Saule Опубликовано 19 апреля, 2007 Жалоба Поделиться Опубликовано 19 апреля, 2007 Но перехватчики остались. Если выполнить в AVZ скрипт по нейтрализации руткит, то он их восстановит, но после перезагрузки они появляются опять. Попробуйте на всякий случай еще просканировать свой компьютер с помощью Rootkit Unhooker (на данный момент скачать можно отсюда: RkU3.31.150.420 или тут). После установки открываем последнюю закладку - Report - и нажимаем на кнопку Scan: И после сканирования, которое займет какое-то время, когда в окне программы будет выведен отчет, нажимаем в верхнем меню: File > Save Report: Затем полученное прикладываем к сообщению. -------- Хотя скорее всего все эти перехваты осуществляются файрволлом. И, кстати, если у вас действительно есть возможность переустановить Outpost, то тогда это можно проверить - исчезнут ли все эти записи в протоколе после деинсталляции программы и перезагрузки компьютера или же не исчезнут. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 апреля, 2007 Жалоба Поделиться Опубликовано 19 апреля, 2007 Как правильно распокавать HijackThis, пишит нет файла для распаковки. HijackThis в незапакованном виде: HijackThis.exe АVZ распаковала, а что дальше ??? Заходим в папку AVZ и запускаем файл avz.exe. Галочкой отмечаем свой системный диск (например C) и нажимаем на кнопку "Пуск": Ждем окончания сканирования, после чего в верхнем меню AVZ нажимаем: Файл > Исследование системы В открывшемся окошке нажимаем на кнопку Пуск и сохраняем куда-нибудь отчет программы, название которого по умолчанию будет avz_sysinfo.htm. И затем этот отчет (файл с названием avz_sysinfo) присоединияем к своему сообщению (Как присоединить к сообщению изображение или файл - пункт 2). Ссылка на комментарий Поделиться на другие сайты Поделиться
ren777 Опубликовано 19 апреля, 2007 Жалоба Поделиться Опубликовано 19 апреля, 2007 всем привет.нужна помощь.помоему чтото подцепил,но антивирус ничего не находит.проблема в том,что после часа работы не могу открыть не одну страницу,и аська не конектится,и игры по инету лагают.переустанавливать винду нет времени и желания.спасибо Logfile of HijackThis v1.99.1 Scan saved at 20:32:52, on 19.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe G:\ICQLite\ICQLite.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Punto Switcher\ps.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\Download Master\dmaster.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [iCQ Lite] "G:\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\MAgent.exe -CU O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [iCQ Lite] G:\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\MAgent.exe (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C417C419-9985-4622-A400-9C387E823E2B}: NameServer = 212.188.4.10 195.34.32.116 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing) O21 - SSODL: msvcrt64.dll - {300ACB3A-35CA-4CBB-B6AC-EF0DC89D1C9F} - msvcrt64.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 апреля, 2007 Жалоба Поделиться Опубликовано 19 апреля, 2007 всем привет.нужна помощь.помоему чтото подцепил,но антивирус ничего не находит.проблема в том,что после часа работы не могу открыть не одну страницу,и аська не конектится,и игры по инету лагают.переустанавливать винду нет времени и желания.спасибо 1. Закрываем все посторонние программы и приложения, чтобы ничего не мешало. 2. Скачиваем AVZ. Распаковываем, запускаем и нажимаем в его верхнем меню: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. Далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на arm32reg и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с arm32reg и затем нажимаем на кнопку "X"). Если вдруг такой строчки там не окажется, то просто переходим к следующему пункту. 3. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!). 4. После перезагрузки снова в верхнем меню AVZ выбираем: Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строчку: C:\Documents and Settings\All Users\Документы\Settings\arm32.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". 5. Снова перезагружаем компьютер. 6. Теперь включаем HijackThis и отмечаем галочкой следующие строки, если такие еще будут присутствовать: O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing) Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 19 апреля, 2007 Жалоба Поделиться Опубликовано 19 апреля, 2007 Посмотрите что с моим компьютером. На всякий случай прикрепляю файлы AVZ. Вот мой лог: Logfile of HijackThis v1.99.1 Scan saved at 0:25:35, on 20.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe C:\WINDOWS\system32\sessmgr.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\tlntsvr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\FlashGet\FlashGet.exe C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Program Files\D-Tools\daemon.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ABBYY Lingvo\LvAgent.exe C:\Program Files\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220" O4 - HKLM\..\Run: [uSBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Flashget] "C:\PROGRA~1\FlashGet\FlashGet.exe" /min O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /M "Stylus Photo R220" /EF "HKCU" O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ABBYY Lingvo 6.0 Launcher.lnk = C:\Program Files\ABBYY Lingvo\LvAgent.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\FlashGet.exe O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone O17 - HKLM\System\CCS\Services\Tcpip\..\{4C0F8CC9-B0E6-4521-A897-F151F4B2E595}: NameServer = 81.200.0.1,81.200.2.222 O17 - HKLM\System\CS1\Services\Tcpip\..\{4C0F8CC9-B0E6-4521-A897-F151F4B2E595}: NameServer = 81.200.0.1,81.200.2.222 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe virusinfo_syscheck.zipvirusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Посмотрите что с моим компьютером. На всякий случай прикрепляю файлы AVZ. Вот мой лог: На мой взгляд, всё хорошо. Если же беспокоит что-то конкретное, то попробуйте рассказать по-подробнее. Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 На мой взгляд, всё хорошо. Если же беспокоит что-то конкретное, то попробуйте рассказать по-подробнее. Добрый день. Это я весь день чистила AWG , EWIDO. А так за 2-3 дня работы начинают подвисать окна, о-о-о-чень долго грузятся программы и я начинаю опять чистить. Спасибо Добрый день. Это я весь день чистила AWG , EWIDO. А так за 2-3 дня работы начинают подвисать окна, о-о-о-чень долго грузятся программы и я начинаю опять чистить. Спасибо И ещё.... Я проверила лог на HijeckThis Logfileauswertung.... пять строчек 015 были помечены красным Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 И ещё.... Я проверила лог на HijeckThis Logfileauswertung.... пять строчек 015 были помечены краснымКрасным отмечены изменения, касающиеся установленной принадлежности протоколов http, https, ftp, file и @ivt к зонам безопасности Internet'а Explorer.По умолчанию должно быть вот так: А у вас на данный момент: [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults] "http"=dword:00000000 (0) "https"=dword:00000000 (0) "ftp"=dword:00000000 (0) "file"=dword:00000000 (0) "@ivt"=dword:00000000 (0) Если подобные изменения были сделаны в системе не вами лично, то удалите эти строки с помощью HijackThis (к вирусам прямого отношения они могут и не иметь, но вашу общую защищенность они понижают), т.е. те строки, которые были выделены красным: O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone Ссылка на комментарий Поделиться на другие сайты Поделиться
ren777 Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Saule,ОГРОМНОЕ СПАСИБО!!!! сделал как посоветовали и комп как заново родился,еще раз СПАСИБО!!!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Поймал трояна Спамбот. Курент нашел его, AVZ тоже нашел. После лечения Курентом отрубился выход в инет, причем локалка видна, Нет выхода во внешнее плавание. Ни один браузер не запускается. Выкладываю логи. Протокол антивирусной утилиты AVZ версии 4.23 Сканирование запущено в 19.04.2007 17:47:23 Загружена база: 103640 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 18.04.2007 16:17 Загружены микропрограммы эвристики: 369 Загружены цифровые подписи системных файлов: 58493 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 2. Проверка памяти Количество найденных процессов: 39 d:\program files\acronis\trueimage\trueimagemonitor.exe Invalid file - not a PKZip file Количество загруженных модулей: 293 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\Владислав\Local Settings\Temp\~DFC079.tmp C:\WINDOWS\Temporary Internet Files\Content.IE5\KDYNO9AN\CA27KXU7.htm >>> подозрение на VirTool.Win32.VBSCrypt.b ( 09EDA535 09BA107A 001A668C 00000000 8224) C:\WINDOWS\Temporary Internet Files\Content.IE5\KDYNO9AN\CAMHIZ23.htm >>> подозрение на VirTool.Win32.VBSCrypt.b ( 09ED9991 09BA107A 001A668C 00000000 8224) C:\WINDOWS\Temporary Internet Files\Content.IE5\OTIJWLU7\dodge_ram_srt10-psp[1].zip Invalid file - not a PKZip file C:\WINDOWS\Temporary Internet Files\Content.IE5\UHR0HON2\ustav31_10_06[1].zip Invalid file - not a PKZip file C:\WINDOWS\zu.exe >>>>> Email-Worm.Win32.Zhelatin.ch D:\Program Files\Acronis\TrueImage\MediaBuilder.exe Invalid file - not a PKZip file D:\Program Files\Acronis\TrueImage\tishell.dll Invalid file - not a PKZip file D:\Program Files\Acronis\TrueImage\TrueImage.exe Invalid file - not a PKZip file D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe Invalid file - not a PKZip file D:\Program Files\Acronis\TrueImage\TrueImageService.exe Invalid file - not a PKZip file D:\Program Files\FlashGet\F\silly_bear32_funny.scr >>>>> Email-Worm.Win32.Zhelatin.ch 4. Проверка Winsock Layered Service Provider (SPI/LSP) Ошибка LSP Protocol = "LAYERED MSAFD Tcpip [TCP/IP]" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD Tcpip [uDP/IP]" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD Tcpip [RAW/IP]" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED RSVP UDP Service Provider" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED RSVP TCP Service Provider" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{48258254-100B-4961-AF12-F3202938427B}] SEQPACKET 0" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{48258254-100B-4961-AF12-F3202938427B}] DATAGRAM 0" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{78F1F5F9-9FB2-4421-B819-5E4A002307D5}] SEQPACKET 1" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{78F1F5F9-9FB2-4421-B819-5E4A002307D5}] DATAGRAM 1" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{78FA1959-0718-4666-B4D8-BC011D048A08}] SEQPACKET 2" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{78FA1959-0718-4666-B4D8-BC011D048A08}] DATAGRAM 2" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{4EC5AF01-6855-4D35-ACE7-909218E5295D}] SEQPACKET 3" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{4EC5AF01-6855-4D35-ACE7-909218E5295D}] DATAGRAM 3" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{BE29F9BD-0DBF-482E-94DC-214D1C82A44B}] SEQPACKET 4" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MSAFD NetBIOS [\Device\NetBT_Tcpip_{BE29F9BD-0DBF-482E-94DC-214D1C82A44B}] DATAGRAM 4" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "MzName" --> отсутствует файл rsvp32_2.dll Ошибка LSP Protocol = "LAYERED MzName" --> отсутствует файл rsvp32_2.dll Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена Просканировано файлов: 203307, извлечено из архивов: 65098, найдено вредоносных программ 2 Сканирование завершено в 19.04.2007 18:22:57 Сканирование длилось 00:35:34 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Автоматическая чистка следов удаленных в ходе лечения программ * * avast! отчет * Этот файл сгенерирован автоматически * * Задача 'Простой интерфейс пользователя' использовано * Начатый 19 Апрель 2007 г. 21:20:51 * VPS: 000734-2, 18.04.2007 * C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\LocalService\NTUSER.DAT [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\LocalService\ntuser.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\NetworkService\NTUSER.DAT [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\NetworkService\ntuser.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\call256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\call512.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\callmember256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\chat512.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\chatmember256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\chatmsg256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\chatmsg512.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\contactgroup256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\index2.dat [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\profile4096.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\user1024.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\user4096.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Application Data\Skype\sanitar4\voicemail256.dbb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\Local Settings\Temp\GLB1.tmp\Wise0003.bin [E] Installer archive is corrupted. (42146) C:\Documents and Settings\Владислав\Local Settings\Temp\GLB1ED.tmp\Wise0003.bin [E] Installer archive is corrupted. (42146) C:\Documents and Settings\Владислав\NTUSER.DAT [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\Documents and Settings\Владислав\ntuser.dat.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\pagefile.sys [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\CatRoot2\edb.log [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\CatRoot2\tmp.edb [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\default [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\default.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\SAM [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\SAM.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\SECURITY [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\SECURITY.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\software [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\software.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\system [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\system32\config\system.LOG [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\Temp\Perflib_Perfdata_48c.dat [E] Процесс не может получить доступ к файлу, так как этот файл занят другим процессом (32) C:\WINDOWS\Temporary Internet Files\Content.IE5\4TIB09AN\swflash[1].cab\Flash9c.ocx [E] Архив CAB разрушен. (42127) C:\WINDOWS\Temporary Internet Files\Content.IE5\GPAVGT6Z\fgf173[4].exe\Wise0003.bin [E] Installer archive is corrupted. (42146) C:\WINDOWS\Temporary Internet Files\Content.IE5\OTIJWLU7\privmsg[2].php\privmsg[2] [E] GZIP архив разрушен. (42129) D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\ws2000\winsmeta2.exe\WS2000\setup2000.exe\Wise0020.bin [E] Installer archive is corrupted. (42146) F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP16\A0005438.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP17\A0006613.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP18\A0007720.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP20\A0016904.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP32\A0024226.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP32\A0024293.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... F:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP32\A0024295.sdb [L] Win32:Lineage-518 [Trj] (0) Файл был успешно перемещен в хранилище... Инфицированные файлы: 7 Всего файлов: 417833 Всего папок: 2646 Общий размер: 22,2 GБ * * Задача остановлена: 20 Апрель 2007 г. 0:50:13 * Время выполнения было 3 час(а, ов), 29 минут, 22 секунд * XPlite.#xeD:\Program Files\XPLite Prof v1.3Возможно, MULDROP.TrojanНеизлечим.Удален.A0029505.#xeD:\System Volume Information\_restore{625570BE-8024-4BEA-B4C0-B44AD1567B9B}\RP41Возможно, MULDROP.TrojanНеизлечим.Перемещен. Как поймал, отпишусь после восстановления инета Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 По умолчанию должно быть вот так: Простите, я только учусь, а можно по-подробнее где мне найти это окошко что бы посмотреть как должно быть.... Если подобные изменения были сделаны в системе не вами лично, то удалите эти строки с помощью HijackThis Если удалить это "пофиксить", то у меня ничего не получилось ( Ссылка на комментарий Поделиться на другие сайты Поделиться
batrak Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Добрый день! Недавно сменил коннект к инету. Была локалка со всевозмножной защитной на выходе как я понимаю, сейчас стрим. Почти сразу после смены типа коннекта в онлайн игре появилась серьезная проблема, но и не только в ней, комп испытывает загруз от 60-100% и фпс падает до 5-7... Наступает внезапно. Установил NAV - ничего он не нашел. Антитрояны ничего не видят. Аутпост обнаруживает то, что иногда появляется в процессах - lucallbackproxy.exe и блочит lucomeserver_3_0.exe. Таких версий даже яндекс не знает... Чувствую, что зараза сидит, а как вывести ума не приложу. Каспер тоже кстати ниче не нашел... вот полный лог Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 15:33:54, on 20.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\mHotkey.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Total Commander\Totalcmd.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOCUME~1\B656~1\LOCALS~1\Temp\_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.ru/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\Odigo\Bin\OdigoBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [RunOdigo] C:\Program Files\Odigo\Bin\Odigo.exe -m O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Outpost Firewall] j:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] j:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [AVP] "J:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - J:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - j:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'prxerdrv.dll' missing O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4197343A-15FA-49E9-830C-A2EE9941AE98}: NameServer = 10.150.17.2 O18 - Protocol: bw+0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw+0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: bwg0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwg0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0s - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: offline-8876480 - {027E55A5-D6D8-4A30-ADCE-D9EF82C5C60D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O20 - AppInit_DLLs: j:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - J:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - j:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsb) (pr2ajtsb) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsb.exe O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsc.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Если есть возможность, помогите пожалуйста.. Не хочется винду сносить...:) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Если удалить это "пофиксить", то у меня ничего не получилось ( То есть вы попытались удалить эти строчки с помощью HijackThis (открыли HijackThis, нажали на кнопку "Do a system scan only", отметили галочкой нужные строчки, затем нажали на кнопку "Fix Checked" и после перезагрузили компьютер), но после перезагрузки они снова появились в логе? Простите, я только учусь, а можно по-подробнее где мне найти это окошко что бы посмотреть как должно быть.... Если действительно с помощью HijackThis изменить это не получается, то по-подробнее можно. Единственное, постарайтесь лишний раз там ничего не изменять, если у вас не будет уверенности в том, что вы делаете (на всякий случай всегда не стесняйтесь переспросить, если в чем-либо сомневаетесь). Нажимаем: Start > Run (Пуск > Выполнить) И копируем в строку: regedit Затем на ОК или на клавишу ENTER Перед вами откроется редактор реестра: Идем по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults Это есть то, что мы ищем. Чтобы изменить значение 0, нужно кликнуть двойным кликом по протоколу (например, на https) и в открывшемся окошке изменить значение 0 на 3: http - 3 https - 3 ftp - 3 file - 3 @ivt - 1 ----------- Либо вот готовый reg-файл, который автоматически выполнит действия описанные выше: ProtocolDefaults.zip(нужно скачать, распаковывать и запустить; на вопрос Windows, действительно ли вы хотите добавить данную информацию в ваш реестр, нажимаем на 'Да/Yes'). ProtocolDefaults.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 (изменено) Поймал трояна Спамбот. Курент нашел его, AVZ тоже нашел. После лечения Курентом отрубился выход в инет, причем локалка видна, Нет выхода во внешнее плавание. Ни один браузер не запускается. Выкладываю логи. Для восстановления интернета: Скачиваем LSP-Fix (http://cexx.org/lspfix.htm) и включаем её (как-нибудь по локалке перекинуть, наверно, есть возможность?) Если она при включении сразу покажет вам красную надпись: "Problems found in LSP chain...", то вам нужно будет поставить галочку рядом с "I know what I'm doing..." и нажать кнопку "Finish": Только больше ничего с этой программой делать не нужно (в смысле нельзя что-либо с её помощью удалять и т.д.)! - это важно, а то может стать еще хуже. Просто: галочка и кнопка "Finish". Затем перезагрузи компьютер и желательно отпиши, как он там. Изменено 20 апреля, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Вот два скрина от пройденного мной пути. Т.е. в HKEY_CURRENT_USER вижу лишние файлы. А на участке \ZoneMap\ProtocolDefaults папка Zones и нет ProtocolDefaults. Может быть мне сразу применить Ваш reg-файл? Простите второй скрин кажется мелковат. Повторяю : Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Добрый день! Недавно сменил коннект к инету. Точно также, как и у Sanitar'а , повреждена цепочка поставщиков Winsock, из-за чего и наблюдаются проблемы с инетом. Скачиваем LSP-Fix (http://cexx.org/lspfix.htm) и включаем её. Если программа при включении сразу покажет вам красную надпись: "Problems found in LSP chain...", то вам нужно будет поставить галочку рядом с "I know what I'm doing..." и нажать кнопку "Finish": Только больше ничего с этой программой делать не нужно (в смысле нельзя что-либо с её помощью удалять и т.д.)! - это важно, а то может стать еще хуже. Просто: галочка и кнопка "Finish". И с помощью Hijackthis можно пофиксить следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"), в том случае, если вы "самовольно" не устанавливали никаких программ с сайтов http://www.odigo.org/ и http://www.pysoft.com/: O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\Odigo\Bin\OdigoBHO.dll O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab' rel="external nofollow">Вот два скрина от пройденного мной пути. Т.е. в HKEY_CURRENT_USER вижу лишние файлы. А на участке \ZoneMap\ProtocolDefaults папка Zones и нет ProtocolDefaults. А в разделе HKEY_LOCAL_MACHINE тоже нет ZoneMap и ProtocolDefaults?: Точный путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Нашла! Что-то удаляем? Нашла! Есть немного лишнего...) Как дальше быть? Нашла! Есть немного лишнего...) Как дальше быть? Нашла ProtocolDefaults там где Вы указали! Как быть дальше? Нашла ProtocolDefaults там где Вы указали. Как быть дальше? Простите за повторения. Вылетали окошечки, что не удалось загрузить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Нашла! Что-то удаляем? Неа, ничего не удаляем, там всё нормально. Строки, выделенные красным в логе HijackThis исчезнут, если вы запустите тот файл, что я тогда для вас выложила и добавите эту информацию в ваш реестр (это значит, что HijackThis "ругался" не на их изменение, а на их отсутствие). Но я не уверенна, нужно ли вам это (т.к. мне не совсем ясно, кто их удалил и в каких целях). Хотя в любом случае, если это было сделано какой-либо вашей программой, то их можно будет снова для неё удалить. Я вас сейчас не запутала? =)) Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Я всё поняла. Но тря дня назад я нашла двух Троянов и удалила их, а после этого перестал работать Internet Explorer, вот что он выдаёт (скрин) и кроме прочих тормозов есть такая - я выхожу через Mozilla Firefox подключение по локальной сети, а старое подключение через модем постоянно выбрасывает стандартное окошечко для логина и пароля(хотя я удалённый доступ отключила) и блокирует тем Мозилу. Может это связано каким то образом с этими красными строчками? Я всё поняла. Но тря дня назад я нашла двух Троянов и удалила их, а после этого перестал работать Internet Explorer, вот что он выдаёт (скрин) и кроме прочих тормозов есть такая - я выхожу через Mozilla Firefox подключение по локальной сети, а старое подключение через модем постоянно выбрасывает стандартное окошечко для логина и пароля(хотя удалённый доступ отключён) и блокирует тем Мозилу. Может это связано каким то образом с этими красными строчками? Ссылка на комментарий Поделиться на другие сайты Поделиться
kalina Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Ну в общем я сделала это...) с помощью ProtocolDefaults.reg Красные 015 удалились. Всё заработало. ОГРОМНОЕ вам спасибо за терпение и профессионализм ) Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Затем перезагрузи компьютер и желательно отпиши, как он там. Спасибо за совет, но воспользоваться не смог. Был у приятеля на работе, от него же и логи выкладывал, пока суть да дело- кончился трафик. Его админ долго ковырялся в моем компьютере, но ничего неполучилось. Поскольку был на машине, по пути заехал к своему провайдеру. Он в реестре удалил какие то две папки и все заработало. Суть в том что троян мне обрубил DNS соединение - в ручную прописываешь-локалка подключалась, выход в инет тоже, но ничего не запускалось-ВООБЩЕ. И еще вопрос: эту прогу про запас можно скачать?-если вдруг еще такое случится. ЗЫ. Как все начиналось. Я на форуме запостил тему, на нее ответил мой друг, и в конце его сообщения была такая надпись и ссылка: PS глянь,суперскрин ! Такого мне еще не встречалось ) И ссылка выглядела вот так: http://skreensavera4us.info/funscr/silly bear32 funny.scr Это автоматом прилеплялось к любому его сообщению. Я подумал что он дал ссылку на что то интересное и ессно кликнул, вышло окошко: закачать или сохранить на диск. Я решил просто закачать и после просмотра решить что дальше с этим делать, но закачанный файл 91кб не стал открываться даже при повторной попытке открыть. Потом подвис комп, и застыл форум. Далее к моим сообщениям начала прилепляться эта ссылка а у одного из форумчан при кликаньи на ссылку NOD 32 заорал что вирус-но нам уже было поздно. Мой АВАСТ молчал как рыба. Скачиваю КУРИЕНТ, запускаю, в паралель AVZ, AVG. Куриент находит ТРОЯН СПАМБОТ, AVZ-два зараженных файла. В КУРИЕНТе вирус отправил на лечение, но лечение (пишет) произойдет после перезапуска компьютера, перезапускаю, и все, интернета НЕТ. После вирус видимо расплодился, благо был КУРИЕНТ-помог. Дочке друга (которая и запустила на его комп этот вирус) передал огромное спасибо. Теперь думаю что выбирать из защиты NOD 32 или Dr Web. 2 модераторы, администраторы: не сочтите все написанное за флуд, написал только потому что бы такие как я не попались на эту удочку (а таких как я думаю много). Если все же флуд-обязуюсь больше не писать. Ссылка на комментарий Поделиться на другие сайты Поделиться
ui lt Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Saule посмотрите пожалуйста мой лог: Logfile of HijackThis v1.99.1 Scan saved at 20:18:32, on 20.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\cidaemon.exe D:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.km.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\D\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\D\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\D\Programme\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [kis] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Закачать все при помощи FlashGet - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Закачать при помощи FlashGet - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Hinzufьgen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\D\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\D\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1163629761265 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shock...ash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - D:\Programme\T-DSL Manager\DslMgrSvc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 На всякий случай выложу свой лог. Logfile of HijackThis v1.99.1 Scan saved at 23:22:29, on 20.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe D:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\Explorer.EXE F:\Program Files\HDDTSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe E:\My Documents\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe D:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe C:\Program Files\Skype\Plugin Manager\SkypePM.exe F:\Program Files\QIP\qip.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\FlashGet\flashget.exe D:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\2989~1\LOCALS~1\Temp\Rar$EX00.078\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\PROGRA~1\FlashGet\getflash.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\My Documents\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "D:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Ashampoo Magic Defrag.lnk = D:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Privoxy.lnk = F:\Program Files\Privoxy\privoxy.exe O8 - Extra context menu item: &Перевести - D:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - D:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - DctMapping - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - D:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - D:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing) O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - D:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{BE29F9BD-0DBF-482E-94DC-214D1C82A44B}: NameServer = 213.148.31.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{48258254-100B-4961-AF12-F3202938427B}: NameServer = 10.15.0.250 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe O23 - Service: AshampooDefragService - - D:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\My Documents\AVG Anti-Spyware 7.5\guard.exe O23 - Service: HDD Temperature (HDDTService) - PalickSoft - F:\Program Files\HDDTSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Таша Опубликовано 20 апреля, 2007 Жалоба Поделиться Опубликовано 20 апреля, 2007 Помогите, пожалуйста! мой любимый компик подцепил RootKit как избавиться не знаю! вот всевозможные отчеты Буду очень признательна за помощь продолжение: Logfile of HijackThis v1.99.1 Scan saved at 2:33:41, on 21.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\system32\hphmon05.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Opera\Opera.exe D:\ПРОГИ\антивирус\cureit.exe C:\DOCUME~1\Tashka\LOCALS~1\Temp\RarSFX0\_start.exe C:\DOCUME~1\Tashka\LOCALS~1\Temp\RarSFX0\cureit.exe D:\ПРОГИ\антивирус\RootkitRevealer\RootkitRevealer.exe C:\DOCUME~1\Tashka\LOCALS~1\Temp\TVGVP.exe C:\Program Files\IrfanView\i_view32.exe D:\ПРОГИ\антивирус\hijackthis\HijackThis.exe C:\WINDOWS\system32\HPZipm12.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [Microsoft Windows Update] C:\WINDOWS\system32\srshost.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] C:\WINDOWS\system32\srshost.exe O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [Microsoft Windows Update] C:\WINDOWS\system32\srshost.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Создание Избранного на мобильном устройстве - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Создать Избранное на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://216.32.89.203/activex/vogweb29.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{32F86179-4573-4FAD-9B76-28C2A5F2FE35}: NameServer = 1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C7776F63-CEA6-424B-A90B-0383A125A9C8}: NameServer = O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: TVGVP - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Tashka\LOCALS~1\Temp\TVGVP.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
ИльяQ Опубликовано 21 апреля, 2007 Жалоба Поделиться Опубликовано 21 апреля, 2007 to 'Denison' date='12.03.2007, 22:49' post='339010' я на рабочий бук подхватил вирус и именно благодаря Вашему форуму я почти от него избавился :) А не можешь перечислить как ты от него избавлялся? У меня как раз такой вирус :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения