Помощь в лечении систем от нечисти

**strepsils** · 11 августа, 2007

помогите, пожалуйста!

из-за известной пакости ru.errorsafe мой компьютер работает раз в двадцать медленее чем обычно, да еще и при каждом запуске IE открывает тридцать окон с оф. сайтом этой мерзкой программы. как мне истребить заразу окончательно и бесповоротно?

**Saule** · 11 августа, 2007

Помогите, пожалуйста! Подозреваю, что с компьютером, мягко говоря, что-то не ладно. Начал вдруг интересные вещи творить:самопроизвольно выходит из интернета, очень долго открывает страницы, причем часто не может открыть (чего раньше никогда не бывало), заходит в интернет через раз. Началось все это внезапно.

Последние полторы недели один из очень крупных интернет-провайдеров не работал. Из-за этого многие сайты не могли работать нормально. Возможно, это как-то связано с описанными вами проблемами. Так как в логах у вас действительно ничего подозрительного не видно.

Единственное, нужно также пофиксить с помощью HijackThis следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на "Fix Checked"):

O15 - Trusted Zone: *.p0rt2.com

помогите, пожалуйста!
из-за известной пакости ru.errorsafe мой компьютер работает раз в двадцать медленее чем обычно, да еще и при каждом запуске IE открывает тридцать окон с оф. сайтом этой мерзкой программы. как мне истребить заразу окончательно и бесповоротно?

Скачайте, пожалуйста, HijackThis.

Затем распаковываем, запускаем и нажимаем на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст свой лог, содержимое которого, нужно скопировать в своё сообщение.

**Madlen** · 13 августа, 2007

SAULE ОГРОМНОЕ ВАМ СПАСИБО ЗА СОВЕТЫ!!!

ОЧЕНЬ ПОМОГЛИ. ТЕПЕРЬ ВСЁ ЗАПУСКАЕТСЯ.

**strepsils** · 13 августа, 2007

Logfile of HijackThis v1.99.1

Scan saved at 19:23:02, on 13.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Администратор\Рабочий стол\cureit.exe

C:\Program Files\iTunes\iTunes.exe

C:\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\_start.exe

C:\Program Files\Last.fm\LastFM.exe

C:\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\cureit.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\FoxyTunes\ForInternetExplorer\FoxyTunesEngine.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: FoxyTunes Toolbar Helper - {784D8FBC-4165-4D88-90FB-62907ACDD045} - C:\Program Files\FoxyTunes\ForInternetExplorer\components\IE\FoxyTunesForIE.dll

O2 - BHO: (no name) - {84a9b4fb-5e31-47b6-abb7-e756c57d29ed} - C:\WINDOWS\system32\jgmqqm.dll (file missing)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmpC1.tmp.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: FoxyTunes Toolbar - {1D1901C3-F72A-46f3-9DBB-0AAA0DEEF6DF} - C:\Program Files\FoxyTunes\ForInternetExplorer\components\IE\FoxyTunesForIE.dll

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\cbxutr.dll",forkonce

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E4545F1-EA02-46F3-A787-211821C5A748}: NameServer = 192.168.0.1

O20 - AppInit_DLLs: c:\windows\system32\vtutqnk.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: jgmqqm - jgmqqm.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB701\webserver\bin\win32\matlabserver.exe (file missing)

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

вот мой лог. помогите, пожалуйста.

**Soroka** · 13 августа, 2007

Всем спасибо за помощь! Вы меня успокоили относительно вирусной гадости. Компьютер не капризничает, по крайней мере, сегодня. Соединение, как и раньше, когда выкидывал из интеренета, горит, но теперь все вроде бы в порядке.

Остался еще один вопросик (не знаю, насколько в эту тему):при выключении компьютера выдает сообщение "Завершение программы Connection Tray. Завершить сейчас?" Это что такое? Стало появляться недавно. Раньше такого не было.

Еще раз огромное спасибо за оперативные ответы, которые реально помогают решить проблему. И за то, что они написанны подробно и понятным языком (для нас, чайников, это очень ценно )!

**Saule** · 13 августа, 2007

вот мой лог. помогите, пожалуйста.

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее, если это еще будет присутствовать в логе:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: (no name) - {84a9b4fb-5e31-47b6-abb7-e756c57d29ed} - C:\WINDOWS\system32\jgmqqm.dll (file missing)

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmpC1.tmp.dll (file missing)

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\cbxutr.dll",forkonce

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O20 - AppInit_DLLs: c:\windows\system32\vtutqnk.dll

O20 - Winlogon Notify: jgmqqm - jgmqqm.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Теперь скачиваем VundoFix.

После чего закрываем все открытые окна (чтобы ничего не мешало, т.к. после удаления инфекции будет перезагрузка) и запускаем эту программу:

Нажимаем на кнопку "Scan for Vundo", чтобы начать сканирование.

Когда сканирование закончится, в том случае, если что-либо будет найдено, нажимаем на следующую кнопку - "Remove Vundo". Появится сообщение с вопросом: "Действительно ли вы хотите удалить эти файлы?" Нажимаем на 'Yes'.

После этого рабочий стол на какое-то время исчезнет - это нормально, поэтому не пугаемся. Затем последует вопрос о перезагрузке - нажимаем ОК (после чего компьютер соответственно перезагрузится).

3. Теперь нужно удостовериться, что лечение было успешным.

**strepsils** · 13 августа, 2007

вот эта штука - F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

продолжает оставаться в логе, операцию повторил несколько раз

vundo fix ничего не нашел.

кстати, еще такая странность - при посещении страниц приходится каждый раз заново регистрироваться, хотя cookies включены, и раньше, до того как появился этот errorsafe, сохранялись мои имя и пароль и на почте, и в жж, и на прочих сайтах, например на этом.

**Tamara** · 13 августа, 2007

Saule Здравствуйте! :sm(100):

Заражена система!

Сделано: ATF, Касперски, Vundo и SDFix, но не все удалено.

Какой svchost.exe удалять ?

Winlogon множиься как грибы после дождя!!

Помогите плиз...

Спасибо!!

Logfile of HijackThis v1.99.1

Scan saved at 16:33:29, on 13/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\PROGRA~1\BTHOME~1\Help\SMARTB~1\BTHelpNotifier.exe

C:\WINDOWS\system32\wltray.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Documents and Settings\Lina1\Application Data\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\M?crosoft.NET\w?aclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Documents and Settings\Lina1\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BTHOME~1\Help\SMARTB~1\BTHelpNotifier.exe

O4 - HKLM\..\Run: [wltray.exe] C:\WINDOWS\system32\wltray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Lina1\Application Data\Mail.Ru\Agent\MAgent.exe -CU

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Dlwsu] "C:\Program Files\M?crosoft.NET\w?aclt.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Create virtual drive.lnk = C:\WebServers\etc\utils\Boot.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: C????????? ???-?????????? - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Lina1\Application Data\Mail.Ru\Agent\magent.exe (HKCU)

O9 - Extra 'Tools' menuitem: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Lina1\Application Data\Mail.Ru\Agent\magent.exe (HKCU)

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe (file missing)

**Saule** · 13 августа, 2007

вот эта штука - F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
продолжает оставаться в логе, операцию повторил несколько раз

В этом случае попробуйте скачать SDFix.
Запускаем - это самораспаковывающийся архив (если NOD32 будет ругаться на приложение Win32/PrcView, то прочтите вот этот пост).

В системном каталоге будет создана папка SDFix:

C:\

SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.
После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

Плюс все удаленные файлы будут автоматически сохранены в папку 'Backups', которая по умолчанию создается вот здесь:

C:\SDFix\backups\

backups.zip

Удалите её.

После этого, попробуйте на всякий случай снова запустить VundoFix.

-----

В конце сделайте, пожалуйста, новый лог HijackThis + также не будет лишним присоединить к своему сообщению и отчет SDFix.

P.S. В прошлый раз также совсем забыла сказать вам по поводу двух одновременно работающих антивирусов на вашей системе (NOD32 + Avast4): установка в атозагрузку двух антивирусов равносильно тому, что вы приделаете машине второй руль и посадите за неё двух водителей. Последствия слишком непредсказуемы + далеко вы наврядли уедете (представьте, к примеру, что будет, если антивирусы столкнутся с вирусом одновременно и попытаются его изолировать... Т.е. нормально не сможет сработать уже ни один из них).

Я не читаю мораль, просто советую.

**Saule** · 13 августа, 2007

Saule Здравствуйте! :sm(100):
Заражена система!

Привет

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKCU\..\Run: [Dlwsu] "C:\Program Files\M?crosoft.NET\w?aclt.exe"

Затем на кнопку "Fix Checked".

Это точно что-то странное и совсем не системное.

2. Перезагружаем компьютер и после этого удаляем:

C:\Program Files\M?crosoft.NET\

w?aclt.exe

3. Также, для более глубокого анализа, не будет лишним сделать протокол исследования системы с помощью AVZ: распаковываем, запускаем и нажимаем в его верхнем меню:

Файл > Исследование системы

И присоединяем полученный html-файл к своему сообщению.

**Tamara** · 13 августа, 2007

Привет

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - HKCU\..\Run: [Dlwsu] "C:\Program Files\M?crosoft.NET\w?aclt.exe"

Затем на кнопку "Fix Checked".

Это точно что-то странное и совсем не системное.

2. Перезагружаем компьютер и после этого удаляем:

C:\Program Files\M?crosoft.NET\

w?aclt.exe

3. Также, для более глубокого анализа, не будет лишним сделать протокол исследования системы с помощью AVZ: распаковываем, запускаем и нажимаем в его верхнем меню:

Файл > Исследование системы

И присоединяем полученный html-файл к своему сообщению.

AVZ у меня не распаковывается! Пробовала несколько раз еще прошлый раз... Осенью сто ли... :sm(100):

**alexandru** · 13 августа, 2007

Saule мой провайдер говорит что у меня обрывается интернет из-за многих открытых ТСР соединений.Посмотри пожалуйста мой лог может действительно что-то есть у меня.Спасибо.

Logfile of HijackThis v1.99.1

Scan saved at 22:49:07, on 13.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Programas\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Programas\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programas\Venturi2\Client\ventc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programas\Synaptics\SynTP\SynTPLpr.exe

C:\Programas\Synaptics\SynTP\SynTPEnh.exe

C:\Programas\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Programas\Windows Defender\MSASCui.exe

C:\Programas\Venturi2\Configurator\ventcfg.exe

C:\Programas\Logitech\Video\LogiTray.exe

C:\Programas\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programas\MSN Messenger\msnmsgr.exe

C:\Programas\Ficheiros comuns\Ahead\Lib\NMBgMonitor.exe

C:\Programas\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\PROGRA~1\MICROS~3\wcescomm.exe

C:\Programas\Ficheiros comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Programas\Logitech\Video\FxSvr2.exe

C:\Programas\Zapp\Z010 Connect\Z010.exe

C:\Programas\MSN Messenger\usnsvc.exe

C:\Programas\Skype\Phone\Skype.exe

C:\Programas\Skype\Plugin Manager\SkypePM.exe

C:\Programas\Download Master\dmaster.exe

C:\Programas\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.clix.pt/index3.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligacoes

O1 - Hosts: 127.255.255.255 195.137.236.101

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programas\google\googletoolbar4.dll

O2 - BHO: (no name) - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - (no file)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programas\google\googletoolbar4.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Programas\Download Master\dmbar.dll

O4 - HKLM\..\Run: [Atalho para a Pagina de Propriedades do High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Programas\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programas\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Windows Defender] "C:\Programas\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [Venturi Configurator] C:\Programas\Venturi2\Configurator\ventcfg.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programas\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programas\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programas\Ficheiros comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [LDM] C:\Programas\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Programas\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Programas\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Criar Favorito Movel... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programas\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Programas\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Programas\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programas\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programas\ICQLite\ICQLite.exe

O9 - Extra button: @C:\Programas\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Programas\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.clix.pt/index3.html

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1164238428390

O16 - DPF: {FAB8A8E6-219A-4C0A-AD91-BF4AB3947D6B} (SingleClient Class) - file://C:\DOCUME~1\ALEXAN~1.JIZ\DEFINI~1\Temp\achat_default-3.2.0.29.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAD8AC1-7D33-4ACA-A37F-D94724A7A324}: NameServer = 10.5.1.10 10.5.1.11

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programas\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHEI~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programas\Eset\nod32krn.exe

O23 - Service: Auto Power-on & Shut-down Service (PCAutoPowerOnService) - Unknown owner - C:\Programas\Auto Power-on\PCAutoPowerOnService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Venturi2 Client (Venturi2) - Venturi Wireless - C:\Programas\Venturi2\Client\ventc.exe

**zoner** · 13 августа, 2007

Топик большой, по этому сложно найти то что нужно.

Посему пишу сразу:

На данный момент три проблемы:

1. msv.exe или как он называется в автозагрузке mmdmm.exe, если не ошибаюсь. Семейство трояна (генерик). Каспер его находит, но редко...раз в день может, а-то что находит - вообще смех.

Спрашивает следущее:

Карантин - не хочет туда ползти...

Завершить - после завершения просит откат, делаю откат, говорит откат успешный.

Разрешить - ...

2. PXAgent.exe. В автозагрузке нету. Как я понял читая форум это связано с софтиной Prevx (которую посоветывали, кстати, чтобы убить msv.exe).

3. Часто каспер находит BackDoor..., удаляет, но потом эти же файлы вновь появляюца.

Размещаюца они WINDOWS/system32/i.exe и WINDOWS/system32/o.exe.

В ручную тоже удалял, не фига.

Прошу помочь уничтожить их и оставить систему и мои нервы в целости ;).

**zoner** · 14 августа, 2007

Забыл добавить, чтоб спасали быстрей...ибо ЦП из-за PXAgenta прыгает до 100 =).

Вот сделал иследование системы с помощью вашей AVZ.

// avz_sysinfo.zip

avz_sysinfo.zip

**strepsils** · 14 августа, 2007

отчет SDFix

SDFix: Version 1.98

Run by Ђ¤¬ЁЁбва в®а on 14.08.2007 at 20:57

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

DomainService

ImagePath:

C:\WINDOWS\system32\qwerty12.exe /service

DomainService - Deleted

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Trojan Files Found:

C:\Documents and Settings\Ђ¤¬ЁЁбва в®а\Application Data\tmp1FA.tmp.exe - Deleted

C:\Documents and Settings\Ђ¤¬ЁЁбва в®а\Application Data\tmp4.tmp.exe - Deleted

C:\Documents and Settings\Ђ¤¬ЁЁбва в®а\Application Data\tmp5.tmp.exe - Deleted

C:\WINDOWS\system32\ntos.exe - Deleted

C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted

C:\WINDOWS\system32\wsnpoem\video.dll - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\ReGetDx\\regetdx.exe"="C:\\Program Files\\ReGetDx\\regetdx.exe:*:Enabled:ReGet 4.2"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"C:\\Strepsils\\mp3\\utorrent.exe"="C:\\Strepsils\\mp3\\utorrent.exe:*:Enabled:зTorrent"

"C:\\WINDOWS\\system32\\qwerty12.exe"="C:\\WINDOWS\\system32\\qwe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\Tools\All.exe

C:\WINDOWS\system32\Tools\Change.exe

C:\WINDOWS\system32\Tools\CheckPath.exe

C:\WINDOWS\system32\Tools\Counter.exe

C:\WINDOWS\system32\Tools\DelFolders.exe

C:\WINDOWS\system32\Tools\DirectSetup.exe

C:\WINDOWS\system32\Tools\RegClean.exe

C:\WINDOWS\system32\Tools\Regexe.exe

C:\WINDOWS\system32\Tools\Restart.exe

C:\WINDOWS\system32\Tools\RunRegexe.exe

C:\Documents and Settings\Ђ¤¬ЁЁбва в®а\Application Data\Microsoft\Word\~WRL2217.tmp

C:\Documents and Settings\Ђ¤¬ЁЁбва в®а\ђ Ў®зЁ© бв®«\~WRL0001.tmp

Finished

Logfile of HijackThis v1.99.1

Scan saved at 21:17:31, on 14.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX00.453\HijackThis.exe