При попытке деинсталляции Virtual CD комп перезагружается

[Spaniard]

При попытке деинсталляции Virtual CD комп перезагружается.

Также появились какие-то левые файлы, которых раньше не было.

[Matias]

Сделайте логи, как описано в этом посте.

[Spaniard]

Выкладываю логи.

CureIt ничего не нашел.

Лог HighJack

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:09:11, on 05.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\HHVcdV5Sys\VC5SecS.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Amber\Installs\SuperShell\TOTALCMD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Download Master\dmaster.exe

I:\Install\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\magent.exe -LM

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\ABBYYNewsReader.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Start HASP-Emu.lnk = C:\Program Files\Sable\WINNT\startnt.bat

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0740679-ED46-489D-B94B-DF0EB6190695}: NameServer = 81.95.224.146 81.95.224.65

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe

--

End of file - 4913 bytes

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

[456]

Spaniard:

Эта программа ?

http://www.virtualcd-online.com/vcd/apps/d.../spack.cfm?lg=0

Деинсталяторы для 6 версии и выше .

http://www.virtualcd-online.com/vcd/apps/s...e=1569&lg=0

Hint: Please make sure that you run the uninstaller with administrative rights!

Лог чистый .

[Spaniard]

Spaniard:

Эта программа ?

http://www.virtualcd-online.com/vcd/apps/d.../spack.cfm?lg=0

Деинсталяторы для 6 версии и выше .

http://www.virtualcd-online.com/vcd/apps/s...e=1569&lg=0

Hint: Please make sure that you run the uninstaller with administrative rights!

Лог чистый .

Нет, у меня 5 версия, поставленная без моего ведома :bye1:

[456]

Рекомендуется обновить программу до шестой , седьмой версии или выше .

http://www.virtualcd-online.com/vcd/apps/s...us=and&lg=0

Запустить Деинсталятор .

[Pili]

Spaniard:

AVZ - файл -выполнить скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('Wmdifsvww.sys','');BC_ImportQuarantineList;BC_QrSvc('Wmdifsvww');BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему

если в карнатин файл Wmdifsvww.sys не попадет, попробуйте найти его вручную (AVZ-Сервис-Поиск файла на диске)

[456]

Spaniard:

Там много вариантов для пятерки .

Например , удалить Virtual CD (H+H Software GmbH) в диспетчере устройств , остановить программу ,

"Установка и удаление программ " .

[Spaniard]

Pili

Все сделал.

[Pili]

Spaniard: файл пришел битый (тему от этого карантина еле нашел, ссылку надо указывать так: http://www.softboard.ru/index.php?showtopic=51089), давайте ещё раз

AVZ - файл -выполнить скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Wmdifsvww');SetServiceStart('Wmdifsvww', 4);QuarantineFile('Wmdifsvww.sys','');QuarantineFile('C:\WINDOWS\system32\Wmdifsvww.sys','');QuarantineFile('C:\WINDOWS\system32\ntsim.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys','');DeleteService('Wmdifsvww');DeleteFile('Wmdifsvww.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).