Требует отправить СМС
zatejnik
Мастер
1/12/2011, 4:38:02 PM
Vertigo
Мастер
1/12/2011, 5:40:03 PM
Почему бы еще не сделать логи HijackThis?
zatejnik
Мастер
1/12/2011, 9:35:18 PM
(Vertigo @ 12.01.2011 - время: 16:40) Почему бы еще не сделать логи HijackThis?
думал что avz достаточно
англ программы не люблю....
сделал вот логи HijackThis
думал что avz достаточно
англ программы не люблю....
сделал вот логи HijackThis
скрытый текст
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:18:32, on 12.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\RTHDCPL.EXE
C:\WINDOWS.0\system32\rundll32.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\WINDOWS.0\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; Valuedata: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\cuvdsw.exe,C:\WINDOWS.0\system32\lhfzyex.exe,C:\WINDOWS.0\system32\loncfal.exe,C:\WINDOWS.0\system32\waxvgfm.exe
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - C:\Program Files\AlterGeo\AlterGeo Magic Scanner\2.8.3.585\AlterGeo.BrowserPlugin.dll
O2 - BHO: PhDHelp - {C5BF9CA7-669F-4C41-BEE3-4DF388530422} - C:\Program Files\VKMus\vkmus.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: RTHDCPL.EXE
O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87903D40-7B4D-4F69-A807-86D9BF5D6A69}: NameServer = 212.33.224.136,212.33.235.212
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.0\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS.0\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.0\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.0\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
--
End of file - 9800 bytes
Scan saved at 20:18:32, on 12.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\RTHDCPL.EXE
C:\WINDOWS.0\system32\rundll32.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\WINDOWS.0\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; Valuedata: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\cuvdsw.exe,C:\WINDOWS.0\system32\lhfzyex.exe,C:\WINDOWS.0\system32\loncfal.exe,C:\WINDOWS.0\system32\waxvgfm.exe
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - C:\Program Files\AlterGeo\AlterGeo Magic Scanner\2.8.3.585\AlterGeo.BrowserPlugin.dll
O2 - BHO: PhDHelp - {C5BF9CA7-669F-4C41-BEE3-4DF388530422} - C:\Program Files\VKMus\vkmus.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: RTHDCPL.EXE
O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87903D40-7B4D-4F69-A807-86D9BF5D6A69}: NameServer = 212.33.224.136,212.33.235.212
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.0\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS.0\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.0\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.0\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
--
End of file - 9800 bytes
DELETED
Акула пера
1/13/2011, 1:11:32 AM
Fix
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RtkBtMnt.exe
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\cuvdsw.exe,C:\WINDOWS.0\system32\lhfzyex.exe,C:\WINDOWS.0\system32\loncfal.exe,C:\WINDOWS.0\system32\waxvgfm.exe
Проверьте через virustotal:
C:\WINDOWS.0\system32\bcjqnbnl.dll
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS.0\system32\bcjqnbnl.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\cuvdsw.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\lhfzyex.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\loncfal.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\waxvgfm.exe');
BC_DeleteFile('C:\Program Files\VKMus\vkmus.dll');
BC_DeleteFile('spym.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RtkBtMnt.exe
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\cuvdsw.exe,C:\WINDOWS.0\system32\lhfzyex.exe,C:\WINDOWS.0\system32\loncfal.exe,C:\WINDOWS.0\system32\waxvgfm.exe
Проверьте через virustotal:
C:\WINDOWS.0\system32\bcjqnbnl.dll
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS.0\system32\bcjqnbnl.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\cuvdsw.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\lhfzyex.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\loncfal.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\waxvgfm.exe');
BC_DeleteFile('C:\Program Files\VKMus\vkmus.dll');
BC_DeleteFile('spym.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Vadim2268
Удален 1/17/2011, 10:48:27 PM
Добрый вечер!
Вот и я столкнулся с этой гадостью... знакомая поймала на домашнюю машину.
Значит история такова, машина грузится без проблем, появляется рабочий стол, все значки и файлы.... и тут те стартует (стартует с автозапуска) какая то гадость и сразу же разворачивается на весь экран, весь экран черный а по середине знакомый текст... отправьте смс, если у вас такой то оператор то на такой номер, а если такой то на такой... и еще какой то счет если смс не устраивает...))
Внизу форма для ввода кода и кнопка - "Снять блокировку". Вверху никаких оглавлений типа - ВНИМАНИЕ, нет. Пробовал воспользоваться помощью генератора на сайте касперского - не помогло.
СМС-блокер полносью блокирует машину, никада зайти не возможно и естественно ничего нельзя запустить, в безопасном режиме таже фигня.
Сносить винду нет желания, может будут какие мысли??? Как вариант завтра планирую подключить винт в другой машине и так просканировать...
Пы.Сы. во время заражения на компьютере успешно работал касперский (КИС)
Вот и я столкнулся с этой гадостью... знакомая поймала на домашнюю машину.
Значит история такова, машина грузится без проблем, появляется рабочий стол, все значки и файлы.... и тут те стартует (стартует с автозапуска) какая то гадость и сразу же разворачивается на весь экран, весь экран черный а по середине знакомый текст... отправьте смс, если у вас такой то оператор то на такой номер, а если такой то на такой... и еще какой то счет если смс не устраивает...))
Внизу форма для ввода кода и кнопка - "Снять блокировку". Вверху никаких оглавлений типа - ВНИМАНИЕ, нет. Пробовал воспользоваться помощью генератора на сайте касперского - не помогло.
СМС-блокер полносью блокирует машину, никада зайти не возможно и естественно ничего нельзя запустить, в безопасном режиме таже фигня.
Сносить винду нет желания, может будут какие мысли??? Как вариант завтра планирую подключить винт в другой машине и так просканировать...
Пы.Сы. во время заражения на компьютере успешно работал касперский (КИС)
DELETED
Акула пера
1/17/2011, 10:51:03 PM
Не надо сносить винду. Посмотрите ссылки чуть выше Вашего поста. А потом, как обычно, логи, согласно правилам.
Vadim2268
Удален 1/17/2011, 10:56:14 PM
(JeyLo @ 17.01.2011 - время: 19:51) Не надо сносить винду. Посмотрите ссылки чуть выше Вашего поста. А потом, как обычно, логи, согласно правилам.
Vadim2268
Удален 1/17/2011, 11:52:11 PM
(JeyLo @ 17.01.2011 - время: 20:39) Не получается? У Касперского не такой уж и сильный сервис. Попробуйте по остальным двум ссылкам.
Ага, понял, что вы имели введу... Но тут такое дело, я уже снял с машины винт и завтра уже планирую просканировать на другой машине, подключив его вторым винтом... что посоветуете в таком случае???
Ага, понял, что вы имели введу... Но тут такое дело, я уже снял с машины винт и завтра уже планирую просканировать на другой машине, подключив его вторым винтом... что посоветуете в таком случае???
Vadim2268
Удален 1/19/2011, 12:24:58 PM
Подключил вчера винт к другой машине и просканировал диск С утилитой - Kaspersky Virus Removal Tool. Нашло две вот таких гадости:
-Обнаружено: Trojan-Downloader.Java.Agent.ij G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\14\deeece-650174a0/applet.class
-Обнаружено: Trojan-Downloader.Java.OpenConnection.cu G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\51\54190e73-7cad79d9/folder/Globus.class
После чаво проблема исчезла... но при включение все равно запускает из автозапуска эту гадость, но разумеется пишет, что бла бла не найдено и нажав кнопку "ОК" пропадает... Изучение автозапуска через Выполнить, а так же в спеске автозапуска через AVZ ничего такого не нашел... посему оставил как есть... пока работает...
Пы.Сы. вот так детки рефераты в школу искали...))
-Обнаружено: Trojan-Downloader.Java.Agent.ij G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\14\deeece-650174a0/applet.class
-Обнаружено: Trojan-Downloader.Java.OpenConnection.cu G:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\51\54190e73-7cad79d9/folder/Globus.class
После чаво проблема исчезла... но при включение все равно запускает из автозапуска эту гадость, но разумеется пишет, что бла бла не найдено и нажав кнопку "ОК" пропадает... Изучение автозапуска через Выполнить, а так же в спеске автозапуска через AVZ ничего такого не нашел... посему оставил как есть... пока работает...
Пы.Сы. вот так детки рефераты в школу искали...))
DELETED
Акула пера
3/2/2011, 8:51:43 AM
Столкнулся с очень серьезным винлоком.Баннер как всегда просил денег.И не коды, не изменение системной даты не помогали.Простое изменение значений реестра тоже(этот гад пр перезагрузке все восстанавливал!)Но.....Итак 1)Запускаем без.режим с поддержк.ком. строки.2)Запускаем дисп.задач(ctrl+alt+del)иоткрываем новую задачу 3)пишем regedit изаходим в реестр.4)далее HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENT VERSION/WINLOGON проверяем 3 параметра- SHELL=explorer.exe SYSTEM=(пусто)USERINIT=последняя exe, (после запятой все удалить).5)Опять идем в диспетчер устройств-новая задача-msconfig.6)Во вкладке автозагрузка снимаем флажки там где нет Windows и Program Files 7)Дисп.задач -новая-control.exe-открываем панель управления-показать скрытые папки и файлы,отключить восстановление системы(если включено)8)Дисп.задач- обзор-заходим в диск С/Windows/Temp-зараза там.удаляем незнакомое(а лучше всю папку!!!)и содержимое папки System volume Information(если такая имеется)9)ПЕРЕЗАГРУЗКА 10)Гад исчез,но еще не совсем.Скачиваете Dr.Web Curelt и чистите систему... Бывает что для разблокировки хватает п.3 но не всегда.Самая главная гадость -он может заблокировать доступ к антивирусным базам! Кто знает подскажите как деблокировать
Апоссиумус
Новичок
3/3/2011, 6:43:04 PM
В 11-м году уже ловил - серьезная "тема" (не сидят рабитишки-хакеры без дела, все какую-то хрень выдумывают)
При полной блокировки компа, или ноута. - жмите Аlt-Ctrl+Del и задовайте в регистре новую задачу, где и исправьте вручную данные ....
При полной блокировки компа, или ноута. - жмите Аlt-Ctrl+Del и задовайте в регистре новую задачу, где и исправьте вручную данные ....
ru263
Мастер
3/9/2011, 11:00:42 PM
(Апоссиумус @ 03.03.2011 - время: 15:43)
При полной блокировки компа, или ноута. - жмите Аlt-Ctrl+Del и задовайте в регистре новую задачу.
Как можно задать ,задачу, если ком заблокировали)))
При полной блокировки компа, или ноута. - жмите Аlt-Ctrl+Del и задовайте в регистре новую задачу.
Как можно задать ,задачу, если ком заблокировали)))
Vertigo
Мастер
3/10/2011, 1:01:48 AM
(ru263 @ 09.03.2011 - время: 19:12) Ребята,сносите винду ,и не парьтесь,проще,
и без головной боли,легче разобраться в нашей винде ,чем ловить вирусы,и банеры.
Предупреждение по п. 1.5. за рекомендации и советы непрофессионального характера.
и без головной боли,легче разобраться в нашей винде ,чем ловить вирусы,и банеры.
Предупреждение по п. 1.5. за рекомендации и советы непрофессионального характера.
arustik
Новичок
3/19/2011, 1:59:00 PM
(Vertigo @ 09.03.2011 - время: 22:01) (ru263 @ 09.03.2011 - время: 19:12) Ребята,сносите винду ,и не парьтесь,проще,
и без головной боли,легче разобраться в нашей винде ,чем ловить вирусы,и банеры.
Предупреждение по п. 1.5. за рекомендации и советы непрофессионального характера.
сделать восстановления системы на пару дней назад в безопасном режиме!!!!и будет вам счастье
и без головной боли,легче разобраться в нашей винде ,чем ловить вирусы,и банеры.
Предупреждение по п. 1.5. за рекомендации и советы непрофессионального характера.
сделать восстановления системы на пару дней назад в безопасном режиме!!!!и будет вам счастье
Пивован
Профессионал
7/6/2011, 5:28:59 PM
После Нового года периодически приходится лечить синий локер, требующий оплатить 400р за использование компа в акте насилия над педофилами со ссылкой на статью УК. Код разблокировки будет указан на чеке терминала оплаты.
Блокируется все. Защищеный режим - тоже. Спокойно внедряется при работающем антивирусе из Инета.
Что делает: заменяет собой файлы userinit.exe и taskmgr.exe в system32 и dllcache, также появляются пара exe в "C:\Documents and Settings\All Users\Application Data\". Появляются ссылки на запус этих ехе в реестре. Все эти файлы имеют одинаковый размер и внутренние сигнатуры - по ним и вычислил.
Лечение: загрузка с LiveCD, удаление указанных файлов, запись вместо них здоровых с дистрибута Винды. Если дистрибут есть - дел на 10 минут от силы. При отсутствии - гемморрой еще тот... В принципе, может прокатить копирование с того же LiveCD.
Поэтому рекомендация: пока здоровы, сделайте копию userinit.exe и taskmgr.exe где-нибудь на винте и восстанвливайтесь оттуда.
А, ну конечно же КОД РАЗБЛОКИРОВКИ: отсутствует по определению. Подробности можно узнать на форуме у Касперского.
Блокируется все. Защищеный режим - тоже. Спокойно внедряется при работающем антивирусе из Инета.
Что делает: заменяет собой файлы userinit.exe и taskmgr.exe в system32 и dllcache, также появляются пара exe в "C:\Documents and Settings\All Users\Application Data\". Появляются ссылки на запус этих ехе в реестре. Все эти файлы имеют одинаковый размер и внутренние сигнатуры - по ним и вычислил.
Лечение: загрузка с LiveCD, удаление указанных файлов, запись вместо них здоровых с дистрибута Винды. Если дистрибут есть - дел на 10 минут от силы. При отсутствии - гемморрой еще тот... В принципе, может прокатить копирование с того же LiveCD.
Поэтому рекомендация: пока здоровы, сделайте копию userinit.exe и taskmgr.exe где-нибудь на винте и восстанвливайтесь оттуда.
А, ну конечно же КОД РАЗБЛОКИРОВКИ: отсутствует по определению. Подробности можно узнать на форуме у Касперского.
DELETED
Акула пера
7/8/2011, 9:56:38 AM
(Пивован @ 06.07.2011 - время: 19:28) После Нового года периодически приходится лечить синий локер, требующий оплатить 400р за использование компа в акте насилия над педофилами со ссылкой на статью УК. Код разблокировки будет указан на чеке терминала оплаты.
Блокируется все. Защищеный режим - тоже. Спокойно внедряется при работающем антивирусе из Инета.
Что делает: заменяет собой файлы userinit.exe и taskmgr.exe в system32 и dllcache, также появляются пара exe в "C:\Documents and Settings\All Users\Application Data\". Появляются ссылки на запус этих ехе в реестре. Все эти файлы имеют одинаковый размер и внутренние сигнатуры - по ним и вычислил.
Лечение: загрузка с LiveCD, удаление указанных файлов, запись вместо них здоровых с дистрибута Винды. Если дистрибут есть - дел на 10 минут от силы. При отсутствии - гемморрой еще тот... В принципе, может прокатить копирование с того же LiveCD.
Поэтому рекомендация: пока здоровы, сделайте копию userinit.exe и taskmgr.exe где-нибудь на винте и восстанвливайтесь оттуда.
А, ну конечно же КОД РАЗБЛОКИРОВКИ: отсутствует по определению. Подробности можно узнать на форуме у Касперского.
вчера тоже самое поймал, только уже просят 500р.
сработал нод32 (выдал, что блокиратор залетел), но тут же вирус его отключил.
буду пробывать скан DrWeb LiveCD.
Блокируется все. Защищеный режим - тоже. Спокойно внедряется при работающем антивирусе из Инета.
Что делает: заменяет собой файлы userinit.exe и taskmgr.exe в system32 и dllcache, также появляются пара exe в "C:\Documents and Settings\All Users\Application Data\". Появляются ссылки на запус этих ехе в реестре. Все эти файлы имеют одинаковый размер и внутренние сигнатуры - по ним и вычислил.
Лечение: загрузка с LiveCD, удаление указанных файлов, запись вместо них здоровых с дистрибута Винды. Если дистрибут есть - дел на 10 минут от силы. При отсутствии - гемморрой еще тот... В принципе, может прокатить копирование с того же LiveCD.
Поэтому рекомендация: пока здоровы, сделайте копию userinit.exe и taskmgr.exe где-нибудь на винте и восстанвливайтесь оттуда.
А, ну конечно же КОД РАЗБЛОКИРОВКИ: отсутствует по определению. Подробности можно узнать на форуме у Касперского.
вчера тоже самое поймал, только уже просят 500р.
сработал нод32 (выдал, что блокиратор залетел), но тут же вирус его отключил.
буду пробывать скан DrWeb LiveCD.
DELETED
Акула пера
7/9/2011, 10:59:31 PM
Пивован спасибо за помощь. сделал всё по твоему совету. гадость сничтожил!!!
MumuDog
Профессионал
7/13/2011, 5:12:16 AM
(голодный 33 @ 07.12.2009 - время: 10:10) было такое...попробуй подожди тупо часа 2, бывает что вирус самоудаляется,не поможет-в безопасном режиме проверь комп на вирусы,лучше касперским либо др.вебом,должно прокатить а я в своё время даже ось сносил из-за этой бяки...Но ни в коем случае не отсылайте смс-РАЗВОД!!!!
Ээээ... Не надо ждать. Тем более СМС отсылать... Посмотрите здесь https://support.kaspersky.ru/viruses/deblocker...
Ээээ... Не надо ждать. Тем более СМС отсылать... Посмотрите здесь https://support.kaspersky.ru/viruses/deblocker...
Vitava
Любитель
8/19/2011, 8:13:09 PM
Есть простая рекомендация,не работайте под админским профилем в винде,у урезаного юзера прав нет на установку в папку ALL USERS, туда обычно суёт вирь свои файлы,ну и много куда ещё. И под админом можно прямо из под винды хрень вычистить,с помощью AVZ и других прог. Проверил на личном опыте,так борюсь на работе.
DELETED
Акула пера
10/14/2011, 1:47:33 AM
arustik советует сделать восстановления системы на пару дней назад в безопасном режиме!!!!и будет вам счастье
если пойман этот вирус, то данный совет не поможет. блокируется и безопасный режим.
еще раз советую воспользоваться методом Пивован (см. выше)
если пойман этот вирус, то данный совет не поможет. блокируется и безопасный режим.
еще раз советую воспользоваться методом Пивован (см. выше)