Vorlon Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Доброго всем времени суток! Прежде всего прошу уважаемых модераторов не удалять тему, понятно что она не раз поднималась, но изучив все упоминания я так и не нашёл ответа. Давайте выясним как решать эту проблемму, она постоянно возникает у многих, так что тема пригодится. Проблемма: Собирал для клиента комп, установил (проверенную винду XP pro), потом навешал туда всяких офисов, антивирь, АД-аварьку, IE7 (по просьбе клиента, ну и в общем все, больше ничего необычного не ставил (особенно игр). И после очередной перезагрузки стартовая страница всегда www.apeha.ru. Победить её так и не смог, в железе разбираюсь лучше чем в новом софте. По форумам нашёл множество упоминаний о тако Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Пардон, случайно нажал на сохранить, а редактировать тему тут нельзя, продолжу: По форумам нашёл множество упоминаний о такой проблемме, но разные источники, у некоторых страница www.apeha.ru становилась стартовой после установки игр, у некоторых после програмок разных, в общем непонятно откуда она берется, и самое главное не один из предложенных методов избавления не помог, вот что я пробывал: Изменять в настройках IE Изменять в реестре (ручками) Удалять ручками из реестра все ссылки на эту страницу Ставить проги типа Start Guard и т.п. Проверял АД варькой - ничего Проверял Касперским и Др Вебом - ничего Переустанавливал IE Ставил AVZ - ничего не нашла В общем обнаружить прогу которая меняет адрес, при чем моментально ( при изменении в ручную, при ближайшем (1-2 сек.) запуске IE - уже изменяется на www.apeha.ru) несмог, читал тут про прогу HiJack, вроде тут есть специ которые по её логу могут сказать какая дрянь мне нервы сутки уже портит :), вот лог, может поможет : Logfile of HijackThis v1.99.1 Scan saved at 20:48:10, on 20.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Download Master\dmaster.exe C:\Program Files\SEC\MagicTune3.6_Client_pivot\GammaTray.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\Logitech\SetPoint\KEM.exe C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE C:\PROGRA~1\Webshots\webshots.scr C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Documents and Settings\Запольские\Рабочий стол\Downloads\Программы\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe O4 - Global Startup: APC UPS Status.lnk = ? O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O4 - Global Startup: MagicTune3.6.lnk = ? O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe в начале лога при первой проверке была ссылка ( на www.apeha.ru в качестве стартовой) по совету когото с этого же форума отметил и пофиксил, ссылки вроде нет но страница все равно прописывается... В общем хелп, все перепробывал, менят браузер не хочу, должна же быть управа на эту заразу Програмку пробывал, оне не регистрирует изменение страницы, и не запрещает этой заразе ее менять Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Не уверен, но мне кажется, что это делают расширения браузера, так называемые BHO. В IE7 зайди Сервис--свойства обозревателя--программы--управление надстройками и отключай по одному и смотри на результат. :) Эта "Свилога" блокирует эту кнопку, она не нажимается.... трындец.... у меня такого еще небыло я уже 7 часов сижу над ней .... Ссылка на комментарий Поделиться на другие сайты Поделиться
Тролль Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Vorlon: я уже 7 часов сижу Попробуй тогда так: вставь в ярлыки запуска IE после заверщающих кавычек через пробел ключ -nohome При этом и IE должен запускаться быстрее. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость georg Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Не знаю отчего такой шухер, но у меня такая байда вылезала когда я пользовался диском с каким-то сборником игр. Решалось очень просто - в "Свойствах обозревателя" устанавливал нужную страницу (например, пустую) и всё нормально пока снова этот диск не вставлял. Но им же не надо постоянно пользоваться. Вреда вроде не было никакого, кроме злости на эти крекеров. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 (изменено) Ну, наверное, шухер оттого, что теперь и страничку поменять не удается и в управление BHO вход заблокирован. На вкладке сканирования Spybot есть кнопка "иммунизация". Она тоже удаляет разные такие штучки. Изменено 20 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Ну, наверное, шухер оттого, что теперь и страничку поменять не удается и в управление BHO вход заблокирован. На вкладке сканирования Spybot есть кнопка "иммунизация". Она тоже удаляет разные такие штучки. Угадал ! именно от этого, поменять страничку нельзя, ее что то тут же исправляет обратно, и Spybot ничего не находит в том то и проблемма, ни имунизация ни сканирование не помогает, если выставить запрет на изменение стартовой странички - все равно ее по сути и изменить то на пустую нельзя, как я понимаю какая то дрянь меняет ее каждую секунду на www.apeha.ru, при этом ничего необычного в процессах не происходит, или я не вижу этого (все проги которые должны такие изменения регистрировать -молчат) Ключь - nohome тоже не помогает эта гадость в процесах сидит наверняка, ее только увидет там надо :) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Ключь - nohome тоже не помогает эта гадость в процесах сидит наверняка, ее только увидет там надо :) Мне кажется, что не в процессах сидит, а в самом IE. Для этого кнопка и заблокирована. Можно пробовать в HijackThis фиксить BHO, но что то там ничего постороннего не видно. Точно к Saule надо обращаться. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Мне кажется, что не в процессах сидит, а в самом IE. Для этого кнопка и заблокирована. Можно пробовать в HijackThis фиксить BHO, но что то там ничего постороннего не видно. Точно к Saule надо обращаться. К кому ? я тут новенький, никого не знаю, и как к ней или к нему обратиться ? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 (изменено) К кому ? я тут новенький, никого не знаю, и как к ней или к нему обратиться ? Сервис-- "управление надстройками"---"включить или отключить надстройки" тоже заблокирована? Изменено 20 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Кем был установил в системе следующий запрет?: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Или если спросить по-другому, вы в курсе, что он у вас есть? Если нет, то он, наверняка, у вас не единственный, и виновника искать бесполезно. Нужно просто удалить ограничения этого пользователя. Например, часть из них можно убрать следующим образом: Скачиваем AVZ http://z-oleg.com/avz4.zip' rel="external nofollow">. Распаковываем, запускаем и нажимаем в верхнем меню программы: Файл > Восстановление системы Отмечаем галочкой 'Удаление всех Policies (ограничений) текущего пользователя'. А также в вашем случае можно отметить и 'Восстановление стартовой страницы Internet Explorer'. Затем на кнопку 'Выполнить отмеченные операции'. И перезагружаем компьютер. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Сервис-- "управление надстройками"---"включить или отключить надстройки" тоже заблокирована? Эта работает, отключил все, все равно осталось Кем был установил в системе следующий запрет?: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Или если спросить по-другому, вы в курсе, что он у вас есть? Если нет, то он, наверняка, у вас не единственный, и виновника искать бесполезно. Нужно просто удалить ограничения этого пользователя. Например, часть из них можно убрать следующим образом: Скачиваем AVZ http://z-oleg.com/avz4.zip' rel="external nofollow">. Распаковываем, запускаем и нажимаем в верхнем меню программы: Файл > Восстановление системы Отмечаем галочкой 'Удаление всех Policies (ограничений) текущего пользователя'. А также в вашем случае можно отметить и 'Восстановление стартовой страницы Internet Explorer'. Затем на кнопку 'Выполнить отмеченные операции'. И перезагружаем компьютер. Да, про эти ограничения я ничего не знал, в реестре не силен совсем... Сделал как Вы сказали, ничего не изменилось Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость georg Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 IE7 без надстроек проще всего запустить так: Пуск►►►Программы►►►Стандартные►►►Служебные►►►Internet Explorer (без надстроек) Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 IE7 без надстроек проще всего запустить так: Пуск►►►Программы►►►Стандартные►►►Служебные►►►Internet Explorer (без надстроек) Запустил без надстроек, та же история, страница меняется сразу же, и ни одна программа не видит это действие Самое обидное что Ад варька например на мое изменение ст. страницы реагирует, а на его нет :)((( Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 IE7 без надстроек проще всего запустить так: Пуск►►►Программы►►►Стандартные►►►Служебные►►►Internet Explorer (без надстроек) Нема такого. Йохту :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Нема такого. Йохту :) Да нема, я надстройки в сервмсе отключал.... Вот после такого начинаешь крепко ненавидеть сайты типа www.apeha.ru Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Сделал как Вы сказали, ничего не изменилось Перегружался? Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 20 января, 2007 Автор Жалоба Поделиться Опубликовано 20 января, 2007 Перегружался? Ага Чего я уже только не делал, неомгу понять как можно было так сделать, что бы ни один метод не помогал... Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость georg Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 (изменено) Нема такого. Йохту Вар орда. Кстати, Ad-Aware должен содержать в своих логах после сканирования кукисы этой дряни. Как подозрительный объект или "расширенный кукис", типа list.ru. Может удастся так его вышвырнуть? Изменено 20 января, 2007 пользователем georg Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 (изменено) А что, может быть с кукисами правда заморочка? Может удалить и потом запретить получение с данного адреса? На вкладочке "конфиденциальность" что угодно можно сделать с куками. Изменено 20 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость georg Опубликовано 20 января, 2007 Жалоба Поделиться Опубликовано 20 января, 2007 Может удалить и потом запретить получение с данного адреса? Вообще-то очистить кукисы надо было давно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vorlon Опубликовано 21 января, 2007 Автор Жалоба Поделиться Опубликовано 21 января, 2007 Вообще-то очистить кукисы надо было давно. Очистил сразу, как только эта ерунда появилась, Адварька находит вот что : Ad-Aware SE Build 1.06r1 Logfile Created on:21 ñ³÷íÿ 2007 ð. 10:05:36 Using definitions file:SE1R145 17.01.2007 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):4 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Search for low-risk threats Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan within archives Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Ignore spanned files when scanning cab archives Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Block pop-ups aggressively Set : Load Ad-Watch minimized Set : Automatically select problematic objects in results lists Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Show splash screen Set : Backup current definitions file before updating Set : Play sound at scan completion if scan locates critical objects 21.01.2007 10:05:36 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-436374069-1085031214-725345543-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-436374069-1085031214-725345543-1003\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-436374069-1085031214-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 648 ThreadCreationTime : 21.01.2007 8:01:52 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 696 ThreadCreationTime : 21.01.2007 8:01:53 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 720 ThreadCreationTime : 21.01.2007 8:01:54 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 764 ThreadCreationTime : 21.01.2007 8:01:54 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Îïåðàöèîííàÿ ñèñòåìà Microsoft® Windows® CompanyName : Êîðïîðàöèÿ Ìàéêðîñîôò FileDescription : Ïðèëîæåíèå ñëóæá è êîíòðîëëåðîâ InternalName : services.exe LegalCopyright : © Êîðïîðàöèÿ Ìàéêðîñîôò. Âñå ïðàâà çàùèùåíû. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 776 ThreadCreationTime : 21.01.2007 8:01:54 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 948 ThreadCreationTime : 21.01.2007 8:01:55 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1016 ThreadCreationTime : 21.01.2007 8:01:55 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1112 ThreadCreationTime : 21.01.2007 8:01:55 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1236 ThreadCreationTime : 21.01.2007 8:01:55 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1276 ThreadCreationTime : 21.01.2007 8:01:55 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1464 ThreadCreationTime : 21.01.2007 8:01:56 BasePriority : Normal FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519) ProductVersion : 5.1.2600.2696 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [sched.exe] FilePath : C:\Program Files\AntiVir PersonalEdition Classic\ ProcessID : 1616 ThreadCreationTime : 21.01.2007 8:01:56 BasePriority : Normal #:13 [avguard.exe] FilePath : C:\Program Files\AntiVir PersonalEdition Classic\ ProcessID : 1636 ThreadCreationTime : 21.01.2007 8:01:56 BasePriority : Normal #:14 [mainserv.exe] FilePath : C:\Program Files\APC\APC PowerChute Personal Edition\ ProcessID : 1648 ThreadCreationTime : 21.01.2007 8:01:56 BasePriority : Normal FileVersion : 1, 5, 0, 0 ProductVersion : 1, 5, 0, 0 ProductName : APC PowerChute Personal Edition CompanyName : American Power Conversion Corporation FileDescription : Battery backup management service InternalName : PowerChute LegalCopyright : Copyright © 2004 OriginalFilename : PowerChute Comments : Battery backup management service #:15 [cisvc.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1684 ThreadCreationTime : 21.01.2007 8:01:57 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Content Index service InternalName : cisvc.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : cisvc.exe #:16 [mdm.exe] FilePath : C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\ ProcessID : 1732 ThreadCreationTime : 21.01.2007 8:01:57 BasePriority : Normal FileVersion : 7.00.9466 ProductVersion : 7.00.9466 ProductName : Microsoft® Visual Studio .NET CompanyName : Microsoft Corporation FileDescription : Machine Debug Manager InternalName : mdm.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : mdm.exe #:17 [nvsvc32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1784 ThreadCreationTime : 21.01.2007 8:01:57 BasePriority : Normal FileVersion : 6.14.10.9371 ProductVersion : 6.14.10.9371 ProductName : NVIDIA Driver Helper Service, Version 93.71 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 93.71 InternalName : NVSVC LegalCopyright : © NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:18 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 564 ThreadCreationTime : 21.01.2007 8:02:00 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:19 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1256 ThreadCreationTime : 21.01.2007 8:02:03 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Îïåðàöèîííàÿ ñèñòåìà Microsoft® Windows® CompanyName : Êîðïîðàöèÿ Ìàéêðîñîôò FileDescription : Ïðîâîäíèê InternalName : explorer LegalCopyright : © Êîðïîðàöèÿ Ìàéêðîñîôò. Âñå ïðàâà çàùèùåíû. OriginalFilename : EXPLORER.EXE #:20 [rthdcpl.exe] FilePath : C:\WINDOWS\ ProcessID : 1860 ThreadCreationTime : 21.01.2007 8:02:37 BasePriority : Normal FileVersion : 2.0.9.1 ProductVersion : 2.0.9.1 ProductName : Realtek HD Audio Sound Effect Manager CompanyName : Realtek Semiconductor Corp. FileDescription : Realtek HD Audio Control Panel LegalCopyright : Copyright © 2004 Realtek Semiconductor Corp. OriginalFilename : RTHDCPL.EXE #:21 [avgnt.exe] FilePath : C:\Program Files\AntiVir PersonalEdition Classic\ ProcessID : 1884 ThreadCreationTime : 21.01.2007 8:02:37 BasePriority : Normal #:22 [devdetect.exe] FilePath : C:\Program Files\Common Files\ACD Systems\EN\ ProcessID : 1892 ThreadCreationTime : 21.01.2007 8:02:37 BasePriority : Normal FileVersion : 3,1,40,0 ProductVersion : 3,1,40,0 ProductName : Device Detector CompanyName : ACD Systems, Ltd. FileDescription : Device Detector InternalName : DevDetect LegalCopyright : Copyright © 2005 OriginalFilename : DevDetect.exe #:23 [rundll32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 128 ThreadCreationTime : 21.01.2007 8:02:37 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Îïåðàöèîííàÿ ñèñòåìà Microsoft® Windows® CompanyName : Êîðïîðàöèÿ Ìàéêðîñîôò FileDescription : Çàïóñê áèáëèîòåêè DLL êàê ïðèëîæåíèÿ InternalName : rundll LegalCopyright : © Êîðïîðàöèÿ Ìàéêðîñîôò. Âñå ïðàâà çàùèùåíû. OriginalFilename : RUNDLL.EXE #:24 [ctfmon.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 168 ThreadCreationTime : 21.01.2007 8:02:38 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:25 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 332 ThreadCreationTime : 21.01.2007 8:02:38 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:26 [dmaster.exe] FilePath : C:\Program Files\Download Master\ ProcessID : 344 ThreadCreationTime : 21.01.2007 8:02:39 BasePriority : Normal FileVersion : 5.2.2.1059 ProductVersion : 5.2 ProductName : Download Master CompanyName : WestByte FileDescription : Download Master InternalName : Download Master LegalCopyright : 2002-2007 WestByte #:27 [ad-watch.exe] FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\ ProcessID : 768 ThreadCreationTime : 21.01.2007 8:02:39 BasePriority : Normal FileVersion : 3.1.2.17 ProductVersion : 3.2 ProductName : Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Watch System Protector InternalName : Ad-Watch.exe LegalCopyright : 1999-2004 Team Lavasoft OriginalFilename : Ad-Watch.exe #:28 [gammatray.exe] FilePath : C:\Program Files\SEC\MagicTune3.6_Client_pivot\ ProcessID : 524 ThreadCreationTime : 21.01.2007 8:02:39 BasePriority : Normal FileVersion : 1, 0, 0, 1 ProductVersion : 1, 0, 0, 1 ProductName : GammaTray ?? ???? FileDescription : GammaTray MFC ?? ???? InternalName : GammaTray LegalCopyright : Copyright © 2004 OriginalFilename : GammaTray.EXE #:29 [wincinemamgr.exe] FilePath : C:\Program Files\InterVideo\Common\Bin\ ProcessID : 536 ThreadCreationTime : 21.01.2007 8:02:39 BasePriority : Normal FileVersion : 1.8.1 ProductVersion : 1, 8, 1, 0 ProductName : WinCinema Manager for InterVideo WinCinema products CompanyName : InterVideo Inc. FileDescription : WinCinema Manager InternalName : WinCinema Manager LegalCopyright : Copyright 1999-2003 InterVideo, Inc. All rights reserved. OriginalFilename : WinCinemaMgr.EXE #:30 [kem.exe] FilePath : C:\Program Files\Logitech\SetPoint\ ProcessID : 544 ThreadCreationTime : 21.01.2007 8:02:39 BasePriority : Normal FileVersion : 2.11.459 ProductVersion : 2.11.459 ProductName : SetPoint Files CompanyName : Logitech Inc. FileDescription : Logitech SetPoint InternalName : SetPoint LegalCopyright : © 2003 Logitech. All rights reserved. LegalTrademarks : Logitech®, is a registered trademark of Logitech Inc. OriginalFilename : KEM.exe Comments : Created by the Productivity Software team #:31 [khalmnpr.exe] FilePath : C:\Program Files\Logitech\SetPoint\ ProcessID : 400 ThreadCreationTime : 21.01.2007 8:02:40 BasePriority : Normal FileVersion : 2.11.427 ProductVersion : 2.11.427 ProductName : Productivity Software Common Files CompanyName : Logitech Inc. FileDescription : Logitech Hardware Abstraction Layer InternalName : SetPoint LegalCopyright : © 2003 Logitech. All rights reserved. LegalTrademarks : Logitech®, MouseWare® and iTouch® are registered trademarks of Logitech Inc. OriginalFilename : KHALMNPR.Exe Comments : Created by the Productivity Software team #:32 [webshots.scr] FilePath : C:\PROGRA~1\Webshots\ ProcessID : 976 ThreadCreationTime : 21.01.2007 8:02:40 BasePriority : Normal FileVersion : 2, 5, 1, 7009 ProductVersion : 2, 5, 1, 7009 ProductName : The Webshots Desktop CompanyName : Webshots.com FileDescription : Webshots Photo Manager InternalName : Webshots2 LegalCopyright : Copyright © 2006 OriginalFilename : Webshots2.SCR #:33 [wuauclt.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1548 ThreadCreationTime : 21.01.2007 8:02:43 BasePriority : Normal FileVersion : 5.8.0.2469 built by: lab01_n(wmbla) ProductVersion : 5.8.0.2469 ProductName : Îïåðàöèîííàÿ ñèñòåìà Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Àâòîìàòè÷åñêîå îáíîâëåíèå InternalName : wuauclt.exe LegalCopyright : © Êîðïîðàöèÿ Ìàéêðîñîôò. Âñå ïðàâà çàùèùåíû. OriginalFilename : wuauclt.exe #:34 [apcsystray.exe] FilePath : C:\Program Files\APC\APC PowerChute Personal Edition\ ProcessID : 2084 ThreadCreationTime : 21.01.2007 8:02:44 BasePriority : Normal FileVersion : 1, 5, 0, 0 ProductVersion : 1, 5, 0, 0 ProductName : APC PowerChute Personal Edition CompanyName : American Power Conversion Corporation FileDescription : PowerChute system tray power icon InternalName : PowerChute LegalCopyright : Copyright © 2004 OriginalFilename : PowerChute Comments : PowerChute system tray power icon #:35 [outlook.exe] FilePath : C:\Program Files\Microsoft Office\OFFICE11\ ProcessID : 2732 ThreadCreationTime : 21.01.2007 8:03:03 BasePriority : Normal #:36 [winword.exe] FilePath : C:\Program Files\Microsoft Office\OFFICE11\ ProcessID : 2828 ThreadCreationTime : 21.01.2007 8:03:06 BasePriority : Normal #:37 [iexplore.exe] FilePath : C:\Program Files\Internet Explorer\ ProcessID : 3008 ThreadCreationTime : 21.01.2007 8:03:13 BasePriority : Normal FileVersion : 7.00.5730.11 (winmain(wmbla).061017-1135) ProductVersion : 7.00.5730.11 ProductName : Windows® Internet Explorer CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : IEXPLORE.EXE #:38 [ad-aware.exe] FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Professional\ ProcessID : 2708 ThreadCreationTime : 21.01.2007 8:05:26 BasePriority : Normal FileVersion : 6.2.0.238 ProductVersion : SE 106 ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft AB Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Deep scanning and examining files (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Deep scanning and examining files (D:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 4 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 4 10:10:53 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:05:17.343 Objects scanned:133831 Objects identified:0 Objects ignored:0 New critical objects:0 И еще ставил я с нового диска на этот комп Фотошопу, это единственный непроверенный, так вот он при запуске выдал табличку "Вы хотите зайти на игровой сервер" и начал ломится на адрес "http://www.cdclub.pp.ru/redirect.php?id=" и зависает.... там в автозагрузочной папке файлик есть, который эту табличку выводит, я его прикрепил к посту, может это он и кто то смогет найти куда он пишет и что :D link.rar link.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 21 января, 2007 Жалоба Поделиться Опубликовано 21 января, 2007 Скачай одно из великих творений Марка Руссиновича программку autorans http://soft.softodrom.ru/ap/p6295.shtml Посмотри там на вкладках Internet Explorer и Image Hijacks, может что нибудь там прояснится? Вообще там ознакомься, что и как. К "сожалению" мы сейчас не обладаем этой заразой, что приютилась у тебя. Поэтому гадать не будем. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость georg Опубликовано 21 января, 2007 Жалоба Поделиться Опубликовано 21 января, 2007 (изменено) Vorlon, следует обратить внимание на это: #:16 [mdm.exe]FilePath : C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\ ProcessID : 1732 ThreadCreationTime : 21.01.2007 8:01:57 BasePriority : Normal FileVersion : 7.00.9466 ProductVersion : 7.00.9466 ProductName : Microsoft® Visual Studio .NET CompanyName : Microsoft Corporation FileDescription : Machine Debug Manager InternalName : mdm.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : mdm.exe mdm.exe должен находиться в каталоге Windows. Подробнее тут. PS. Блин, только сейчас полностью прочитал тему. O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Да, тут троян поработал. Дело серьёзное. Только сомневаюсь, что наглая страница напрямую связана с этим трояном - скорее, совпадение или подстава для создателей этого ресурса кем-то скрещена с одним известным ядром вируса. Но логи Hijack имеются и, думаю, Saule поможет разобраться. А что, система ставилась из образа? Файлик я не пробовал, так как не пользуюсь ни файрволом, не антивирусом. Изменено 21 января, 2007 пользователем georg Ссылка на комментарий Поделиться на другие сайты Поделиться
VanGog Опубликовано 21 января, 2007 Жалоба Поделиться Опубликовано 21 января, 2007 И еще ставил я с нового диска на этот комп Фотошопу, это единственный непроверенный, так вот он при запуске выдал табличку "Вы хотите зайти на игровой сервер" и начал ломится на адрес "http://www.cdclub.pp.ru/redirect.php?id=" и зависает.... там в автозагрузочной папке файлик есть, который эту табличку выводит, я его прикрепил к посту, может это он и кто то смогет найти куда он пишет и что Файлик чистый, не вирус, ничего никуда лишнего не пишет, в реестр не лезет. Я его запустил, полез на страницу http://www.cdclub.pp.ru/redirect.php?id= и все. Страница не сменилась. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения