Помощь в лечении систем от нечисти

**Влад70** · 7 июля, 2007

Это Picasa и сопутсвующие "прелести" Google.

Google Updater Service (gusvc) отключи хотя бы в службах.

а как это сделать?

**ser208** · 7 июля, 2007

Пуск--Выполнить--services.msc

Два раза щелкни по этой службе и выбери Тип запуска "Отключено".

**Влад70** · 7 июля, 2007

Пуск--Выполнить--services.msc

Два раза щелкни по этой службе и выбери Тип запуска "Отключено".

Спасибо

**vovvan12** · 7 июля, 2007

есть winosz32.dll. dr web пишет , что там инфекция давим на удаление, но удаление не происходит. запускается эта библиотека вместе с wilogon.exe поэтому даже руками никак.

что делать?

добовляю. дрктор находит только сразу после обнавления антив баз, ну а после нет.пробовал в ручную проверку, говорит вирей нет.

**vovvan12** · 8 июля, 2007

спасибо за помощ. забил я его яки мамонта, вроде пока нетути. слобоват доктор против него, видит но не лечит.

использовал avg anti-spuware.

**Brox** · 8 июля, 2007

спасибо за помощ. забил я его яки мамонта, вроде пока нетути. слобоват доктор против него, видит но не лечит.

Ставь новую версию доктора, она для таких троев не слабовата. :)

http://www.softboard.ru/index.php?s=&s...st&p=350302

**Saule** · 9 июля, 2007

Помоему у меня завелся какой то вирус, Доктор Веб ничего не видит.
У меня подозрение вот на это: GoogleDesktopIndex.exe

Если Google Desktop был установлен на ваш компьютер как бы без вашего ведома, то просто удалите его через Start > Control Panel > Add or Remove Programs (Пуск > Панель управления > Установка и удаление программ).

Просто аккуратно просмотрите весь список и найдите программы, которые относятся к Google. Как правило, их всего три: Google Desktop, Google Toolbar для вашего браузера и программа обновлений Google. Деинсталлируйте то, что вам не нужно:

Доброе время суток ! Помогите пожалуйста.
Касперский выдаёт:

Infiziert: trojanisches Programm Trojan.Win32.BHO.bd D:\System Volume Information\_restore{E7D851A8-2F15-4F6A-956F-3D8A1D23AF2A}\RP47\A0009170.dll 23.5 KB

Infiziert: trojanisches Programm Trojan.Win32.Agent.abd D:\Programme\Alcohol Soft\Alcohol 120\star_syn_client.dll 42.9 KB

Infiziert: trojanisches Programm Trojan.Win32.BHO.bd D:\Programme\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll 23.5 KB

1. По логу HijackThis можно пофиксить следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

2. Для удаления 'Infiziert: trojanisches Programm Trojan.Win32.BHO.bd D:\System Volume Information\_restore{E7D851A8-2F15-4F6A-956F-3D8A1D23AF2A}\RP47\A0009170.dll':

Кликаем правой кнопкой мыши на "My Computer" ("Мой Компьютер") и заходим в "Properties" ("Свойства").

Находим закладку "System Restore" ("Восстановление Системы") и ставим галочку напротив "Turn off System Restore on all drives" ("Запpетить Восстановление Системных файлов на всех дисках").

Затем на "Apply" ("Пpименить").

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".

Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

После этого папки System Volume Information будут чистыми.

3. С помощью AX_RU.dll и star_syn_client.dll, насколько я понимаю, была незаконно активирована [крэк] программа Alcohol 120. Поэтому это уже на ваше личное усмотрение.

**Kontra** · 9 июля, 2007

Где-то подцепила троян ntos.exe Пока видимых проблем со звуком и тороможения системы не наблюдается (уже не в первый раз сталкиваюсь с этим вирусом) В безопасном режиме не удаляется. Нод32, как обычно, его не определил.

вот лог...

Logfile of HijackThis v1.99.1

Scan saved at 21:18:12, on 09.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\csrss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\Explorer.EXE

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS.0\system32\igfxtray.exe

C:\WINDOWS.0\system32\hkcmd.exe

C:\WINDOWS.0\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Program Files\Eset\nod32kui.exe

C:\acer\epm\epm-dm.exe

C:\WINDOWS.0\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Total Commander\Totalcmd.exe

C:\Program Files\Light Alloy\LA.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\ReeGa\LOCALS~1\Temp\_tc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\ntos.exe,

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS.0\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [userinit] C:\WINDOWS.0\system32\ntos.exe

O4 - Global Startup: ORIENTWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{D52062D4-899D-49AA-BB12-1FA2DCA40A5C}: NameServer = 10.140.142.45 10.140.142.42

O20 - Winlogon Notify: igfxcui - C:\WINDOWS.0\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.0\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS.0\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS.0\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.0\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.0\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.0\system32\wbem\wmiapsrv.exe

**Saule** · 9 июля, 2007

Где-то подцепила троян ntos.exe Пока видимых проблем со звуком и тороможения системы не наблюдается (уже не в первый раз сталкиваюсь с этим вирусом) В безопасном режиме не удаляется. Нод32, как обычно, его не определил.

Cкачиваем SDFix и запускаем - это самораспаковывающийся архив (если NOD32 будет ругаться на приложение Win32/PrcView, то прочтите вот этот пост).
В системном каталоге будет создана папка SDFix:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

Плюс все удаленные файлы будут автоматически сохранены в папку 'Backups', которая по умолчанию создается вот здесь:

C:\SDFix\backups\

backups.zip

Удалите её.

После этого, если что-то будет еще беспокоить, то нужно сделайте новый лог + также не будет лишним присоединить лог SDFix к своему сообщению.

**frolic** · 11 июля, 2007

Помогите.

Проверил ПК AVZ, нашел winlogon, вроде AVZ удалил его.

Стал сам копаться дальше и нашел ntos.exe... почитал этот форум, скачал CDFix, но проблема осталась.

Вот лог до и после использования CDFix...

Logfile of HijackThis v1.99.1

Scan saved at 10:28:05, on 11.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\comm3\LOCALS~1\Temp\winlogon.exe

\Acs2\obmen\Obmen_Kompanija\Дима\ПРОВЕРКА\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.253:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [fci] C:\WINDOWS\system32\icf.exe

O4 - HKCU\..\Run: [userinit] C:\Documents and Settings\comm3\Application Data\ntos.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\comm3\LOCALS~1\Temp\winlogon.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = acs.ufa.ru

O17 - HKLM\Software\..\Telephony: DomainName = acs.ufa.ru

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A022C1D-3A4E-4A15-9C56-D653C729CD10}: NameServer = 192.168.0.253

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = acs.ufa.ru

O17 - HKLM\System\CS1\Services\Tcpip\..\{4A022C1D-3A4E-4A15-9C56-D653C729CD10}: NameServer = 192.168.0.253

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = acs.ufa.ru

O17 - HKLM\System\CS2\Services\Tcpip\..\{4A022C1D-3A4E-4A15-9C56-D653C729CD10}: NameServer = 192.168.0.253

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Winpower - ZeroG Software - C:\PROGRA~1\UpsPilot\Winpower.exe

O23 - Service: Winpowermanager - ZeroG Software - C:\PROGRA~1\UpsPilot\manager.exe

O23 - Service: Winpowermonitor - ZeroG Software - C:\PROGRA~1\UpsPilot\monitor.exe

O23 - Service: WinpowerRMI - ZeroG Software - C:\PROGRA~1\UpsPilot\wpRMI.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

после...

Logfile of HijackThis v1.99.1

Scan saved at 10:50:14, on 11.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\cmd.exe

C:\DOCUME~1\comm3\LOCALS~1\Temp\winlogon.exe

C:\WINDOWS\system32\net.exe

C:\WINDOWS\regedit.exe

\Acs2\obmen\Obmen_Kompanija\Дима\ПРОВЕРКА\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.253:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe

O4 - HKLM\..\RunOnce: [sDFix] C:\SDFIX\RUNTHIS.BAT /second