Как удалить вирус

[Vp]

Сколько лет юзау инет и на тебе, просто взял и допустил гада.
Проблема:
При запуске ( уже войдя в виндовс) он выбрасывает окно : на котором просит диск windows и три кнопки отмена, повтор, продолжить
Я его закрываю естественно.
После ( неопределенного времени) выбрасывает такое же окно, но с другой гадостью : просит диск (причем разные), например иногда bat.exe , сегодня например svchost.exe но его уже закрыть неполучается.

какой гад у меня поселился и главное чем его удалить?

[michael79]

Vp,
если это происходит уже при зпгрузке , то чистить надо из Сейф Мод

[IronFeliks]

что из антивирусов и анти-spyware установлено на компе?

[kapigornik]

Ребят, может кто подскажет как мне избавиться от нежелательной программы? Ставил как-то ФТП-сервер, потом его удалил, а Эта гадость осталась. Причём после каждого нового скана МакКаффи в графе Items добавляется новая строчка, их уже не две, а четыре.
Борис посоветовал войти в Сейф-модель и там удалить его.

Цитата:

делаем рестарт компьютора. как только пройдет первый экран БАЙОСА просчитает память нажимаем Ф8 выпадает на черном экране меню выбора загрузки компьютора. там выбираем пункт Safe Mode и он загружается в это режим. Там будет предложен выбор пользователей. Выбери администратора. Тут можешь включить своего МакКафи и он опять найдет и укжет удалит это модуль. Или надо ставить программу CCleaner и она найдет все части оставленые ранее удалеными программами.

Попробовал войти как админ в сейф-мод, но там в All Programs я не вижу мой МакКафи, попробовал там же в Сейф-мод запустить этот МакКафи зайдя через My Computer -> Dick C -> Programs Files, но в папке с МакКафи лежит столько .exe-шек, что я просто не знаю какую из них правильно было бы нажать. Установил CCleaner, или я чё не то делал, но в общем после его чистки проблема осталась.
Борис, или кто-нибудь подскажите пожалуйста, что или как ещё сделать чтоб избавиться

[ANTISNIPER]

Vp,
kapigornik,

1. - Скачать вот это прогу - HijackThis
- Запустить HijackThis.
- Нажать на кнопку "Do a system scan and save a logfile".
- Сохранить лог и выложыть его сюда.(По умолчанию лог сохраняется в папке программы с именем hijackthis.log)

2. - Скачать новую версию утилиты - AVZ
- Сохранить приаттаченый внизу этого поста файл antisnipers_lab_syscheck.txt.
- Запустить AVZ.
- Файл -> Выполнить скрипт.
- В открывшемся окне, нажать "Загрузить" и выбрать сохранённый файл antisnipers_lab_syscheck.txt
- Нажать "Запустить"
- После выполнения скрипта, найти файл C:/antisnipers_lab_syscheck.zip и выложыть его сюда.

[Vp]

Цитата:

Сообщение от ANTISNIPER

- Сохранить лог и выложыть его сюда.(По умолчанию лог сохраняется в папке программы с именем hijackthis.log)

Logfile of HijackThis v1.99.1
Scan saved at 2131, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\DOCUME~1\Sophia\LOCALS~1\Temp\svchost.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\The Bat!\thebat.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Sophia\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoby.net/sb/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Sophia\LOCALS~1\Temp\svchost.exe 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\Sophia\LOCALS~1\Temp\Rar$EX00.781\Christmas.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINNT\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINNT\system32\imapi.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINNT\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINNT\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINNT\system32\wbem\wmiapsrv.exe

[sKwa]

Vp,
Твоя проблема не вирус скорее всего. Предполагаю, что ты пытался полечить что-то из семейства мелкософта(я так думаю- мимино)и пострадали некоторые системные файлы. Может быть такое? Нов принципе твоя проблема ща не вирус. опять же имхо. Попробуй поправить винду (я думаю пострадал explorer.exe).
kapigornik,
Это не вирус. Проблема в том что даемон стал адвэ програма и в ней есть модуль, без которого она не инсталируеться, но прекрасно обходится. Антивирь удалить не могЁт бо прав нету, надо в ручную и осторожно (мы ж хотим образы халявные и даймон не должен пострадать). Но ты можешь оставить всё как есть просто алерты будешь получать.

[ANTISNIPER]

Vp, давай лог AVZ, зверь у тебя на компе сидит...

[ANTISNIPER]

sKwa,

Цитата:

Твоя проблема не вирус скорее всего. Предполагаю, что ты пытался полечить что-то из семейства мелкософта(я так думаю- мимино)и пострадали некоторые системные файлы. Может быть такое? Нов принципе твоя проблема ща не вирус. опять же имхо. Попробуй поправить винду (я думаю пострадал explorer.exe).

Если не знаеш, зачем писать?

[Vp]

ANTISNIPER,
момент , что то прогу очень медленно стягивает