Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Okeanolog
20 ноября 2008, 02:10

Анастасия Яковлева написала: Дык поэтому и обращаюсь к общественности, потому что, не знаю, как лечиться

Как обычно. Хороший антивирус + хороший антишпион.
Анастасия Яковлева
20 ноября 2008, 14:22

Okeanolog написал: Хороший антивирус + хороший антишпион.

А через сеть эти штуки можно заказать? Хотя, не уверена, что получится - вчера пыталась на сайте "Вирусинфо" прочитать хотя бы правила запроса - даже они у меня не загружаются. Ничего с того сайта прочитать не могу - ничего не открывается. Видимо, нужно диск какой-нибудь купить с антивирусами? Просветите уж до конца, а то я в этом совершенно не разбираюсь smile.gif
Zont
20 ноября 2008, 14:56

Анастасия Яковлева написала: Просветите уж до конца, а то я в этом совершенно не разбираюсь

Проще всего зайти в какой нибудь компьтерный магазин и купить антивирус в коробке.
Анастасия Яковлева
21 ноября 2008, 00:48

Zont написал: Проще всего зайти в какой нибудь компьтерный магазин и купить антивирус в коробке.

Ага, спасибо! Наверное, так и сделаю smile.gif
Okeanolog
21 ноября 2008, 01:02

Анастасия Яковлева написала: Ага, спасибо! Наверное, так и сделаю

А что, пока антивирус отсутствует, как класс?
Eraser
21 ноября 2008, 10:34

Okeanolog написал:
А что, пока антивирус отсутствует, как класс?

Так по результатам же ясно. wink.gif
Анастасия Яковлева
23 ноября 2008, 02:01

Okeanolog написал: А что, пока антивирус отсутствует, как класс?

Он присутствовал какое-то время (теперь трудно установить, какое именно), после покупки в 2006 году всё было установлено. Но его обновлять надо было, а это никому в голову не пришло smile.gif
Всё, компьютер вылечен, всем большое спасибо за советы! smile.gif
Evgeniy
1 декабря 2008, 21:45
Опять подхватил какую-то заразу.
DrWeber ее пропустил. И не чистит. DrWeber лицензионный и обновляется каждый день.
Непрерывно работает программа winlogon.exe. Процессор постоянно загружен на 50%. Процесс остановить не могу. Система ХР не позволяет.
Какие будут предложения?
ilya_ya
2 декабря 2008, 00:27

Evgeniy написал: Опять подхватил какую-то заразу.
DrWeber ее пропустил. И не чистит. DrWeber лицензионный и обновляется каждый день.

Каждый день или чаще? По дефолту у дрвеба каждый час проверка обновлений. Если база актуальная и совпадает с показаниями на официальном сайте, значит, весьма вероятно, что это какая-нибудь новая зараза (новые звери каждый день появляются десятами), ещё не попавшая в базы, поэтому лучше всего обратиться в техподдержку. К запросу лучше всего сразу прикрепить логи сканера Dr.Web, а если есть возможность, то логи утилит HijackThis (http://www.whatthetech.com/hijackthis/), GMER (http://www.gmer.net/index.php) и RootkitUnhooker (увы, ссылки под рукой нет, а гуглить лень). Если есть ещё какие-нибудь утилиты типа AVZ, Rootkit Revealer и т.п., то их логи тоже лишними не будут.

В принципе, логи и здесь стоит показать - тут достаточно грамотных людей, которые подскажут, какие подозрительные файлы нужно отправить в поддержку для изучения.
Evgeniy
3 декабря 2008, 20:47

ilya_ya написал:
Каждый день или чаще?

Я настроил обновление - раз в день. В 18-30.


В принципе, логи и здесь стоит показать - тут достаточно грамотных людей, которые подскажут, какие подозрительные файлы нужно отправить в поддержку для изучения.

Обращался в Вирусинфо http://virusinfo.info/showthread.php?t=1235
Там посоветовали поставить SP3. Пока все.
Может еще что придумают? Подожду.
А лог, на всякий случай сюда прикрепляю.
ilya_ya
4 декабря 2008, 11:01
Comodo Firewall в системе стоит? Если нет, то весьма подозрительно в системе наличие файла C:\WINDOWS\System32\DRIVERS\cmdmon.sys - либо фаерволл был некорректно удалён,, либо кто-то под него маскируется.
А SP3 - это правильно, но его одного, увы, недостаточно. Заплатки, выпущенные после него, тоже нужно ставить. В частности, я уже нескольким знакомым очищал систему от зверей, лезущих через эту дыру, причём от атаки этой дыры почему-то не всегда помогает программный фаерволл - стопроцентно отрубает только внешняя железка между компом и сетью. А в отсутствие такой железки зараза перестаёт ломиться в систему только после установки заплаток.
Связаться с техподдержкой Dr.Web тоже лишним не будет.
ilya_ya
4 декабря 2008, 11:04

Evgeniy написал:
Я настроил обновление - раз в день. В 18-30.

А вот это напрасно. Рекомендую вернуть на ежечасно. Трафика это съест немного, а риск пролезания в систему инфекции будет меньше.
Evgeniy
4 декабря 2008, 22:37

ilya_ya написал:
А вот это напрасно. Рекомендую вернуть на ежечасно. Трафика это съест немного, а риск пролезания в систему инфекции будет меньше.

У меня днем, пока я на работе, компьютер выключен. Включаю только вечером.
Кстати. Установка обновления SP3 помогла радикально.
Сразу прекратилась ненужная активность winlogona.
Всем - спасибо.
Okeanolog
10 декабря 2008, 13:34
Недавно чистил одну машину, там вирус был лихой, к сожалению, не запомнил названия. Он поднял DNS сервер (не ясно зачем), FTP сервер. Кроме того, он не давал запустить Dr.Web CureIt, при запуске выскакивало сообщение, что срок лицензии истек! 3d.gif AVZ его просто не видел. Красиво работают ребята.
Serg Inc.
10 декабря 2008, 15:56

Okeanolog написал: Недавно чистил одну машину, там вирус был лихой, к сожалению, не запомнил названия. Он поднял DNS сервер (не ясно зачем) <...>

О как. А в настройках сети он не подменил DNS-сервер? А то он мог сделать его форвардером, разрешая некоторые запросы как ему нравится (подмена DNS).
Okeanolog
10 декабря 2008, 16:36

Serg Inc. написал: А в настройках сети он не подменил DNS-сервер?

Нет, я проверял, все чисто.
Да сейчас чего только не придумают. Не так давно тоже принесли мне совсем новый ноут, один только раз ребенок с него в интернет вошел (и то признался в этом только под угрозой пыток smile.gif ), но успел подхватить такую заразу, что я чуть мозг не вывихнул, удаляя ее. К сожалению, не сохранил названия этой гадости, но это какой-то вроде полиморф-троян, не имеющий собственного тела, а внедряющий код в любые файлы без изменения их размера(!). Естественно, чистка даже в Safe mode ничего не давала, а с Live CD винт был не виден smile.gif . В результате пришлось изымать хард и цеплять к десктопу, благо он был SATA.
Так что "наука умеет много гитик"(с).
basid
10 декабря 2008, 18:47

Okeanolog написал: а с Live CD винт был не виден smile.gif

Это неправильный LiveCD.
Okeanolog
10 декабря 2008, 18:58

basid написал: Это неправильный LiveCD.

Ну, все дрова от всех ноутов не соберешь. Для такого Асуса у меня не оказалось.
Щас вроде DrWeb выпустили свой аварийный LiveCD, интересно, там только стандартные драйвера? Кто-нибудь его уже пользовал?
ilya_ya
10 декабря 2008, 19:05

Okeanolog написал:
Щас вроде DrWeb выпустили свой аварийный LiveCD, интересно, там только стандартные драйвера? Кто-нибудь его уже пользовал?

Там линукс, так что если ядро тамошнее этот контроллер знает, то диск будет виден.
whitekiller
11 декабря 2008, 21:39
Народ, я знаю, что по-хорошему надо весь тред читать, но времени совершенно нет.
Какой антивирус сейчас является наиболее хорошим и лёгким? Я несколько последних лет пользовался AVG, но он, по словам жены, пропустил какую-то заразу.
Ростислав
15 декабря 2008, 00:30
NOD, наверное.
Производства Eset.
Okeanolog
15 декабря 2008, 01:11

whitekiller написал: Какой антивирус сейчас является наиболее хорошим и лёгким?

Хороший вопрос. Только не для этого треда. Тыц.
ushac
24 декабря 2008, 13:56
Уважаемые специалисты. Следующая ситуация. На ноуте - последний Касперский. Работает как зверь. У дочки - настольный ПК. Нельзя ли их как-нибудь объединить и ноутным Касперским прошерстить дочкин ПК? Везде имеются сетевые карты. На обоих - ХР
С уважением ushac
basid
25 декабря 2008, 18:59

ushac написал: На ноуте - последний Касперский. Работает как зверь. У дочки - настольный ПК. Нельзя ли их как-нибудь объединить и ноутным Касперским прошерстить дочкин ПК?

Объединить, конечно, можно, только для "прошерстить" существует CureIt! и загрузка безопасном режиме.

ps.gif Нет, эстеты могут и Virus Removal Tool использовать.
монах
26 декабря 2008, 21:31
Мой знакомый столкнулся со следующей проблемой. Если он что-нибуть ищет в поисковиках, то на первый взгляд выводится нормальная страница с результатом. На второй взгляд, шрифты немного не такие, и каждая ссылка ведет на переадрессацию, которая открывает левые страницы. Сканирование несколькими антивирусами ничего не дало. Файерволь включен. Пытались и аддоны отключать, и все такое, но ничего не дало реультата. Такое впечатление, что запрос уходит "налево", там подменяется другой страницей и результат возращается. Сетевые установки выглядят нормально. Но удалось отловить, что переадресация идет на сервер из России.

Кто-нибуть сталкивался с такой гадостью?

Любопытно, под другими аккоунтами все чисто. Но если создаешь новый аккоунт, то эта гадость и там вылезает.
ViolatorDM
26 декабря 2008, 21:36
А в настройках браузера "левый" прокси не прописался?
монах
26 декабря 2008, 21:38

ViolatorDM написал: А в настройках браузера "левый" прокси не прописался?

Нет, стоит на "автоматике".
монах
26 декабря 2008, 21:41
Да, эксплорер и файерфокс действуют одинакого. По этому и возникла мысль, что каким-то образом сам запрос уходит "налево".
Serg Inc.
26 декабря 2008, 22:30

монах написал: Любопытно, под другими аккоунтами все чисто. Но если создаешь новый аккоунт, то эта гадость и там вылезает.

Банальный AutoRun проверяли?
Vitalka
26 декабря 2008, 23:10
Существует довольно немалая пачка вирусов, редактирующих файл hosts (обычно нахолится в C:\WINDOWS\system32\drivers\etc). Рекомендую открыть его в блокноте и удалить все записи, кроме "127.0.0.1 localhost".

Ну и, само собой, вирусню погонять. smile.gif
Serg Inc.
26 декабря 2008, 23:24

Vitalka написал: Существует довольно немалая пачка вирусов, редактирующих файл hosts (обычно нахолится в C:\WINDOWS\system32\drivers\etc). Рекомендую открыть его в блокноте и удалить все записи, кроме "127.0.0.1 localhost".

Не объясняет разницу поведения под разными учетными записями. По описанию (под одними проявляется, под другими нет, под вновь созданными тоже) смахивает на что-то зарегистрированное в профиле DefaultUser.

Ну и, само собой, вирусню погонять. smile.gif

О да smile.gif.
Vitalka
27 декабря 2008, 00:25

Serg Inc. написал: Не объясняет разницу поведения под разными учетными записями. По описанию (под одними проявляется, под другими нет, под вновь созданными тоже) смахивает на что-то зарегистрированное в профиле DefaultUser.

Упс. Про разные аккаунты я как-то пропустил, да...

Кстати, вопрос топикстартеру - что понимается под словом "поисковики" - один-два конкретных, или любой поисковик? Скажем так, есть ли поисковики, которые работают нормально под "нехорошими" аккаунтами?
монах
27 декабря 2008, 01:38

Vitalka написал: Существует довольно немалая пачка вирусов, редактирующих файл hosts (обычно нахолится в C:\WINDOWS\system32\drivers\etc). Рекомендую открыть его в блокноте и удалить все записи, кроме "127.0.0.1 localhost".

Ну и, само собой, вирусню погонять. smile.gif

Там все чисто.
монах
27 декабря 2008, 01:40

Vitalka написал:
Упс. Про разные аккаунты я как-то пропустил, да...

Кстати, вопрос топикстартеру - что понимается под словом "поисковики" - один-два конкретных, или любой поисковик? Скажем так, есть ли поисковики, которые работают нормально под "нехорошими" аккаунтами?

Гугль и Яхуу. Другие не проверял.

Вообще сайты грузятся долго. Немного пошуршиш по системе, то включишь, это выключишь. Некоторое время все нормально. Потом бах, опять появилось.
монах
27 декабря 2008, 01:45
По словам знакомого, он смотрел мой ЖЖ, ткнул в одну ссылку, после это началось. Трудно сказать, не совпало ли это просто, лично у меня пока никаких проблем не наблюдается.

Но то, что переадресация идет, сам видел, по ремоту. Прямые ссылки стали идти на "go.google.com". Когда поигрался с настройками файерволя, в url стали подставлятся прямые адреса. Whois показал адрес провайдера в России. Такое впечатление, что как-то DNS играют. Но мне не хватает опыта, чтобы понять, в чем дело.
Serg Inc.
27 декабря 2008, 01:51
Список запущенных процессов изучал? Ничего подозрительного не увидел? Список модулей, загруженных в процесс браузера, смотрел?
монах
27 декабря 2008, 01:59

Serg Inc. написал:
Банальный AutoRun проверяли?

еще нет
монах
27 декабря 2008, 02:01

Serg Inc. написал: Список запущенных процессов изучал? Ничего подозрительного не увидел? Список модулей, загруженных в процесс браузера, смотрел?

Попробую. Но не просто это. Один раз я настойчиво убивал "cfstrmon", пока не прочитал, что это нужная прилада smile.gif
Serg Inc.
27 декабря 2008, 02:05

монах написал: Попробую. Но не просто это. Один раз я настойчиво убивал "cfstrmon", пока не прочитал, что это нужная прилада smile.gif

Не обязательно убивать наугад smile.gif. Сделай список запущенных процессов, список модулей, загруженных в процесс браузера, посмотри, что грузится в AutoRun. Выложи эту информацию здесь, там видно будет.
монах
27 декабря 2008, 02:34

Serg Inc. написал:
Не обязательно убивать наугад smile.gif. Сделай список запущенных процессов, список модулей, загруженных в процесс браузера, посмотри, что грузится в AutoRun. Выложи эту информацию здесь, там видно будет.

хорошо, сделаем.
Vitalka
27 декабря 2008, 02:35

монах написал: Гугль и Яхуу. Другие не проверял.

Проверь как минимум Яндекс, search.msn.com и Альтависту. Если хоть один работает, значит, искать в ветке реестра HKCU слова google и yahoo и анализировать.

Если же окажется, что в любом поисковике такая лажа, то, похоже, в системе сидит какая-то гадость, подменяющая адрес в GET-запросах.

монах написал: Вообще сайты грузятся долго. Немного пошуршиш по системе, то включишь, это выключишь. Некоторое время все нормально. Потом бах, опять появилось.

100% какая-то зараза сидит, и пока ты ее не изведешь, ничего не сделаешь. Надо не температуру сбивать, а фурункул вскрывать. smile.gif

Положи здесь лог HiJackThis, посмотрим, подумаем.
Sergei Zhu
27 декабря 2008, 02:48

ushac написал: Уважаемые специалисты. Следующая ситуация. На ноуте - последний Касперский. Работает как зверь. У дочки - настольный ПК. Нельзя ли их как-нибудь объединить и ноутным Касперским прошерстить дочкин ПК? Везде имеются сетевые карты. На обоих - ХР
    С уважением  ushac

Касперский проверяет и лечит расшаренные на другом компьютере папки без проблем. Правда, если дочкин комп болен, толку от такого лечения имхо не будет.
монах
27 декабря 2008, 02:48

Vitalka написал:
Положи здесь лог HiJackThis, посмотрим, подумаем.

Отлично, спасибо. Так и сделаем.
ushac
28 декабря 2008, 23:36
Спасибо за ответы и с Новым Годом всех
ilya_ya
29 декабря 2008, 01:06

Sergei Zhu написал:
Касперский проверяет и лечит расшаренные на другом компьютере папки без проблем. Правда, если дочкин комп болен, толку от такого лечения имхо не будет.

Именно. ПО сети ни один антивирус не сможет прибить активный вирусный код в памяти системы, так что количество заражённых файлов после такой проверки может даже увеличиться.
монах
29 декабря 2008, 12:08

Vitalka написал:
Положи здесь лог HiJackThis, посмотрим, подумаем.

Странно. Запускаю инсталяцию, она подвисает. Процесс в списке видно, но больше ничего не происходит.
Vitalka
29 декабря 2008, 18:04

монах написал: Странно. Запускаю инсталяцию, она подвисает. Процесс в списке видно, но больше ничего не происходит.

Вообще-то он не требует инсталляции. Просто запускаешь HiJackThis.exe и жмешь кнопку Do a system scan and save logfile.
Matias
29 декабря 2008, 18:45
Если HJT зависает, можно попробовать переименовать файл, назвавего, например, 1.pif.
монах
30 декабря 2008, 11:40

Vitalka написал:
Вообще-то он не требует инсталляции. Просто запускаешь HiJackThis.exe и жмешь кнопку Do a system scan and save logfile.

Попробовал еще раз сгрузить, установить, сработало. Вот лог:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:34:01, on 30/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\drivers\PhiBtn.exe
C:\WINDOWS\System32\drivers\Tray900.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Messenger\msmsgs.exe
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe
C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\903CB56BA52F42478957BE8314837A86\PamelaPCR.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe
O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.4.3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1198860517702
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1199454073250
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe

--
End of file - 10308 bytes
=====================================

да, при старте файерволь не включается. Или отключается. Вобщем нет его, приходится заного включать.
Matias
30 декабря 2008, 17:45
В системе точно сидит какая-то гадость. Легитимный svchost.exe не может находится в папке drivers и в автозагрузке.
Скачай Malwarebytes Anti-Malware, установи, проведи полную проверку системы. Получившийся лог выложи сюда.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»