Помощь в лечении систем от нечисти

[Saule]

Уважаемая Saule проверил свою машину AVZ . Отчет в прикрепленном файле. Посмотрите пожалуйста. Можно ли все это удалить. И вообще, что это такое? Заранее благодарю.

klif.sys - это драйвер Касперского. Перехваты каких-либо функций антивирусом - это нормально и необходимо для его нормальной работы. То же самое касается и Outpost'a.

kl1.sys - как я понимаю, тоже принадлежит Касперскому.

Что касается переводчика - qdhook.dll - то, скорее всего, с ним тоже всё ок, просто механизм работы некоторых переводчиков может быть в полне схожим с механизмом работы некоторых Keylogger'ов, поэтому у AVZ насчет него действительно могут быть подазрения. Хотя если вы всё-таки переживаете, то вышлите запакованную копию файла qdhook.dll мне на мейл (saule [at] sp0raw.ru).

И последнее: svchost.exe прослушивает этот порт из-за службы "Universal Plug and Play", это тоже нормально. А AVZ заволновался из-за того, что этот порт может также использоваться еще и некоторыми троянами (Bubbel, Back Door Setup, Sockets de Troie Socket 23), но это не ваш случай ;)

Поэтому ничего не удаляем и, если что-то обьяснила не совсем понятно, то задаем вопросы :)

Изменено 23 февраля, 2007 пользователем Saule

[valentin61]

Saule: Большое спасибо,все доходчиво и понятно :D

[claren]

Поставил антитроян Ad-adware personal, он просканировал и нашёл много записей с spysheriff и другие записи, которые заподозрил, и всё почистил!!! УрА! :)

Думаю пока всё отлично; начал искать какой-нибудь Антивирус-Программ, с лицензией на обновления и ценой не убиваюшей... (Kaspersky AntiVirus Personal 5.0 пока улибается)... . и хотел бы спросить, возможно взять одну программу и на 2 комп. поставить? или нужно тогда обязательно с 2-мя лизензиями заказывать? Может на Ваш взгляд есть более интересные программы чем Касперский? безплатные была б мечтой... . :)

Спасибо за помошь!

PS: У Нортона закончилась лицензия, и уже давно... .

[Saule]

Поставил антитроян Ad-adware personal, он просканировал и нашёл много записей с spysheriff и другие записи, которые заподозрил, и всё почистил!!! УрА!

Думаю пока всё отлично; начал искать какой-нибудь Антивирус-Программ, с лицензией на обновления и ценой не убиваюшей... (Kaspersky AntiVirus Personal 5.0 пока улибается)... . и хотел бы спросить, возможно взять одну программу и на 2 комп. поставить? или нужно тогда обязательно с 2-мя лизензиями заказывать? Может на Ваш взгляд есть более интересные программы чем Касперский? безплатные была б мечтой... .

Спасибо за помошь!

PS: У Нортона закончилась лицензия, и уже давно... .

Как ни странно, бесплатных (и, главное, совсем неплохих) антивирусов, предназначенных для домашнего использования, достаточно много Фирмы-производители всё-таки понимают, что не все могут себе позволить иметь антивирус за деньги, а плодить из-за этого вирусы желания ни у кого нет (если ваш компьютер заражен и его никто не лечит, то он всё-таки представляет потенциальную опасность для других компьютеров), так как в таком случае вся борьба с вирусами была бы бессмысленной (и была бы похожа на перегон тараканов из одной квартиры в другую).

Что касается Касперского, то даже у него можно установить совершенно бесплатную версию, благодаря его бета-тестированию. Почитать об этом подробнее, а также скачать можно тут:

http://www.kaspersky.ru/beta

Отзывы в принципе неплохие, особых глюков не наблюдается; только имейте в виду, что для неё нужен более-менее мощный компьютер.

Далее... лучший бесплатный антивирус на мой взгяд это Аvast! 4 Home Edition:

http://www.avast.com/eng/download-avast-home.html

Прямая ссылка на русскую версию: http://files.avast.com/iavs4pro/setuprus.exe

Единсвенное, что нужно сделать, чтобы можно было им пользоваться совершенно бесплатно, это зарегистироватся вот тут:

http://www.avast.com/i_kat_207.php?lang=RUS

и вам на мейл автоматически вышлют ключик.

Если вдруг будите устанавливать, то хочу предупредить, что после его установки первое сканирование начинаеться автоматически до загрузки операционной системы (на самом деле это очень полезная функция, которая нужна, если вы установливаете антивирус уже на зараженный вирусами компьютер). Но если времени на такое сканирование нет, и вам нужно срочно войти в систему, просто нажмите на кнопку "Esc", и оно прекратится :) Еще раз напомню, что таким немного неожиданным образом система будет сканироваться только в первый раз, все последующие вы уже будите задавать сами.

Также бесплатные версии есть у:

AVG Free edition http://free.grisoft.com/doc/2/lng/us/tpl/v5

ClamWin Free Antivirus http://www.clamwin.com/content/view/18/46/

AntiVir® PersonalEdition Classic http://free-av.com/antivirus/allinonen.html

BitDefender 8 Free Edition http://www.bitdefender.com/PRODUCT-14-en--...Edition-v7.html

Последний тоже весьма неплохой.

В любом случае любой из этих вариантов будет лучше и, главное, надежнее(!), чем Нортон без обновлений. Главное, перед установкой нового антивируса не забудьте деинсталлировать старый (uninstal). И ни в коем случае не устанавливайте 2 антивируса на 1 компьютер, так как нормально в таком случае не сможет работать ни один из них (к Ad-adware это не относится, так как антитрояны легко уживаются как между собой, так и с любым антивирусом).

Изменено 21 марта, 2006 пользователем Saule

[claren]

фэнкс за быстрый и информативный ответ... . Я думаю выбиру себе один из бесплатных, как раз читал о AntiVir® PersonalEdition Classic, который не плохо хвалили... посмотрю обязательно Аvast! 4 Home Edition и сегодня же... .

[Saule]

фэнкс за быстрый и информативный ответ... . Я думаю выбиру себе один из бесплатных, как раз читал о AntiVir® PersonalEdition Classic, который не плохо хвалили... посмотрю обязательно Аvast! 4 Home Edition и сегодня же... .

Удачи и не болейте :)

[Extacy]

тоже выскакивают рекламы и не работает ctrl+alt+del. Вот лог, чего делать :D

Logfile of HijackThis v1.99.1

Scan saved at 11:57:41, on 20.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\wuauclt.exe

c:\documents and settings\all users.windows\start menu\programs\startup\wmplayer.exe

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

D:\install\hij\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - - (no file)

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [wmplayer] p2pnetworking.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard3.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad3.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKLM\..\RunServices: [wmplayer] p2pnetworking.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: wmplayer.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CD4FD6-2716-4EC3-8122-1B2745E0ED5B}: NameServer = 193.111.244.3,193.111.244.10

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l2r0lc9m1f.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Antispyware Server Agent - Trend Micro, Inc. - C:\Program Files\Trend Micro\Antispyware\tmassa.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: MySQL - Unknown owner - C:\TMAS\mysql\bin\mysqld-max-nt.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

[Saule]

тоже выскакивают рекламы и не работает ctrl+alt+del. Вот лог, чего делать :sm(100):

1. Временно отключаем функцию System Restore.

Кликнуть на My Computer правой кнопкой мыши и нажать на Properties. Зайти в закладку Performance. Нажать на кнопку File System. Зайти в закладку Troubleshooting и поставить галочку около 'Disable System Restore'.

2. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - - (no file)

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)

O4 - HKLM\..\Run: [wmplayer] p2pnetworking.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard3.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad3.exe

O4 - HKLM\..\RunServices: [wmplayer] p2pnetworking.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, браузер был бы закрыт).

И еще, если вдруг HijackThis выдаст вам какое-либо сообщение обошибке, не волнуемся и жмем на Yes, в вашем случае такое может случится, но уверяю вас, что в этом нет ничего страшного :)

3. Удаляем:

Файлы:

C:\windows\mousepad3.exe

C:\windows\keyboard3.exe

Папки:

C:\Program Files\Titan Poker

C:\Program Files\PartyGaming\PartyPoker

(тут нужно посмотреть, возможно, можно удалить сразу всю папку PartyGaming)

Если что-то из этого откажется удаляться, то пока оставляем, вы сможете сделать это потом, после перезагрузки (пока не перезагружаемся!), тогда это будет уже полностью "обезврежено" и удалится без особых проблем.

-----------------

4. Скачиваем на рабочий стол L2MFix

http://www.downloads.subratam.org/l2mfix.exe

И инсталлируем, прямо тут же, на рабочем столе.

5. Закрываем все посторонние программы.

6. Снова открываем HijackThis, но только лишь открываем, ничего не сканируем (!).

Он должен так и оставатся открытым, пока вы будите выполнять следующее действие.

7. Открываем папку l2mfix, находим в неё файл l2mfix.bat и запускаем.

Делее нажимаем любую клавишу на клавиатуре, затем цифру 2 и Enter.

Во время того, как L2mfix будет лечить ваш компьютер, рабочий стол и иконки исчезнут (это нормально).

Когда он закончит (процесс займет у него около 5 минут), то попросит нажать любую клавишу, для того, чтобы перезагрузиться. Но (!) пока клавиатуру не трогаем, а с помощью мышки нажимаем на кнопку Do a System Scan Only в HijackThis.

Затем в его логе находим строчку, которая начинается с

O20 - Winlogon Notify:

и заканчивается dll файлом (название может быть абсолютно любое).

Отмечаем эту строчку галочкой и нажимаем кнопку Fix Checked.

8. Закрываем HijackThis и нажимаем любую клавишу, так как L2MFix всё еще этого ждет, чтобы перезагрузить вашу систему.

После перезагрузки можно будет посмотреть его лог, где будет указано всё то, что он удалил и какие ключи изменил в реестре. А также, если вдруг что-то помешает ему выполнить лечение, то по этому логу можно будет понять что именно.

9. После сделайте, пожалуйста, новый лог HijackThis и если что-то осталось покажите и лог L2MFix тоже :)

[Extacy]

запускаю L2Mfix.bat и пишет что другая программа уже его использует =(

[Extacy]

Logfile of HijackThis v1.99.1

Scan saved at 18:39:49, on 20.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\CTFMON.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\wmplayer.exe

C:\WINDOWS\system32\wuauclt.exe

D:\install\hij\HijackThis.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: wmplayer.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CD4FD6-2716-4EC3-8122-1B2745E0ED5B}: NameServer = 193.111.244.3,193.111.244.10

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Antispyware Server Agent - Trend Micro, Inc. - C:\Program Files\Trend Micro\Antispyware\tmassa.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Но вот ctrl+alt+del все ещё не работает :)

[Saule]

Но вот ctrl+alt+del все ещё не работает

Сначала попробуйте запустить Task Manager следующим образом:

Нажимаем на Start > Run

Вписываем taskmgr

Нажимаем ОК.

Затем сообщите, запускается он так или нет.

--------------

С остальным, насколько я понимаю, всё в порядке?

[Extacy]

another programm is using it now это если запускать =( С остальным проблем нету!

[Saule]

another programm is using it now это если запускать =( С остальным проблем нету!

Проверьте, работает ли Task Manager в режиме Safe Mode.

---------------

1. Снова включаем HijackThis, делаем сканирование и омечаем галочкой следующее:

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

Затем на кнопку Fix Checked.

2. Перезагружаем компьютер.

Изменено 20 марта, 2006 пользователем Saule

[Extacy]

Все сделал как вы просили, не помогло в safe mode работает а тут нет. и ещё иногда при загрузке, вот в bios или при выборе винды изображение полосками и разных цветов.. почему? -(

[Saule]

Все сделал как вы просили, не помогло в safe mode работает а тут нет. и ещё иногда при загрузке, вот в bios или при выборе винды изображение полосками и разных цветов.. почему? -(

Теперь нужен новый лог HijackThis.

Изменено 20 марта, 2006 пользователем Saule

[Extacy]

Logfile of HijackThis v1.99.1

Scan saved at 23:59:27, on 20.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\wmplayer.exe

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

D:\install\hij\HijackThis.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: wmplayer.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CD4FD6-2716-4EC3-8122-1B2745E0ED5B}: NameServer = 193.111.244.3,193.111.244.10

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Antispyware Server Agent - Trend Micro, Inc. - C:\Program Files\Trend Micro\Antispyware\tmassa.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

[Saule]

Logfile of HijackThis v1.99.1Scan saved at 23:59:27, on 20.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

1. Включаем HijackThis, делаем сканирование и омечаем следующее:

O4 - Global Startup: wmplayer.exe

Затем на кнопку Fix Checked

2. Перезагружаем компьютер

[Extacy]

Говорит файл используется и нельзя удалить

[Saule]

Скачиваем KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Распаковываем и запускаем.

В строку его окошка копируем следующую строчку:

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\wmplayer.exe

Затем выбираем Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри.

скрин:

После этого перезагружаем компьютер.

--------------

Либо заходим в систему в режиме Safe Mode.

1. Включаем HijackThis, делаем сканирование, омечаем:

O4 - Global Startup: wmplayer.exe

Затем на кнопку Fix Checked

2. Удаляем файл:

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\wmplayer.exe

[Extacy]

Работаееееееет :) Я вам просто безумно благодарен, чего бы я без вас делал :)

[madlex]

Доброе утро, у меня проблема... так как я жуткий нуб в єтих делах, то попробую рассказать на пальцах что случилось..

в это прекрасное утро - на компе перестало запускаться половину программ..., в том числе и программа для обхода защиты от ботов на линеадже... винрар тоже не работает, инсталяции не запускаются.. есть подозрение что запускался этот файл MTE3NDI6ODoxNg.exe (не я один имею доступ к писюку.) как лог сделать не знаю (( попробую посмотреть может где найду.

[Saule]

Доброе утро, у меня проблема... так как я жуткий нуб в єтих делах, то попробую рассказать на пальцах что случилось..

в это прекрасное утро - на компе перестало запускаться половину программ..., в том числе и программа для обхода защиты от ботов на линеадже... винрар тоже не работает, инсталяции не запускаются.. есть подозрение что запускался этот файл MTE3NDI6ODoxNg.exe (не я один имею доступ к писюку.) как лог сделать не знаю (( попробую посмотреть может где найду.

Скачиваем HijackThis (на всякий случай не в архиве):

http://tomcoyote.org/hjt/hjt199//HijackThis.exe

Инсталляция не требуется, просто включаем и нажимаем на кнопку "Do a systemscan and save a logfile".

И программа автоматически выдаст вам лог.

[madlex]

то что не в архиве это прелесть ))) работает )) сделал лог.

Logfile of HijackThis v1.99.1

Scan saved at 9:48:12, on 26.03.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\System32\ctfmon.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\Program Files\StatWin\EXECSTAT.EXE

D:\Program Files\HHVcdV7Sys\VC7SecS.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Documents and Settings\рн\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: Shell=explorer.exe "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe"

O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - D:\WINDOWS\DH.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F25AC1E-7C3A-4855-A5A4-7D6731909B39}: NameServer = 192.168.0.200

O20 - Winlogon Notify: winm32 - D:\WINDOWS\SYSTEM32\winm32.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: MSDN Driver (msdndr) - Unknown owner - D:\WINDOWS\System32\msdndr.pif (file missing)

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - D:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - D:\WINDOWS\svchost.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SW Administration Service - SXR Software - D:\Program Files\StatWin\EXECSTAT.EXE

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - D:\Program Files\HHVcdV7Sys\VC7SecS.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\System32\wbem\wmiapsrv.exe

[Saule]

то что не в архиве это прелесть ))) работает )) сделал лог.

Хочу сразу предупредить, что серьезных инфекций достаточно много и чтобы вылечить ваш компьютер придется хорошо поработать. Но попытаться всё-таки можно.

И еще, почему у вас нет антивируса? Это не есть хорошо

1. Временно отключаем функцию System Restore.

Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и ставим галочку напротив Turn off System Restore on all drives.

2. Далее открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

F2 - REG:system.ini: Shell=explorer.exe "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe"

O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - D:\WINDOWS\DH.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, браузер был бы закрыт).

3. Далее нажимаем:

Start > Run

Вписываем services.msc

Нажимаем ОК

Теперь нужно найти в списке сервисов следующее: Power Manager

Кликнуть по нему двойным кликом.

И в открывшемся приложении, если возможно, нажимаем на кнопку Stop, и затем изменяем StartUp Type на положение Disabled.

Сохраняем изменения с помощью Apply и ОК.

На русском это будет выглядеть так:

Пуск > Выполнить

Вписываем services.msc

Нажимаем ОК

Найти в списке сервисов следующее: Power Manager

Кликнуть по нему двойным кликом.

И в открывшемся приложении, если возможно, нажимаем на кнопку Стоп, и затем изменяем Тип запуска на положение Отключено.

Сохраняем изменения с помощью Применить и ОК.

4. После удаляем файл:

D:\WINDOWS\svchost.exe

5. Скачиваем Haxfix:

http://users.telenet.be/marcvn/tools/haxfix.exe

Инсталлируем и запускаем (предварительно закрываем все остальные программы)

И еще один маленький нюанс: сейчас необходимо временно отсоединить компьютер от интернета, так как это может повлиять на лечение.

Сделать это можно следубщим образом:

Control Panel > Network Connections

Затем кликаем правой кнопкой мыши по текущему соединению и в появившемся меню выбираем Disable

Чтобы потом включить обратно, идем туда же и вместо Disable нажимаем Enable

Появится окно программы и сначала предложит нажать любую клавишу клавиатуры. Нажимаем.

Далее вы увидите меню с возможными действиями.

В вашем случае необходимо нажать на клавиатуре цифру 3, затем ENTER

Появиться надпись:

Insert the haxdoorkey,

and then press enter:

Теперь необходимо вписать следующее:

winm32

И нажать ENTER

скрин:

Затем программа попытается вылечить эту инфекцию.

И как только она закончит, снова нажимаем любую клавишу, после чего компьютер перезагрузиться.

После, на том диске, где у вас установлена операционная система, появится лог Haxfix с названием:

D:\haxfix.txt

На всякий случай лучше потом его показать.

6. После того, как компьютер перезагрузился, удаляем следующие файлы:

C:\winstall.exe

D:\WINDOWS\DH.dll

D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe

И еще, после того, как вы вополните пункт 3, постарайтесь не запускать никакие старые программы вообще, так как пока они не вылечены, это может снова активировать вирус.

7. Избавляемся от временных файлов.

Либо с помощью специальной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp) или ATF-Cleaner (удобен тем, что не требует инсталяции).

Либо в ручную:

1) Удаляем всё содержимое:

C:\Windows\Temp

(если что-то удаляться не захочет, ничего страшного, это нормально)

2) Дальше: Start > Run

вписываем %temp%

Откроеться Temp фолдер. Также удаляем всё его содержимое.

3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.

8. И теперь самое сложное - Jeefo.

Нам понадобиться антивирусный сканер, который способен лечить файлы, зараженные этим вирусом, если вы всё же хотите попытаться их восстановить (либо все .ехе, .scr файлы, которые весят больше 110 кб, можно просто удалить, это тоже поможет).

Я рекомендую использовать в этом случае бесплатный лечащий сканер Dr.Web - CureIt!:

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe (почитать о нем можно тут)

Скачиваем и инсталлируем.

Плюс к нему еще можно добавить разработку специально под Jeefo компании Sophos:

http://www.sophos.fr/support/cleaners/jeefogui.com

9. Теперь необходимо перезагрузить компьютер в безопасный режим.

При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter

10. Ну и собственно, делаем полное сканирование системы антивирусным сканером.

Если будете использовать их оба, то сначала CureIt!.

Если в вашей системе, будут файлы, которые вылечить будет никак невозможно, то, к сожалению, их обязательно нужно будет удалить (но не переживайте, если вдруг возникнут проблемы с восстановлением каких-либо .ехе файлов и вы что-то достать не сможете, то обратитесь ко мне в приват, я лично вам с этим постараюсь помочь, так как делала это ни раз).

Также нужно иметь в виду, что если в системе, либо на каком либо CD-R-/CD-RW-диске, который был записан уже на зараженной вирусом машине, либо если вы пользуйтесь флэшками для переноса/хранения информации (USB Flash Memory Storage) или дискетами, останеться хоть 1 зараженный .ехе файл и он будет запущен на вашем компьютере, то всё начнется сначала.

Затем перезагружаемся обратно в нормальный режим :)

После чего можно сделать новый лог HijackThis (плюс приложить лог Haxfix тоже).

Изменено 27 февраля, 2007 пользователем Saule

[-=stalnoy=-]

Привет. Трабл такой task manager has been disable.

лог

Logfile of HijackThis v1.99.1

Scan saved at 6:45:00 PM, on 3/26/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\kernels8.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\ICQCorp\ICQCorp.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\FlashGet\flashget.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe

C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe

C:\WINDOWS\System32\WISPTIS.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\regedit.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\WORKST~2.000\LOCALS~1\Temp\Rar$EX00.110\HijackThis.exe

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [iCQ Groupware] C:\PROGRA~1\ICQCorp\ICQCorp.exe -minimize

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - Global Startup: r161_16.bat

O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DBDF475-48F9-4528-8EDF-341C1C7BC237}: NameServer = 192.168.0.253 192.168.0.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{966EA1E4-EA84-40E1-AFA9-160E3BE3D041}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A7DF32C-4AAD-42A0-9727-2E53139CE75E}: NameServer = 192.168.0.253,192.168.0.1

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

И еще заметил при стартапе системы стартуют какие-то левые сервисы командной строкой и исчезают.

хелп.