Помощь в лечении систем от нечисти

[SpyHunter]

Сори.... ошибся адресатом.....по поводу трояна, а вторая часть касается SpyHunter по поводу Outpost

1. Открываешь HijackThis, жмешь Do a system scan only и отмечаешь галкой следующее:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Tatiana\LOCALS~1\Temp\winlogon.exe

O4 - Startup: Shortcut to authcliw.lnk = C:\Auth\authcliw.exe

O20 - Winlogon Notify: blur - C:\WINDOWS\system32\Ryxkc32ok.dll

ЭТ трогат ьили нет??? и как понят ьстроки про F8 типо в безопаске все делать??

Чтобы винда поднялась сгрузи Бекап через F8=> Последняя удачная конфигурация=)

как понять??? бесплатным доктором вебом уже проверял нефига

[torch777]

SpyHunter:

Конкретно твой случай! Когда ты вызываешь меню при загрузке кнопкой на твоей клавиатуре F8, ты видишь черный экран , а на нем написаны условия загрузки.....(Безопасный режим...режим отладки........ и т.д.) Тебе нужно найти строку последняя удачная конфигурация и система загрузит работоспособные параметры ОС....вот!

Далее поставь Outpost-это фаерволл...он поможет засечь атаку извне и через какой порт она производится, далее программа просто заблокирует этот порт без последствий для системы.

[Malak]

Здравствуйте. У меня завелся вирус…. При включении компа появляется окно «Вставьте диск в дисковод А», кроме этого окно «ошибка при загрузке >AxwvHwhaxw.Не найден указанный модуль», еще окно «Windows/system/cmd.exe». При работе в Интернете все время выскакивает окно с предложением купить какой-то антивирусник, причем кнопка «отмена» не спасает и сайт антивирусника все равно открывается. Но самое неприятное то, что окна Интернета закрываются сами собой каждые 5-7 минут из-за появляющегося окна 89.188.16.16…. При этом комп страшно тормозит и глючит. Еще постоянно меняется адрес стартовой страницы: я ее меняю, а она через минуту становится какой была…. Антивирусник стоит, но он ничего толком не находит, хотя недавно нашел вирус Radorop (так кажется называется….) СПАСИТЕ!!!!

[ser208]

Здравствуйте. У меня завелся вирус…. СПАСИТЕ!!!!

Читай в шапке порядок действий. Выкладывай логи.

[SpyHunter]

SpyHunter:

Конкретно твой случай! Когда ты вызываешь меню при загрузке кнопкой на твоей клавиатуре F8, ты видишь черный экран , а на нем написаны условия загрузки.....(Безопасный режим...режим отладки........ и т.д.) Тебе нужно найти строку последняя удачная конфигурация и система загрузит работоспособные параметры ОС....вот!

Далее поставь Outpost-это фаерволл...он поможет засечь атаку извне и через какой порт она производится, далее программа просто заблокирует этот порт без последствий для системы.

я поставил фаирвол тока мне пришлось ег овырубить=(((он заблокировал интернет эксплоер=(((как в нем работат ьможеш вкратсе обьяснить???

[ser208]

я поставил фаирвол тока мне пришлось ег овырубить=(((он заблокировал интернет эксплоер=(((как в нем работат ьможеш вкратсе обьяснить???

Ты поставил Оutpost? Проще всего тебе поставить IE в список "доверенных приложений". Это не совсем правильно, лучше для него создать правило, но это тебе путаница будет на первое время.

[Speed]

Привет! Подцепил заразу

Time Module Object Name Threat Action User Information

25.05.2007 19:17:14 AMON file C:\DOCUME~1\1ADAM~1.ADA\LOCALS~1\Temp\INF68F7.tmp Win32/Adware.Virtumonde application deleted (after the next restart) ADAM\1.Adam Event occurred at an attempt to access the file by the application: C:\WINDOWS1\SoftwareDistribution\Download\ee4e3f53263413e45e8c31061dec85f9\update\update.exe.

Time Module Object Name Threat Action User Information

23.05.2007 1:59:37 AMON file C:\WINDOWS1\system32\iifghhf.dll Win32/Adware.Virtumonde.BQ application NT AUTHORITY\SYSTEM Event occurred at an attempt to access the file by the application: \??\C:\WINDOWS1\system32\winlogon.exe.

от шо выдаёт НОД. На компе стоят 2 винды ( ХР и ХР лайт, стоят на одном диске (С) ) из под лайта я удалял ту дллку, т.к. нод писал , что после перезагрухки удалит и никак.

но в чём проблема : вирус не находит(под обоими виндоусами) , а комп глючит !!! глючит волнами (каждых 2-3 сек загрузка ЦП скачет до 60 - 80 % , ЦП загружает SYSTEM. Причём глючит только инфецированная винда , которая типа уже и здорова по приборам! В чём дело?

Лог стандартного виндоуса:

Logfile of HijackThis v1.99.1

Scan saved at 14:27:51, on 26.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS1\System32\smss.exe

C:\WINDOWS1\system32\winlogon.exe

C:\WINDOWS1\system32\services.exe

C:\WINDOWS1\system32\lsass.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\Explorer.EXE

C:\WINDOWS1\system32\spoolsv.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS1\system32\ctfmon.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS1\system32\HPZipm12.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\system32\wuauclt.exe

C:\Program Files\KillSoft\KillWatcher\kwatch.exe

C:\Documents and Settings\1.Adam.ADAM\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.videoediting.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe

O4 - HKCU\..\Run: [KillWatcher] C:\Program Files\KillSoft\KillWatcher\kwatch.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS1\system32\shdocvw.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{312709CB-2E86-40D6-8AA0-822546FE9547}: NameServer = 192.168.0.1 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C94771-C042-4094-BF4E-54AEAB67E5D1}: NameServer = 195.5.11.210,195.5.6.10

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS1\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS1\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS1\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS1\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS1\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS1\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS1\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS1\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS1\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS1\system32\wbem\wmiapsrv.exe

Лог Лайта :

Logfile of HijackThis v1.99.1

Scan saved at 13:04:07, on 26.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Tiny Personal Firewall\PERSFW.EXE

c:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.videoediting.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0A99C6-E190-4EF7-9FDA-6806FC9B69E8}: NameServer = 195.5.11.210,195.5.6.10

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

мир!

[torch777]

Speed:

В логах нет ничего подозрительного...

[Speed]

Speed:

В логах нет ничего подозрительного...

а должно бы юыть ..скачал прогу VundoFix . Она нашла 5 где-то дллок заражёных , только после этого лечения всё нормализовалось ... от лог от теперешнего состояния с-мы:

Logfile of HijackThis v1.99.1

Scan saved at 18:17:16, on 26.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS1\System32\smss.exe

C:\WINDOWS1\system32\winlogon.exe

C:\WINDOWS1\system32\services.exe

C:\WINDOWS1\system32\lsass.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\Explorer.EXE

C:\WINDOWS1\system32\spoolsv.exe

C:\WINDOWS1\system32\HPZipm12.exe

C:\WINDOWS1\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS1\system32\ctfmon.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS1\system32\wuauclt.exe

C:\Program Files\AIMP Classic\cAIMP.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\ESET\nod32kui.exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS1\system32\wuauclt.exe

C:\Documents and Settings\1.Adam.ADAM\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe

O4 - HKCU\..\Run: [KillWatcher] C:\Program Files\KillSoft\KillWatcher\kwatch.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{312709CB-2E86-40D6-8AA0-822546FE9547}: NameServer = 192.168.0.1 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C94771-C042-4094-BF4E-54AEAB67E5D1}: NameServer = 195.5.11.210,195.5.6.10

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS1\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS1\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS1\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS1\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS1\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS1\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS1\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS1\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS1\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS1\system32\wbem\wmiapsrv.exe

прокатите пассажиров!

[ser208]

В логах Hijack ни в первом, ни во втором нет ничего.

Я вот что заметил. Уже у двух человек трудно найти заразу, и у обоих включен "Диспетчер сеанса справки для удаленного рабочего стола". По умолчанию эта служба выключена. Уж не в этой ли службе обнаружилась уязвимость или зараза включает и использует ее втихую?

Дописано после поста ниже:

То что в логах появились записи на отсутствующие файлы

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

а раньше их не было, то наверняка работал руткит.

Что за новая зараза?

Изменено 26 мая, 2007 пользователем ser208

[torch777]

Speed:

А вот теперь есть=)

Открываешь HijackThis и жмешь Do a system scan only.

Далее отмечаешь следующие строки галкой:

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

потом жмешь Fix Cheked...

[GUST]

Speed

от шо выдаёт НОД. На компе стоят 2 винды ( ХР и ХР лайт, стоят на одном диске (С) ) из под лайта я удалял ту дллку, т.к. нод писал , что после перезагрухки удалит и никак.

Для начала поставь ДВЕ Винды на РАЗНЫЕ диски!!!

На одном будут глюки... :(

И что за занятие такое - ставить Винды в одну тарелку?... :D

Теперь опыт есть в установках, переставь на разные директории и радуйся жизни!

[Speed]

Для начала поставь ДВЕ Винды на РАЗНЫЕ диски!!!

На одном будут глюки...

И что за занятие такое - ставить Винды в одну тарелку?...

Теперь опыт есть в установках, переставь на разные директории и радуйся жизни!

я об проблемах знал (но пропустил мимо ушей ) , а вирус был катализатором для их начала

а на счёт файлов

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

то это те заражённые , которые удалены со второй стоило бы полечить

всё нужно тереть и начинать поновой :) :)

(лайт уже тоже глючит :D ) а долго ли эта утилита у вас проверяет ? VundoFix

что посоветует ?

а т.к. выкладывать логи стало доброй традицией (моей) то вот :

стандарт:

Logfile of HijackThis v1.99.1

Scan saved at 1:01:45, on 27.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS1\System32\smss.exe

C:\WINDOWS1\system32\winlogon.exe

C:\WINDOWS1\system32\services.exe

C:\WINDOWS1\system32\lsass.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\Explorer.EXE

C:\WINDOWS1\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS1\system32\HPZipm12.exe

C:\WINDOWS1\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS1\system32\ctfmon.exe

C:\Program Files\KillSoft\KillWatcher\kwatch.exe

C:\Program Files\QIP\qip.exe

C:\WINDOWS1\system32\wuauclt.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Total Commander\Totalcmd.exe

C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe

O4 - HKCU\..\Run: [KillWatcher] C:\Program Files\KillSoft\KillWatcher\kwatch.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C94771-C042-4094-BF4E-54AEAB67E5D1}: NameServer = 195.5.11.210,195.5.6.10

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS1\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS1\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS1\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS1\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS1\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS1\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS1\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS1\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS1\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS1\system32\wbem\wmiapsrv.exe

лайт(сейчас):

Logfile of HijackThis v1.99.1

Scan saved at 1:04:52, on 27.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Tiny Personal Firewall\PERSFW.EXE

C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.videoediting.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0A99C6-E190-4EF7-9FDA-6806FC9B69E8}: NameServer = 195.5.11.210,195.5.6.10

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

говорите!

[torch777]

Speed:

Стандарт....

Открываешь HijackThis и жмешь Do a system scan only.

Далее отмечаешь следующие строки галкой:

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

потом жмешь Fix Cheked...

Лайт...

Проблем нет...

Попробуй AVZ

[Saule]

Obrashajus' k Vam s pros'boj posmotret' na etot Log. Poxozhe ne vse zdesj vporjadke!

(t.k. osenju Vi mne spasli moj komp)

Proshu izvinenija za latinicu, u sina na kompe net russkoj klavi.

Для ситуаций, когда нет русской клавиатуры: http://www.translit.ru/

Удалить в логе можно следующие строки:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O8 - Extra context menu item: &Search -

http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZJ

И в целом очень много всего запускается в системе автоматически, но возможно вы действительно всем этим пользуетесь, поэтому советовать вам тут что-либо не совсем правильно, так как все эти программы "нормальные".

директор (девушка) гдето полазила в инете и нашла много подарков... сперва у нее нод 32 орал на 4 вируса... причем нод от них не мог избавиться... потом на рабочем столе появились экзешники 1 и 2 ... потом начались проблеммы с инетом... пока начал бороться хп легла до синего экрана и перезагрузка не помогла... щас загрузился в безопасном... поставил прогу...

Вам может помочь SDFix. С помощью одного HijackThis там не справится.

[Saule]

В логах Hijack ни в первом, ни во втором нет ничего.

Я вот что заметил. Уже у двух человек трудно найти заразу, и у обоих включен "Диспетчер сеанса справки для удаленного рабочего стола". По умолчанию эта служба выключена. Уж не в этой ли службе обнаружилась уязвимость или зараза включает и использует ее втихую?

Эта служба у тех людей не включена. И значение по умолчанию у неё должно быть 'Вручную', - именно такой тип запуска для неё, судя по логам, там и был установлен.

То что в логах появились записи на отсутствующие файлы

а раньше их не было, то наверняка работал руткит.

Что за новая зараза?

Зараза старая - это тот же Vundo, который давно использует для своей маскировки полнофункциональный руткит, поэтому HijackThis, разумеется, его ключи не выводит.

Стандарт....

Открываешь HijackThis и жмешь Do a system scan only.

Далее отмечаешь следующие строки галкой:

O2 - BHO: (no name) - {BCD8427B-AFCF-40FF-ABAC-BFD00970A0EB} - C:\WINDOWS1\system32\pmnnn.dll (file missing)

O20 - Winlogon Notify: iifghhf - iifghhf.dll (file missing)

потом жмешь Fix Cheked...

Лайт...

Проблем нет...

Удаление же строк, заканчивающихся '(file missing)' - по сути от проблем избавить не может.

Так как это либо пустое значение (бесполезная и ненужная запись в реестре, которая фактически ни на что, кроме чистоты, не влияет). Либо инфекция, частично для HijackThis невидимая, из-за чего удаление с его помощью не может быть эффективным.

Попробуй AVZ

Здесь желательно пояснять, что пользователь должен выполнить 'Исследование системы', а не просто сканирование, как это делается обычно.

[s1ngl0]

Нашел вас через поисковик,решил спросить..вобщем у меня какая-то дрянб в компе сидит антивирусы(Dr.Web,Kaspersky) её не находят..вобщем вот лог..осмотрите,скажите что не так..

Logfile of HijackThis v1.99.1

Scan saved at 13:34:07, on 27.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\CTHELPER.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\steam\steam.exe

D:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\AVERTV2K\QuickTV.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\system32\nvsvc32.exe

d:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\rooNy\Рабочий стол\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - d:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Outpost Firewall] "d:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] d:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "d:\steam\steam.exe" -silent

O4 - HKCU\..\Run: [MAgent] d:\Program Files\Mail.Ru\Agent\MAgent.exe -CU

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - d:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - d:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - d:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - d:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - d:\Program Files\Download Master\dmaster.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E72C89B0-7151-40E7-B34B-F0145CA1895A}: NameServer = 87.240.1.1,87.240.1.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - d:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Вобщем у меня какая-то дрянь в компе сидит,антивирусы(Dr.web,Kaspersky) не видят ничего..принаки:Система большую часть времени загружена на 100%,комп сам по себе выключется и ещё много мелочей..посмотрите,подскажите что не так тут..

Logfile of HijackThis v1.99.1

Scan saved at 13:34:07, on 27.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\CTHELPER.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\steam\steam.exe

D:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\AVERTV2K\QuickTV.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\system32\nvsvc32.exe

d:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\rooNy\Рабочий стол\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ra/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - d:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Outpost Firewall] "d:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] d:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "d:\steam\steam.exe" -silent

O4 - HKCU\..\Run: [MAgent] d:\Program Files\Mail.Ru\Agent\MAgent.exe -CU

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - d:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - d:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://d:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - d:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - d:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - d:\Program Files\Download Master\dmaster.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E72C89B0-7151-40E7-B34B-F0145CA1895A}: NameServer = 87.240.1.1,87.240.1.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - d:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Speed]

Saule , обращаюсь к тебе как к модератору . То что я не послушался друзей и брата в вопросе установки 2х ОС на один диск я сожалею , но как мне исправить ситуацию?Стоит форматировать и устанавливать по новой на разные "тарелки" как кто-то сказал ))) (хотя какие тарелки?(: ) Или каким-то образом АнИнСталировать одну винду?

[GUST]

Speed

Нет, Виндовозы не могут себя так отдельно деинсталлировать, увы.

Делается так:

Сохраняешь всё нужное. Можешь перетащить даже Documents and Settings

Другие нужные файлы.

Всё это на ДРУГОЙ диск! Если нет, то создай его PartitionMagic 8.0

Потом вставляешь загрузочный СД\ДВД и как обычно.

При запросе о форматировании сделай быстрое. И ставь туда Винду №1

А можешь УДАЛИТЬ этот диск, создать на его месте ДВА, если место позволяет. Или в другом месте создай ВТОРОЙ диск.

Более подробно в разделах о Виндовозах.

[Saule]

Нашел вас через поисковик,решил спросить..вобщем у меня какая-то дрянб в компе сидит антивирусы(Dr.Web,Kaspersky) её не находят..вобщем вот лог..осмотрите,скажите что не так..

Два вопроса, так как больше похоже на конфликт приложений:

Какие именно процессы обычно нагружают систему?

И чем сопровождается самостоятельная перезагрузка компьютера (системное сообщение, синий экран и т.п.)?

Saule , обращаюсь к тебе как к модератору . То что я не послушался друзей и брата в вопросе установки 2х ОС на один диск я сожалею , но как мне исправить ситуацию?Стоит форматировать и устанавливать по новой на разные "тарелки" как кто-то сказал ))) (хотя какие тарелки?(: ) Или каким-то образом АнИнСталировать одну винду?

С вопросами подобного рода действительно лучше обращаться в раздел по операционным системам. Но в любом случае, если уж делать кардинальные изменения, то наверное лучше сделать всё по возможности не тяп-ляп.

[s1ngl0]

Два вопроса, так как больше похоже на конфликт приложений:

Какие именно процессы обычно нагружают систему?

И чем сопровождается самостоятельная перезагрузка компьютера (системное сообщение, синий экран и т.п.)?

конфликтом приложений это не можжет быть,это точно.Перезагрузок было всего 2,меня больше удивляет отключение компа - он потом не включается минут 5.Я вчера прсканироал комп на наличие всей возможной заразы..и все используемые программы говорят что всё в порядке..

вчера заметил одну странную вешь:У меня комп подключен к локальной сети,так вот,её ресурсами я никогда не пользуюсь - мне нужен только интернет,т.е. у меня в диспетчере задач во вкладке "сеть" всегда активность на нуле.Вчера же эта активность появилась,и фаирвол её видит,но ничего не хочет с ней делать,я пытался правило создать,но бестолку.

Вопрос:С помошью какой программы,или настойки я полностью могу запретить доступ из сети?

[torch777]

s1ngl0: Я вот что обнаружил в вашем логе

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Сразу вопрос....вы ставили обновления KB918899 и KB914440, если да......то сразу могу сказать, что в пакет этого обновления входит xpnetdiag.exe, который занимается проверкой вашей сетки, что может вызвать активность вами описанную....

Какой фаерволл вы используете?

[.:KAIN:.]

Доброго времени суток))

У мя вопрос-были 3 вируса(adware,троян и червь) каспер их не вылечил,а удалил.На следующий день када я включил комп он мне выдал что есть ошибка RUN.DLL (newdotnet7_48.dll) видима каспер удалил и ету фигню-терь тормозит интернет.

Скачал тута LSPfix он мне сказал что все ок,хотя и-нет тормозит сё-равно.

Исче 2 вопроса-када мышку глючитЪ(то есть стрелка мышки на екране вылетает резко вверх,а в Call of Duty камера наводиться вверх и вертиться пока мышкой не шевельнешь) ето от вирусов или в настройках покапаться надо?

и последний вопрос-жестоко глючит иногда екран-все игры и проги начинают ттормозить,вот сейчас я пишу-а буковки появляються тока через секунд 5-6 :) и смайлики не движуться.также екран,после выхода из игры обновляеться оччень долго и потом тормозит комп-мож ето быть из за вируса? а AVZ 'ом нашел скрытые то ли вирусы то ли программы,а перехваченные процессы

выкладывать лог?

[torch777]

.:KAIN:.: Нужно произвести исследование системы.

Открывешь AVZ, далее закладка Файл=> Исследование системы

[Saule]

конфликтом приложений это не можжет быть,это точно.

Любая самопроизвольная (т.е. не вызванная определенной командой) перезагрузка компьютера, как правило, возникает из-за конфликта в системе или железе (связанного конкретно с вирусным кодом или не с вирусным - уже не суть важно). Тем более, если после этого есть трудности с его включением.

Простейший пример "непонятного глюка": steam.exe и Dr.WEB.

Я вот что обнаружил в вашем логе...

Вы обнаружили дополнительные сервисы на главной панели IE (Tools > Network Diagnostic), которые без их преднамеренного запуска активность не проявляют (в любом случае на момент работы xpnetdiag.exe, он должен быть в активных процессах + попробуйте проверить из личного любопытства, насколько сильно он нагружает систему).

Какой фаерволл вы используете?

Неужели ответа на этот вопрос вы в логе не обнаружили? :)

Outpost Firewall: как можно заблокировать доступ других компьютеров в локальной сети к моему компьютеру.