Sonia писал(а):

Поганца нету, седни я устраивала "Большую охоту на", все чисто.

Сталкивался.
Симптомы те-же, система та-же и так-же ничего не помогало.

Эт такой специяльный тип вирусняка-троянца - самовоссторавливающийся.

Причина в уязвимости (номер не знаю), которая вызыват переполнение буфера. Заплатки давно ставила?
Если нет, нада поставить.

Далее если есть возможность поставить Agnitum Outpost Firewall - поставь.
Он защитит от атак и погасит всплывающие окна, поскольку команда на их открытие проходить не будет, но это полдела.

RegEdit есть?
Удаляй из автозагрузки всё что тебе незнакомо или имеет кривые названия.
Затем пройдись по реестру в режиме "задействовать все варианты".
Удали всё что найдёт.

Далее перезагрузка и отключение фаервола на проверку излечения, после чего можешь его удалить нахфиг с машины, если не нужен

Цитата:

Заплатки давно ставила?

эм-с... это чаво? Мож оно еще как-то называется??

Цитата:

Agnitum Outpost Firewall

хм.. че-то знакомое... Ну, оки, установлю- доверюсь знающему

Цитата:

RegEdit есть?

есть. все, рекомендуемое тобой, делала

Sonia
в "Hijack this" можно создать очень грамотные логи процессов, списка автозагрузки и системных сервисов.
Если выложишь их куда-нибудь, будет намного проще выявить гада.

Результат работы "Hijack this":

Logfile of HijackThis v1.99.1
Scan saved at 21:22:48, on 07.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\SeUpdateDb.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Nina\Мои документы\For PC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Create virtual drive.lnk = C:\WebServers\etc\utils\Boot.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Bookshelf - c:\Bookshelf.TR\TRBookshelf_.dll.button.js
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Загрузить используя Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - c:\Bookshelf.TR\TRBookshelf_.dll.button.js
O9 - Extra 'Tools' menuitem: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - c:\Bookshelf.TR\TRBookshelf_.dll.button.js
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mms.kyivstar.net/mmawap/jsp/composer/player/mmsPlayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97DBB847-3A71-431F-AD28-E27F5E8E6050}: NameServer = 172.16.100.1,82.144.192.50
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe[/quote]O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Цитата:

C:\WINDOWS\System32\smss.exe

Знакомая шняга.Мой Norton её как вирус засёк. ...

Estelle, не путай, smss - важный системный процесс. Заускается ТОЛЬКО из /system32/
(всмысле, если путь запуска отличен от system32 - 100% вирус).

Цитата:

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

мелкая пакость. ставится обычно в паре с дивиксом, подменяет чужие баннеры своими. Опознается и убивается Ad Aware'й.

интересно, что вот это такое?

Цитата:

O4 - Startup: PowerReg Scheduler.exe

Подозрительная штука.

Sonia, попробуй найти этот файл на диске, а затем проверь его антивирем, желательно также и на сайте касперского онлайн-сканером.

Bosmr, я ваще ничё про СМСС не говорил!
Не до этого щас

ой млин , Термыч, извиняй, я тему с покета читал, в полусонном состоянии
Обознался

Sonia

Цитата:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

тоже непонятно, что это такое, как будто бы не всё закопипастилось.
19я строчка второго сообщения.

Беглым взглядом на комп Сони знаю что:
Есть айпод
Видюха АТИ
Бесперебойник АПЦ
Пользуешься ТАндербёрдом и стандартной аськой

Вирусняка не вижу. Бум смотреть дальше...

Добавлено спустя 2 минуты 9 секунд:

Sonia писал(а):

Цитата:

Заплатки давно ставила?

эм-с... это чаво? Мож оно еще как-то называется??

Эт обновления под винду.
Там всякие SecurityUpdates

Sonia писал(а):

Цитата:

Agnitum Outpost Firewall

хм.. че-то знакомое... Ну, оки, установлю- доверюсь знающему

Эт брэндмауэр оч хороший для юзера.
Есть ещё халявный ЗонАлярм, но как то он мне не особо...
А для аутпоста впринцыпе могу ключиком подеицца...

Цитата:

Sonia, попробуй найти этот файл на диске, а затем проверь его антивирем, желательно также и на сайте касперского онлайн-сканером.

все чисто

Цитата:

Эт обновления под винду.
Там всякие SecurityUpdates

хм... если не могу ниче припомнить, значит давно.

Цитата:

А для аутпоста впринцыпе могу ключиком подеицца...

еще не устанавливала, но обращусь. Спасибо за предложение ))

Цитата:

Беглым взглядом на комп Сони знаю что:

ааа... раССикретили!!!!

Sonia, ты все же не ответила,

Цитата:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

что это такое, как будто бы не всё закопипастилось.
19я строчка второго сообщения.


а вот это, как я уже говорил выше, убей!

Цитата:

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

Цитата:

что это такое, как будто бы не всё закопипастилось.

Это из папки антивируса. Я его просканила, ничего опасного ни Др.ВЕб, ни Касперский,ни ад-евер в нем не углядел.

Цитата:

а вот это, как я уже говорил выше, убей!

убила, в тот же день- я просто до этого день не сканировала сис-му, вот оно и завелось

Кста, проблема со всплывающими окнами так и осталась, и только в Фаерфоксе Ж(

Sonia писал(а):

Кста, проблема со всплывающими окнами так и осталась, и только в Фаерфоксе Ж(

Снеси Фаерфокс, проидись РегКлинером в режиме "Очистка реестра->Задействовать все варианты", перегрузи машину, слей новый дистриб 1.5.0.6 и установи.
Мож помогёт.

Дистриб:
http://www.mozilla.com/products/download.html?product=firefox-1.5.0.6&os=win&lang=ru

Sonia

Цитата:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

здесь должен быть полный путь к файлу!
А я наблюдаю лишь какой-то обрубок.

У меня такая проблема: на клаве глюк с переключением языков. Иногда работает, иногда нет (и приходится что называется вручную). Раздражает неимоверно Кто-нибудь знает в чем дело? В клавиатуре или в компе?

Цитата:

В клавиатуре или в компе?

ИМХО, в клавиатуре. Будь дело в компе, ты бы и "в ручную" не смогла бы + имеется опыт подобных глюков у мамы на работе, после которого я пришла к простому выводу "Не хочет переключать язык- ф топку"

Eliya писал(а):

У меня такая проблема: на клаве глюк с переключением языков.

Дай угадаю - у тебя ХР!

Не, не клавиатурный.
Это софтовый глюк. Как лечицца ХЗ, но в любом слуцае стоит удалить клаву и поставиь заново после перезагрузки. Делаецца в устройствах.

Спасибки за советы!!! Короче, буду пока клаву менять

RSV_Terminator, ага ХР у меня

Цитата:

Это софтовый глюк.

не факт. У меня у мамки тож ХР, а дело всегда (по крайней мере те 4 раза, что уже были) в самой клаве