Помощь в лечении систем от нечисти

[Saule]

У меня есть еще один небольшой вопрос...

Как я понимаю, это проверка диска?

Но ведь так не должно быть? Что-то не правильно...

Melamory

Если вы знакомы с реестром, то вы можете самостоятельно посмотреть, какое значение параметра 'BootExecute' у вас в ключе:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

Оно должно быть:

autocheck autochk *

Если оно не такое (а допустим: autocheck autochk * /r\DosDevice\D:), то либо просто скопируйте в текстовый файл следующий код, сохраните его и затем измените расширение файл с .txt на .reg. После чего запустите и добавьте эту информацию в свой реестр (т.е. на вопрос Windows о том, действительно ли вы желаете добавить эти данные в свой реестр - нажимаем на Да):

REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\ 00,00

Либо вот готовый .reg-файл (просто распакуйте архив, запустите .reg-файл и добавьте информацию в свой реестр):

autochk.rar

autochk.rar

[Saule]

В общем, результаты есть, но уверенности нет.

И повторю предыдущий вопрос: как поступить с флэшкой?

699622

По поводу вируса: его вы убили. Единственное, пофиксите с помощью HijackThis следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

O2 - BHO: (no name) - {59ECE7DB-B736-4ABB-A8E0-3678F2E3DD08} - C:\DOCUME~1\872B~1\LOCALS~1\Temp\ddccd.dll (file missing)

O20 - Winlogon Notify: ddccd - C:\WINDOWS\

O20 - Winlogon Notify: vturopq - vturopq.dll (file missing)

Кстати, если включаю GuardAVZ, отрубается и-нет, а при попытке дозвона пишет "Ошибка протокола tcp/ip №5"

Так и должно быть, потому что когда AVZ Guard включен, блокируются ВСЕ(!) приложения (кроме самого AVZ), которые каким-либо образом изменяют реестр, создают файлы, запускают процессы, открывают потоки в др. процессов и обращаются к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip. Это необходимо для того, чтобы лечение некоторых типов вирусов было успешным (чтобы они не смогли себя восстановить до того, как у компьютера будет перезагрузка - в противном случае удалять можно до бесконечности).

Поэтому AVZ Guard нужен лишь на время самого удаления (после перезагрузки он самостоятельно отключается) - и не нужно включать его после!

По поводу флешки - нужно отключить её автоматический запуск (чтобы флешка при подключении сразу не становилась активной) и пролечить антивирусом (хотя если есть возможность, то лучше для верности отформатировать).

Если были еще какие-нибудь вопросы, то повторите их, пожалуйста, без цитирования, потому что так читать - невозможно

[699622]

При запуске wwdc, как и раньше, выдается сообщение о вирусе:

Your system to be infected by a virus, your SVCHOST virtual memory usage 26672ko is beyond usual values

Кроме того, оказался открытым (желтая галочка) один порт (DCOM RPC), хотя были закрыты все (проверял не раз).

[699622]

Saule

Большущее спасибо.

Теперь понял, почему первый раз AVZ не помог: я не включал Guard

В ХайДжеке строчки пофиксил, как сказано.

Но серьезные вопросы остались.

1. Почему не запускается скрипт в "обычном" режиме? (т е запускается и "сбрасывает" систему).

2. Почему wwdc ругается? (см пост выше).

Боюсь, что при включении в автозагрузку служб (а то винда сейчас дюже сильно матюгается при загрузке), зараза опять появится.

[699622]

И все-таки еще вопрос по поводу флэшки.

Ссылка, которую Вы дали - на автозапуск CD-ROM.

В том же разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services есть ссылки на usb, но их несколько, и как-то боязно экспериментировать со всеми.

[sollar_valley]

Logfile of HijackThis v1.99.1

Scan saved at 15:49:26, on 10.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\OneStepSearch\onestep.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\OneStepSearch\onestep.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

D:\АЛЕНКА\агент\MAgent.exe

D:\Ася\ICQLite\ICQLite.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

D:\dmaster\Download Master\dmaster.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\explorer.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\65CE~1\LOCALS~1\Temp\Rar$EX06.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Оксана\Application Data\Mra\Update\mrasearch.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\аленка\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program Files\ActivationManager\ActivationManager.dll

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\dmaster\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [MAgent] D:\АЛЕНКА\агент\MAgent.exe -LM

O4 - HKLM\..\Run: [iCQ Lite] "D:\Ася\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [trioService] "C:\PROGRA~1\Freeze.com\Living 3D Dolphins\trioService.exe "

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [Download Master] D:\dmaster\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Оксана\Application Data\Mail.Ru\Agent\MAgent.exe -CU

O4 - HKCU\..\RunOnce: [iCQ Lite] D:\Ася\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Вырезка экрана и программа запуска для OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\dmaster\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\dmaster\Download Master\dmie.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm

O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm

O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\АЛЕНКА\агент\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\АЛЕНКА\агент\magent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\dmaster\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\dmaster\Download Master\dmaster.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Ася\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Ася\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Оксана\Application Data\Mail.Ru\Agent\magent.exe (HKCU)

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Оксана\Application Data\Mail.Ru\Agent\magent.exe (HKCU)

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{291AC468-9BFD-4FE1-9AC0-18CE5AA5FE67}: NameServer = 212.48.193.38 212.48.193.36

O17 - HKLM\System\CS2\Services\Tcpip\..\{291AC468-9BFD-4FE1-9AC0-18CE5AA5FE67}: NameServer = 212.48.193.38 212.48.193.36

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: OneStep Search Service - Unknown owner - C:\Program Files\OneStepSearch\onestep.exe" "C:\Program Files\OneStepSearch\onestep.dll" Service (file missing)

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Можете помочь, у меня не открывается Internet Explorer

[Saule]

1. Почему не запускается скрипт в "обычном" режиме? (т е запускается и "сбрасывает" систему).

699622

Несовместимость каких-либо драйверов. Хотя после ваших слов: "...это я в скрипте после слова end точку убирал. Умничал" - сложно говорить о причинах =)

В любом случае не нужно таким образом издеваться над вашей системой, так как на данный момент в этом нет никакой необходимости.

Почему wwdc ругается? (см пост выше).

Боюсь, что при включении в автозагрузку служб (а то винда сейчас дюже сильно матюгается при загрузке), зараза опять появится.

Не должна появится, не бойтесь (тем более, если вдруг что - то вы обязательно справитесь, в крайнем случае мы поможем).

Хотя вообще не понятно, какие службы вы отключали и в каких целях (возможно, именно по этим причинам и глючит wwdc).

И все-таки еще вопрос по поводу флэшки.

Лучше просто вставляйте флешку при нажатой клавише SHIFT - в этом случае её автозагрузка будет блокироваться.

Можете помочь, у меня не открывается Internet Explorer

sollar_valley

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Оксана\Application Data\Mra\Update\mrasearch.dll (file missing)

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll

O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program Files\ActivationManager\ActivationManager.dll

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Теперь нажимаем: Start (Пуск) > Run (Выполнить)

Копируем в строку: sc delete "OneStep Search Service"

Нажимаем ОК или клавишу ENTER.

3. Перезагружаем компьютер.

4. После перезагрузки удаляем папки:

C:\Program Files\

OneStepSearch

C:\Program Files\

ConnectionServices

C:\Program Files\

ActivationManager

C:\Program Files\

BitAccelerator

[Marchello88]

Здравствуйте Saule, Вот купил себе позавчеран ноутбук установил винду,антивирь(Nod32 с последними обновлениями) Ну и остальные необходимые проги BAT,Acrobat и т.д. Вышел вчера в интернет все нормально поработал/NOD Молчал. А сегодня утром началось:

C:\System Volume Information\_restore{53E4AA5D-630E-4C63-8809-B9D24CF2EC00}\RP10\A0002434.sys -

C:\WINXP\system32\DRIVERS\Ip6Fw.sys Win32/Rootkit.Agent.DP троян

C:\Users\6AB6~1\LOCALS~1\Temp\503656.exe Win32/Wigon.Z троян

C:\WINXP\System32\drivers\runtime.sys Win32/Rootkit.Agent.DW троян

Просто ужас какойто все удаляю /перезагружаю и все по новой

Вот логтолько у меня и Hijackthis p

заражен как только начинаешь сканить выдает что файл заражен Win32/Rootkit.Agent.DP троян )Красным подчеркнул непонятные и подозрительные мне вещи\

Logfile of HijackThis v1.99.1

Scan saved at 23:45:51, on 11.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINXP\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINXP\RTHDCPL.EXE

C:\WINXP\AGRSMMSG.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Winamp\Winampa.exe

C:\WINXP\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\ESET\nod32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\6AB6~1\LOCALS~1\Temp\Rar$EX55.797\HijackThis.exe заражен

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACF53D39-73FB-40E2-9FEE-6DA793520EDC}: NameServer = 81.22.200.12 81.22.204.35O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINXP\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINXP\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINXP\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINXP\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINXP\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINXP\system32\wbem\wmiapsrv.exe

Надеюсь на вашу помощь. Заранее спасибо.

Казань.2007

[Marchello88]

вОТ ЕЩЁ И ЛОГ AVZ

avz_sysinfo.htm

avz_sysinfo.htm

[699622]

699622

Не должна появится, не бойтесь (тем более, если вдруг что - то вы обязательно справитесь, в крайнем случае мы поможем).

Хотя вообще не понятно, какие службы вы отключали и в каких целях (возможно, именно по этим причинам и глючит wwdc).

Наверное так и есть: поскольку в этом не разбираюсь, из автозагрузки убрал все службы, кроме одной (про которую нашел в соответствующей теме, что это - системная); сейчас поставил SP2 - все нормально, wwdc не ругается.

<Наглый вопрос> а нельзя ссылочку дать на топик, где Вы указывали службы, которые стоит отключать (не в автозагрузке, а вообще) - вроде сохранял этот топик, пользовался им, а сейчас найти не могу :-(

Кстати, пока заходил на форум и на почту вечером того дня, когда убрал трояна, подхватил вирус какой-то (ДрВеб - Корриент не ругался перед выходом в и-нет, а после - обнаружил нескольго гадостей, но уже других, совсем не таких, как были :-))) Так что поставил SP2, NOD и теперь обновлять буду потихоньку.

Кстати еще вопросик не в тему: а работает эта фича с триальным НОДом - когда часы системные вперед переставляешь? Нашел такое в начале темы про НОД, и вот думаю: будет ли работать?

Лучше просто вставляйте флешку при нажатой клавише SHIFT - в этом случае её автозагрузка будет блокироваться.

Здорово! Я такое не знал, спасибо!

Вообще очень благодарен Вам, не только за помощь, но и за то, что я много нового толкового узнал!

i

Уведомление:

Исправила цитирование. Saule.

Изменено 12 сентября, 2007 пользователем Saule

[Melamory]

Спасибо еще раз! (:

[Saule]

Здравствуйте Saule, Вот купил себе позавчеран ноутбук установил винду,антивирь(Nod32 с последними обновлениями) Ну и остальные необходимые проги BAT,Acrobat и т.д. Вышел вчера в интернет все нормально поработал/NOD Молчал. А сегодня утром началось...

Здравствуйте, Marchello88.

В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');DeleteFile('C:\WINDOWS\system32\drivers\Ip6Fw.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки (Запустить).

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

Затем лучше повторить логи (и AVZ, и HijackThis).

-----------------------

По поводу остального:

C:\WINXP\system32\Ati2evxx.exe - служба ATI Hotkey Poller (автозапуск в логе HijackThis выглядит следующим образом: O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe). То, что этот процесс есть в двух экземплярах - нормально.

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE - принадлежит Realtek Voice Manager (можно пофиксить, если вы не используете эту программу - HijackThis просто уберет SkyTel.EXE из автозагрузки, чтобы этот процесс не грузился каждый раз при старте системы, сама программа останется на компьютере).

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE - Realtek HD Audio Sound Effect Manager (точно также можно пофиксить).

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE - Realtek Event Monitor, используемый Realtek для собирания некоторой информации о своих клиентах. В принципе ничего страшного в этом нет, но и ничего хорошего тоже - лучше пофиксить (на работе аппаратных средств, аудио звука или драйверов от Realtek - отключение этого монитора никак не отразится).

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe - IBM AMR modem driver (лучше оставить).

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" - ATI Desktop Control Panel - тоже дает ряд дополнительных возможностей, связанных с настройкой вашей видео карты (можно пофиксить на ваше личное усмотрение).

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACF53D39-73FB-40E2-9FEE-6DA793520EDC}: NameServer = 81.22.200.12 81.22.204.35 - это настройки вашего DNS сервера, который запрашивается интерфейсом Windows Sockets для разрешения имен (81.22.192.0 - 81.22.223.255 - Stelcom Ltd., PROVIDER Local Registry; 81.22.204.0 - 81.22.204.255 - Telecommunication company "TeleSet", Kazan, Teleset infrastructure subnets - скорей всего, ваш провайдер).

-----------------------

По поводу HijackThis - если есть такая возможность, то попробуйте скачать его без архива (сразу exe-файл) - HijackThis.exe - и сообщите, пожалуйста, если NOD32 будет и на этот файл ругаться.

[Saule]

а нельзя ссылочку дать на топик, где Вы указывали службы, которые стоит отключать (не в автозагрузке, а вообще)

Список служб Windows, которые рекомендуется отключить

Кстати еще вопросик не в тему: а работает эта фича с триальным НОДом - когда часы системные вперед переставляешь? Нашел такое в начале темы про НОД, и вот думаю: будет ли работать?

По поводу всех фич, касающихся нелицензированного использования программного обеспечения: читаем Правила СофтФорума (воспользуйтесь личными сообщениями).

[Marchello88]

Здравствуйте, Marchello88.

В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');DeleteFile('C:\WINDOWS\system32\drivers\Ip6Fw.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки (Запустить).

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

Затем лучше повторить логи (и AVZ, и HijackThis).

-----------------------

Спасибо большое за помощь,вроде бы все пришло в норму.Все сделал как вы мне посоветовали\NOD 32 молчит НА hIJACKTHIS,EXE(СКАЧАЛ ПО ВАШЕЙ ССЫЛКЕ) нУ ВОБЩЕ МОЛЧИТ. Так что все хорошо ,но лог я вам навсякий случай скину.

Logfile of HijackThis v1.99.1

Scan saved at 17:15:41, on 12.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Winamp\Winampa.exe

C:\WINXP\system32\wscntfy.exe

C:\Архив\aps\aps.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Архив\HijackThisущшщ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [startdrv] C:\WINXP\Temp\startdrv.exe

O4 - HKLM\..\Run: [APS] C:\Архив\aps\aps.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINXP\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINXP\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINXP\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINXP\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINXP\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINXP\system32\wbem\wmiapsrv.exe

avz_sysinfo12.htm

avz_sysinfo12.htm

[699622]

Saule, спасибо еще раз!

[Saule]

Спасибо большое за помощь,вроде бы все пришло в норму.Все сделал как вы мне посоветовали\NOD 32 молчит НА hIJACKTHIS,EXE(СКАЧАЛ ПО ВАШЕЙ ССЫЛКЕ) нУ ВОБЩЕ МОЛЧИТ. Так что все хорошо ,но лог я вам навсякий случай скину.

Да, всё выглядит чистым. Удачи!

[Saule]

Для удобства размещения просьб о помощи создан специальный подраздел:

Лечение систем от компьютерных вирусов

http://www.softboard.ru/index.php?showforum=88' rel="external nofollow">

В нем каждый может создать свою отдельную тему для решения своей проблемы, чтобы не писать в общий топик.

P.S. Эту тему закрываю.