, и я не знаю почему это случилось.

Если они сместились примерно следующим образом:

То попробуйте скачать вот этот файлик:

wallpaper.rar

Затем распакуйте его и запустите wallpaper.reg

На вопрос Windows о том, действительно ли вы хотите добавить эту информацию в свой реестр, отвечаем Yes/Да.

И чтобы изменения вступили в силу, компьютер нужно перезагрузить.

Если речь идет о чем-то другом и то, что предложил ser208, вам также не помогло, то можно еще скачать AVZ.

Включить и нажать в верхнем меню:

Файл > Восстановление системы

Затем отмечаем галочкой пункт "Восстановление настроек рабочего стола" и нажимаем на кнопку "Выполнить отмеченные операции".

P.S. Плюс раз уж вы не знаете из-за чего так получилось, то также не будет лишним скачать HijackThis. Распаковать, запустить и нажать на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст вам лог, содержимое которого, просто скопируйте в своё сообщение.

wallpaper.rar

[ser208]

Занял очередь на консультацию.

Подскажите, глюк Каспера или уловка троя?

Заношу в "Доверенную зону" одно

а там оказывается другое

Изменено 11 апреля, 2007 пользователем ser208