temp2.exe ошибка приложения

**xxp** · January 4, 2008

При старте Windows XP выходит ошибка

кто знает как это починить?

спасибо.

**ser208** · January 4, 2008

кто знает как это починить?

Вообще-то убрать из автозагрузки. Попытка загружать файл, которого нет.

Судя по названию это остатки какой-то заразы.

Скачай Cureit , и проверь системный диск в безопасном режиме.

Скачай HijackThis

сделай лог и выкладывай здесь.

Скачай AVZ , распакуй, обнови и перейди в меню

Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Edited January 4, 2008 by ser208

**yuriks** · January 4, 2008

У брата было такое - вирус.

тут смотри http://www.daxa.com.ua/vir.php?hnum=44

или тут http://cds.if.ua/forum/index.php?showtopic=2704&st=25

**xxp** · January 4, 2008

Скачай Cureit , и проверь системный диск в безопасном режиме.

Проверил.. он нашёл temp2.exe но удалить не смог.. ввёл его в карантин

Скачай HijackThis
сделай лог и выкладывай здесь.

Вот лог:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 15:21:51, on 04.01.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\012Net\012Net-Cable dialer\fts.exe

C:\Program Files\012Net\012Net-Cable dialer\FWPortal.exe

C:\Program Files\ShadowStor\ShadowUser\ShadowUser.exe

D:\Program Files\TurboLaunch\TurboLaunch.exe

D:\Program Files\Avant Browser\avant.exe

D:\1\avz4\avz.exe

D:\1\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.100.1/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O1 - Hosts: 84.95.250.10 l2authd.lineage2.com

O1 - Hosts: 84.95.250.10 l2testauthd.lineage2.com

O1 - Hosts: 84.95.250.10 nprotect.ncsoft.co.kr

O1 - Hosts: 84.95.250.10 nprotect.lineage2.com

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [suNotification] C:\Program Files\ShadowStor\ShadowUser\suatshut.exe

O4 - HKLM\..\Run: [%FP%012-L2TP fts.exe] "C:\Program Files\012Net\012Net-Cable dialer\fts.exe"

O4 - HKLM\..\Run: [%FP%012-L2TP FWPortal.exe] "C:\Program Files\012Net\012Net-Cable dialer\FWPortal.exe" -no_dialog

O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe

O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_013] rebuild.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

O4 - Startup: TurboLaunch.lnk = D:\Program Files\TurboLaunch\TurboLaunch.exe

O4 - Global Startup: ShadowUser Pro Edition.lnk = C:\Program Files\ShadowStor\ShadowUser\ShadowUser.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D241927-C053-425F-BBAA-E06C6B635B3B}: NameServer = 212.117.129.5 212.116.161.38

O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 6104 bytes

Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Иследовал..

C:\WINDOWS\system32\temp2.exe >>>>> Backdoor.Win32.Small.lo

C:\WINDOWS\xcopy.exe >>>>> Virus.Win32.Perlovga.a

D:\host.exe >>>>> Trojan-Dropper.Win32.Small.apl

D:\host.exe/{EXE-Joiner}/.exe/{EXE-Joiner}/.exe >>>>> Backdoor.Win32.Small.lo

D:\Programs\Activate\1\Windows.XP.2003.Product.Key.Viewer.Generator.Changer.ShareConnector\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a

E:\host.exe >>>>> Trojan-Dropper.Win32.Small.apl

E:\host.exe/{EXE-Joiner}/.exe/{EXE-Joiner}/.exe >>>>> Backdoor.Win32.Small.lo

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "vsmvhk.dll"

>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса спра%E