Помощь в лечении систем от нечисти

[PhantasM]

нет там вирусов.

[Madlen]

Помогите пожалуйста. Из интернета подхватила сразу несколько Троянов: Win32: Agent, Qhost, Small, Sivuxa. При попытке подключения к Интернету начинается загрузка новых троянов, компьютер выдаёт ошибку и вырубается. Я заблокировала все подозрительные программы через фаервол, но это не помогает. Проверяла систему несколько раз Авастом, HaxFix и AVZ.

Logfile of HijackThis v1.99.1

Scan saved at 10:49:17, on 07.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\kernelwind32.exe

C:\WINDOWS\system32\advsoxch.exe

C:\WINDOWS\system32\drvaxaex.exe

C:\WINDOWS\system32\jdnems.exe

C:\WINDOWS\system32\cncersh.exe

C:\WINDOWS\system32\spoolsvv.exe

C:\WINDOWS\system32\zewlsm.exe

C:\WINDOWS\system32\depwmce.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\WINDOWS\system32\vedxg6ame4.exe

C:\WINDOWS\system32\secvkoqm.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Olympus\DeviceDetector\DM1Service.exe

C:\Program Files\Macromedia\Flash Communication Server MX\FlashComAdmin.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

C:\Program Files\Macromedia\Flash Communication Server MX\FlashCom.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\dllh8jkd1q7.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Editor plugin - {0EEDB1E5-5765-4a2a-9D72-CB5213D756C0} - fertbuk.dll (file missing)

O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernelwind32.exe

O4 - HKLM\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKLM\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKLM\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKLM\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKLM\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [shlsts] secvkoqm.exe

O4 - HKLM\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKLM\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe

O4 - HKCU\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKCU\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKCU\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKCU\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKCU\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKCU\..\Run: [shlsts] secvkoqm.exe

O4 - HKCU\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKCU\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DM1Service - OLYMPUS Corporation - C:\Program Files\Olympus\DeviceDetector\DM1Service.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Flash Communication Server (FlashCom) - Macromedia, Inc. - C:\Program Files\Macromedia\Flash Communication Server MX\FlashCom.exe

O23 - Service: Flash Communication Admin Service (FlashComAdmin) - Macromedia, Inc. - C:\Program Files\Macromedia\Flash Communication Server MX\FlashComAdmin.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Помогите пожалуйста. Из интернета подхватила сразу несколько Троянов: Win32: Agent, Qhost, Small, Sivuxa. При попытке подключения к Интернету начинается загрузка новых троянов, компьютер выдаёт ошибку и вырубается. Я заблокировала все подозрительные программы через фаервол, но это не помогает. Проверяла систему несколько раз Авастом, HaxFix и AVZ.

1. Вам нужен SDFix - скачиваем и запускаем (это самораспаковывающийся архив). В системном каталоге будет создана папка SDFix:
   C:\
   SDFix
2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)
   При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
3. Открываем папку SDFix и запускаем файл RunThis.bat.

   Пишем букву Y и нажимаем на ENTER.

   Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

   Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

4. После перезагрузки процедура удаления снова ненадолго продолжится.

   Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

   Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

   Плюс все удаленные файлы будут автоматически сохранены в папку 'Backups', которая по умолчанию создается вот здесь:

   C:\SDFix\backups\
   backups.zip

   Удалите её.

После этого, если что-то будет еще беспокоить, нужно сделайте новый лог + также не будет лишним присоединить лог SDFix к своему сообщению.

[Madlen]

Просканировала компьютер, но это дало мало результатов.

При первом же подключении к сети начали грузиться вирусы,

а когда я отменила загрузку, компьютер выдал ошибку.

Скачать присоединенный файл (avz_log.txt):

Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 07.08.2007 15:51:59

Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58493

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:GetCursor (265) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetIconInfo (283) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetWindowPos (644) перехвачена, метод CodeHijack (метод не определен)

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo.Lqtm68.sys jmp F718D999

Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo.Lqtm68.sys jmp F718D705

Функция NtWriteVirtualMemory (115) перехвачена (805A82F6->F3DA4270), перехватчик C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS

Проверено функций: 284, перехвачено: 1, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 47

Количество загруженных модулей: 398

Прямое чтение c:\documents and settings\all users\Документы\settings\bot.dll

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\All Users\Документы\Settings\bot.dll

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DF7257.tmp

Прямое чтение C:\WINDOWS\Temp\JET6D5B.tmp

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, оконные события

C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 16 TCP портов и 16 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 117206, извлечено из архивов: 93745, найдено вредоносных программ 0

Сканирование завершено в 07.08.2007 16:10:34

Сканирование длилось 00:18:35

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Автоматическая чистка следов удаленных в ходе лечения программ

[микропрограмма лечения]> Удалена служба/драйвер VFILT

>>>Для удаления файла C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll необходима перезагрузка

Автоматическая чистка следов удаленных в ходе лечения программ

Скачать присоединенный файл (hijackthis2.txt):

Logfile of HijackThis v1.99.1

Scan saved at 15:34:23, on 07.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Olympus\DeviceDetector\DM1Service.exe

C:\Program Files\Macromedia\Flash Communication Server MX\FlashComAdmin.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

C:\Program Files\Macromedia\Flash Communication Server MX\FlashCom.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\advsoxch.exe

C:\WINDOWS\system32\drvaxaex.exe

C:\WINDOWS\system32\jdnems.exe

C:\WINDOWS\system32\cncersh.exe

C:\WINDOWS\system32\secvkoqm.exe

C:\WINDOWS\system32\zewlsm.exe

C:\WINDOWS\system32\depwmce.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Editor plugin - {0EEDB1E5-5765-4a2a-9D72-CB5213D756C0} - fertbuk.dll (file missing)

O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKLM\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKLM\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKLM\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKLM\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKLM\..\Run: [shlsts] secvkoqm.exe

O4 - HKLM\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKLM\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKCU\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKCU\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKCU\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKCU\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKCU\..\Run: [shlsts] secvkoqm.exe

O4 - HKCU\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKCU\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DM1Service - OLYMPUS Corporation - C:\Program Files\Olympus\DeviceDetector\DM1Service.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Flash Communication Server (FlashCom) - Macromedia, Inc. - C:\Program Files\Macromedia\Flash Communication Server MX\FlashCom.exe

O23 - Service: Flash Communication Admin Service (FlashComAdmin) - Macromedia, Inc. - C:\Program Files\Macromedia\Flash Communication Server MX\FlashComAdmin.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Скачать присоединенный файл (Report.txt):

SDFix: Version 1.96

Run by Администратор on 07.08.2007 at 16:17

Microsoft Windows XP [Версия 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Patched tcpip.sys Found!

tcpip.sys File Locations:

C:\WINDOWS\system32\dllcache\tcpip.sys

C:\WINDOWS\system32\drivers\tcpip.sys

MD5 Checksum:

[C:\WINDOWS\system32\dllcache\tcpip.sys] 536936437B1E1D1B42532C728F74BEB7

[C:\WINDOWS\system32\drivers\tcpip.sys] 536936437B1E1D1B42532C728F74BEB7

Detected Patched Files Are Listed Below:

C:\WINDOWS\system32\dllcache\tcpip.sys

C:\WINDOWS\system32\drivers\tcpip.sys

Note: SDFix Does Not Repair This File!

Please Scan All Files Above At VirusTotal!

If No Clean Copies Are Found Download The Below Update To Restore Original Files:

http://www.microsoft.com/technet/security/...n/ms06-032.mspx

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Trojan Files Found:

C:\WINDOWS\wpcjmd.log - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\system32\\advsoxch.exe"="C:\\WINDOWS\\system32\\advsoxch.exe:*:Enabled:Server"

"C:\\WINDOWS\\system32\\drvaxaex.exe"="C:\\WINDOWS\\system32\\drvaxaex.exe:*:Enabled:Server"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\\WINDOWS\\system32\\advsoxch.exe"="C:\\WINDOWS\\system32\\advsoxch.exe:*:Enabled:Server"

"C:\\WINDOWS\\system32\\drvaxaex.exe"="C:\\WINDOWS\\system32\\drvaxaex.exe:*:Enabled:Server"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\All Users\Документы\Settings\bot.dll

C:\WINDOWS\system32\advsoxch.exe

C:\WINDOWS\system32\cncersh.exe

C:\WINDOWS\system32\depwmce.exe

C:\WINDOWS\system32\drvaxaex.exe

C:\WINDOWS\system32\jdnems.exe

C:\WINDOWS\system32\secvkoqm.exe

C:\WINDOWS\system32\xmlwajgy.exe

C:\WINDOWS\system32\zewlsm.exe

Finished

[Saule]

Просканировала компьютер, но это дало мало результатов...

Странно, так как SDFix должен прекрасно справляться именно с этими видами (хотя, возможно, не приспособлен под русскую Windows).

Придется удалять всё это вручную:

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: Editor plugin - {0EEDB1E5-5765-4a2a-9D72-CB5213D756C0} - fertbuk.dll (file missing)

O4 - HKLM\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKLM\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKLM\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKLM\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKLM\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKLM\..\Run: [shlsts] secvkoqm.exe

O4 - HKLM\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKLM\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

O4 - HKCU\..\Run: [irdmelt] xmlwajgy.exe

O4 - HKCU\..\Run: [ismdoc] C:\WINDOWS\system32\advsoxch.exe

O4 - HKCU\..\Run: [blwquest] C:\WINDOWS\system32\drvaxaex.exe

O4 - HKCU\..\Run: [jsispsl] C:\WINDOWS\system32\jdnems.exe

O4 - HKCU\..\Run: [certds] C:\WINDOWS\system32\cncersh.exe

O4 - HKCU\..\Run: [shlsts] secvkoqm.exe

O4 - HKCU\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe

O4 - HKCU\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Теперь запускаем AVZ и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на файл bot.dll и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с bot.dll и затем нажимаем на кнопку "X").

3. Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).

4. После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\Documents and Settings\All Users\Документы\Settings\bot.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое по-очередно, делаем со следующими файлами:

C:\WINDOWS\system32\advsoxch.exe

C:\WINDOWS\system32\cncersh.exe

C:\WINDOWS\system32\depwmce.exe

C:\WINDOWS\system32\drvaxaex.exe

C:\WINDOWS\system32\jdnems.exe

C:\WINDOWS\system32\secvkoqm.exe

C:\WINDOWS\system32\xmlwajgy.exe

C:\WINDOWS\system32\zewlsm.exe

5. И теперь снова перезагружаем компьютер.

_______________________________

Если вдруг и после этого что-то останется, то сделайте, пожалуйста, "Исследование системы" с помощью AVZ (в его верхнем меню нужно нажать: Файл > Исследование системы, после чего присоединяем полученный протокол к своему сообщению).

[shuisky]

Уважаемая Saule!

Большое Вам спасибо за внимание, помощь и за подробный ответ. К сожелению, я не успел его тогда даже прочитать: компьютер подвергся мощной вирусной атаке (антивирусник, прежде чем отключиться, насчитал вдруг более 200 вирусов и троянов, и затем система разрушилась). Таким образом, всё равно пришлось форматировать диск и переустанавливать XP, и теперь мы уже не узнаем, откуда там регулярно возникал Win32.Zhelatin-ALE. На сей раз установлен и Service Pack 2, как Вы порекомендовали. Антивирусники - по-прежнему avast и Ad-Aware SE Personal. Надеюсь, этого хватит? :)

Позвольте еще раз поблагодарить Вас за помощь.

С уважением и наилучшими пожеланиями, Владимир

[Soroka]

Помогите, пожалуйста! Подозреваю, что с компьютером, мягко говоря, что-то не ладно. Начал вдруг интересные вещи творить:самопроизвольно выходит из интернета, очень долго открывает страницы, причем часто не может открыть (чего раньше никогда не бывало), заходит в интернет через раз. Началось все это внезапно. Антивирус AntiVir Guard ничего не обнаруживает.

Logfile of HijackThis v1.99.1

Scan saved at 22:43:24, on 07.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

D:\миша\icq\quicktime\quicktime pro 6.4\qttask.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\DRTools\daemon.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Игры\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [QuickTime Task] "D:\миша\icq\quicktime\quicktime pro 6.4\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iCQ Lite] "D:\Миша\ICQ\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DRTools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\User\LOCALS~1\Temp\er427421.exe

O4 - HKCU\..\Run: [iCQ] "C:\Program Files\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [EDLauncher] C:\Program Files\PRMTED\EDLauncher.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Миша\ICQ\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/search.htm

O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/planet.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/dic.htm

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Миша\ICQ\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Миша\ICQ\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.p0rt2.com

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E3ED0D0A-2978-44D3-987E-2A6A831B6DAB}: NameServer = 212.188.4.10 195.34.32.116

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\User\LOCALS~1\Temp\hpdj.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Очень надеюсь на вашу помощь!

[PhantasM]

Помогите, пожалуйста! Подозреваю, что с компьютером, мягко говоря, что-то не ладно.

загрузитесь в "безопасном режиме" аккуратно выделив файлы hpdj.exe и er427421.exe (последний возможно уже будет называться по другому, но близко к тому) находящиеся по адресу C:\Documents and Settings\User\Local Settings\Temp\ упакуйте

в zip-архив с паролем virus и выложите на какой либо файловый обменник, ссылку на него дайте сюда.

Пофиксите в HijackThis:

O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\User\LOCALS~1\Temp\er427421.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Миша\ICQ\ICQLite\ICQLite.exe -trayboot

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\User\LOCALS~1\Temp\hpdj.exe (file missing)

Так же есть подозрение что ваш ICQ Lite пропатчен (испорчен).

Удалите его установите чуть позже.

Сделайте лог HijackThis ещё раз

Изменено 8 августа, 2007 пользователем PhantasM

[kurt]

Здравствуйте!

У меня возникла проблема с сервисной службой "DCOM Server Process"... в один прекрасный день на экране появилось окно в котором говорилось что эта служба была "завершена некорректно" и необходимо перезапустить ОС. В итоге получился замкнутый круг. При каждом перезапуске ОС через минуты 2-3 опять выскакивала это сообщение и автоматически перезагружало ОС. В конечном счете мне удалось выключить ее, но при попытке перезапуска этой службы, выдало ошибку о том что невозможно запустить ее ... а эта служба нужна.

Вопрос! Это дело рук вирусов?! Если да, то как можно их изничтожить и чем?! Пробывал Symantec"ом", ничего не находит. Или единственный вариант - переустановка ОС?!

Заранее спасибо!

[Madlen]

Все файлы удалила, но вирусы продолжают грузиться. Присоединяю отчёт

message.rar

message.rar

[Saule]

Все файлы удалила, но вирусы продолжают грузиться. Присоединяю отчёт

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\drivers\Lqtm68.sys');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки (Запустить).

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

2. После этого желательно повторить отчет по 'Исследованию системы' с помощью AVZ.

[snt]

Сканирую Doctor Web curient получаю сообщение:

С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319

После удаления возникает снова при рестарте.

Проверка антируткитом Panda Anti-Rootkit v 1.08.00 выявляет 3 зараженных папки

C:\Windows\system32\drivers\runtime2. sy_

C:\Windows\system32\drivers\runtime2. sys

C:\Windows\Temp\startdvr.exe

Найти эти файлы не могу,их не видно.

После удаления этих 3 папок компьютер не запускается. Загружался используя последнюю работоспособную загрузку

Проверка в безопасном режиме обоими сканерами+ AVZ ничего не выявляет.

После сканирования AVZ в режиме «Поиск и нейтрализация RootKit и KernelMode»

повторное сканирование Panda Anti-Rootkit v 1.08.00 выявляет 2 зараженных папки

C:\Windows\system32\drivers\runtime2. sy_

C:\Windows\system32\drivers\runtime2. sys

Квалификация-чайник

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:40:22, on 08.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DrWebScd.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\xPrint\manager.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\я\Мои документы\Антивирусы\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DrWebScd.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Start HASP-Emu.lnk = C:\Program Files\Sable\WINNT\startnt.bat

O4 - Startup: Ярлык для manager.lnk = C:\Program Files\xPrint\manager.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS1\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS2\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS3\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS4\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS5\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS6\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O17 - HKLM\System\CS7\Services\Tcpip\..\{69848244-9EB3-4B5B-AE2C-B99B00C098C9}: NameServer = 10.0.0.11,84.204.88.15

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 7126 bytes

avz_sysinfo.htm

avz_sysinfo.htm

[PhantasM]

Сканирую Doctor Web curient получаю сообщение:

С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319

После удаления возникает снова при рестарте.

Проверка антируткитом Panda Anti-Rootkit v 1.08.00 выявляет 3 зараженных папки

1. Отключите временно Антивирус

2. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);BC_DeleteFile('C:\WINDOWS\system32\net.exe');BC_DeleteFile('C:\WINDOWS\system32\net1.exe');BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');BC_DeleteFile('system32\DRIVERS\Ip6Fw.sys');BC_DeleteFile('C:\WINDOWS\system32\FORDGA~1.SCR');BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки (Запустить).

Компьютер перезагрузится. Пофиксить в HijackThis если останется строчки

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll (file missing)

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

Сделайте лог AVZ ещё раз и присоедените к следующему сообщению

Изменено 8 августа, 2007 пользователем PhantasM

[Saule]

PhantasM

Если можно, немного поправлю:

BC_DeleteFile('C:\WINDOWS\system32\net.exe');

BC_DeleteFile('C:\WINDOWS\system32\net1.exe');

Скорее всего это нормальные приложения Windows (Net Command).

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

К сожалению, службы HijackThis удалять не умеет. Можно ручками через cmd: sc delete Google Updater Service. Но в целом такие программы лучше всего удалять стандартными способами (Control Panel/Панель управления > Add or Remove Programs/Установка и удаление программ).

____________________________________

snt

В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');DeleteFile('C:\WINDOWS\system32\cssrss.exe');DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки (Запустить).

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

Плюс еще под вопросом скринсейвер (нормальное имя файла в данном случае можете увидеть только вы сами):

C:\WINDOWS\system32\

FORDGA~1.SCR

Вы сами его устанавливали? Если да - то всё ок. Если нет - тоже нужно будет удалить из системы.

После этого желательно повторить отчет по 'Исследованию системы' с помощью AVZ.

[snt]

Выполнил оба скрина.

1).Сканеры ничего не находят.

2).Пофиксить-это отметить галочкой и нажать Fix checked ??

3).C:\WINDOWS\system32\FORDGA~1.SCR визуально в папке нет.

Есть C:\WINDOWS\system32 \FordGalaxy dir

И помошник по поиску нашел

C:\WINDOWS\Prefetch\FORDGA~1.SCR-055FBCOC.pf

Удалять?

avz_sysinfo.htm

avz_sysinfo.htm

[Saule]

2).Пофиксить-это отметить галочкой и нажать Fix checked ??

Да.

3).C:\WINDOWS\system32\FORDGA~1.SCR визуально в папке нет.

Есть C:\WINDOWS\system32 \FordGalaxy dir

Это, скорей всего, один и тот же файл, просто путь в лог был выведен в формате короткого имени (8+3; поэтому и написала, что нормальное имя файла в данном случае можете увидеть только вы сами).

Вы в курсе что это за скринсейвер? Речь идет о заставке рабочего стола (или еще их называют хранителями экрана): кликаем правой кнопкой мыши по рабочему столу > заходим в 'Properties' ('Свойства') > третья закладка 'Screen Saver' ('Заставка'). Если нет, то лучше удалить.

И помошник по поиску нашел

C:\WINDOWS\Prefetch\FORDGA~1.SCR-055FBCOC.pf

Удалять?

Папка Prefetch используется Windows, чтобы ускорить процесс загрузки программ.

В ней находиться информация о часто открываемых вами программах для более быстрого доступа к ним (как бы их своеобразные копии, которые используются Windows). Но то, что в ней лежит - для пользователя неопасно. Правда, иногда её всё-таки лучше чистить (можно удалить вообще всё её содержимое, после перезагрузки Windows сама создаст в ней то, что ей будет нужно).

[Saule]

Антивирусники - по-прежнему avast и Ad-Aware SE Personal. Надеюсь, этого хватит? :D

При "аккуратном" поведении должно хватить + попробуйте, когда будет время, почитать сообщения этого топика: Важно знать (если будут какие-нибудь вопросы - не стесняйтесь).

У меня возникла проблема с сервисной службой "DCOM Server Process"... в один прекрасный день на экране появилось окно в котором говорилось что эта служба была "завершена некорректно" и необходимо перезапустить ОС. В итоге получился замкнутый круг. При каждом перезапуске ОС через минуты 2-3 опять выскакивала это сообщение и автоматически перезагружало ОС. В конечном счете мне удалось выключить ее, но при попытке перезапуска этой службы, выдало ошибку о том что невозможно запустить ее ... а эта служба нужна.

Вопрос! Это дело рук вирусов?! Если да, то как можно их изничтожить и чем?! Пробывал Symantec"ом", ничего не находит. Или единственный вариант - переустановка ОС?!

В целом может быть из-за чего угодно (к сожалению, в сообщении недостаточно информации, чтобы можно было судить о причинах).

С помощью чего вы её выключали? И какая именно ошибка возникает тогда, когда вы хотите её включить?

Чтобы было понятнее, для примера ошибка при запуске другой службы:

[Madlen]

При запуске этого скрипта, компьютер выдал ошибку.

Вот что было на экране

[snt]

Все работает,спасибо за помощь.

Завидую вашим мозгам.

В завершении маленький вопрос.

Папка С:\windows\system32\drivers\ip6fw.sys исчезла так и должно быть?

В нормальной системе эта папка отсутствует?

[Soroka]

загрузитесь в "безопасном режиме" аккуратно выделив файлы hpdj.exe и er427421.exe (последний возможно уже будет называться по другому, но близко к тому) находящиеся по адресу C:\Documents and Settings\User\Local Settings\Temp\ упакуйте

в zip-архив с паролем virus и выложите на какой либо файловый обменник, ссылку на него дайте сюда.

По такому адресу у меня, как ни странно, вообще нет ехе-файлов.

ICQ Lite удалила. Симптомы прежние:в интернет пускает по собственному усмотрению (компьютер почему-то перестает видеть модем, хотя тот работает нормально. Причем это происходит через некоторое время после загрузки, а в первые 5-10 минут все хорошо). Что делать?Как быть?

Вот новый лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 22:21:24, on 09.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

D:\миша\icq\quicktime\quicktime pro 6.4\qttask.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\DRTools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Игры\hijackthis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\78d84a82af5a3196531f37031d0afb2a\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [QuickTime Task] "D:\миша\icq\quicktime\quicktime pro 6.4\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DRTools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [iCQ] "C:\Program Files\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [EDLauncher] C:\Program Files\PRMTED\EDLauncher.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/search.htm

O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/planet.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/dic.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.p0rt2.com

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E3ED0D0A-2978-44D3-987E-2A6A831B6DAB}: NameServer = 212.188.4.10 195.34.32.116

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[PhantasM]

Soroka

К сожалению недостаточно данных. Сделайте пожалуйста лог AVZ как описано выше в правилах и прикрепите его к своему сообщению

Snt

Да, это так это был зловред и он был удалён с помощью AVZ

Изменено 9 августа, 2007 пользователем PhantasM

[Soroka]

avz_sysinfo.htmВот лог AVZ. Сделала, что могла. Не знаю, насколько это то, что нужно. Я слабо разбираюсь во всем этом

avz_sysinfo.htm

[PhantasM]

Судя по логам - чисто. Кажется ваш антивирус вполне справляется. Но подождём может меня поправят.

Необходимо чтобы вы уточнили в тот момент когда "пропадает интернет" соединение активно (мерцают или горят мониторчики в системном трее) или нет.

Если нет - думаю это проблема железа. Попробуйте обновить драйвера модема, или поставить штатные Виндоуз если таковые имеются.

Может у вас есть какие либо ещё наблюдения или мнеия о том почему обрывается связь?

Не выпадают ли какие либо системные сообщения перед тем как обрывается или подвисает соединение?

Посмотрите в журнале - Панель управления - Администрирование - Просмотр событий - Система наличие ошибок

[Saule]

При запуске этого скрипта, компьютер выдал ошибку...

А можно посмотреть на новый лог "Исследования системы" с помощью AVZ?

В завершении маленький вопрос.

Папка С:\windows\system32\drivers\ip6fw.sys исчезла так и должно быть?

В нормальной системе эта папка отсутствует?

В нормальной системе этот файл присутствует. Но в вашем случае настоящий ip6fw.sys был заменен руткитом (или другими словами был заражен вирусом - поэтому антивирус на него и ругался).

К счастью, удаление этого файла не критично, так как он на самом деле редко используется (ip6fw.sys - это драйвер файрволла Windows для фильтрации IPv6 трафика; но сам протокол IPv6 до сих пор так и не получил широкого распространения в интернете и в целом вообще многими программами не поддерживается).

Тем не менее, если вы используйте файрволл Windows, вы можете восстановить этот файл из своего же дистрибутива (будем надеяться, что руткит до него не добрался). Для этого можно попробовать сделать следующее:

Нажимаем:

Start > Run (Пуск > Выполнить)

И копируем в строку:

cmd

Затем на ОК или на клавишу ENTER.

В открывшемся приложении вводим:

ipv6 install

И снова на ENTER:

[snt]

Всем спасибо за помощь.

Впечатлен!