Вирус на компьютере.

[Boris123]

Эта тема создана для решения проблем с заражённым компьютером. Сделайте всё что написано в этом посту и полученный лог от HijackThis разместите здесь.
Что значит профиксить в программе HijackThis
Выделить нужный пункт (поставить галочку в чек-боксе) и после этого нажать кнопку Fix it

И от себя программы лучше скачивать с сайта производителя. Производитель HijackThis это TrendMicro

Вот здесь можно проверить подозрительный файл. http://www.virustotal.com/index.html

А вот сюда можно отправить файл для проверки http://analysis.avira.com/samples/index.php

[DeFragMenT]

Что за bgsvcgen.exe ??? Стреляйт пуф-пуф ...
Скачай Process Explorer. Раньше он был на www.sysinternals.com пока МелкоСофт не перекупила Марка Русиновича. Постреляй процессы.
Подними Spybot и в режиме Advanced, включи BHO - удали все подозрительное. Через Start->Run набери services.msc и останови сервисы
которые подозрительны. Подсказка - почти и всех обычно отсутствует описание. Можно через msconfig в закладке Сервисы пометить "убрать
Майкрософтовские" - таким образом сузишь поиск. В Hijack обрати внимание на раздел Winlogon Notification, многие руткиты прописывают
себя там (и WGA тоже . Удалить такое нельзя (и SafeMode не поможет).
Но ... если у тебя NTFS и ты 100% уверен что нашел имя вируса можно
поменять Security для всех на Deny Read. Так что после перезагрузки
гадский DLL/EXE просто не поднимется. Потом через IE бегом на
www.bitdefender.com и/или на housecall.trendmicro.com. О ... почти забыл
В том же Spybot проверь файл hosts и удостоверься что там есть всего
одна строчка: 127.0.0.1 localhost
Mногие вирусы/шпионы добавляют пустые строчки чтобы открыв файл
через редактор ты не увидел что там внизу прописаны антивирусные сайты на 127.0.0.1. Файл сидит в C:\Windows\System32\drivers\etc

[petrkh]

Замечание от администрации форума:

для того что-бы выложить лог от Hijack This не надо пакостить и флудить. Это обычный текст! просто выделяем его нажав Ctrl+A в окошке лога, дальше нажимаем Ctrl+C и уже в окошке сообщения на сайте нажимаем Ctrl+V.

извините пытаюсь выложить файл, не получается

а это обязательное условия чтобы отправить 10 сообщений что бы прекрепить файл

пожалуйста извините меня , но мне нужно прикрепить файл, поэтому прошу модераторов не ругаться

помогите выложить файл для просмотра буду очень признателен

Цитата:

Logfile of HijackThis v1.99.1
Scan saved at 0:41:03, on 20.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.1660

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
c:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll (file missing)
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PVR Agent] C:\Program Files\KWorld Multimedia\HyperMedia\DTVR\Scheduled.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 First Step\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\Provisioning\Schemas\lsass.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\WinSxS\Manifests\explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Remote Control.lnk = C:\Program Files\KWorld Multimedia\DVB-T 210 Utilities\HMP3XCtl.exe
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
O9 - Extra button: Альбом клипов HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll (file missing)
O9 - Extra button: Расширенный выбор HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll (file missing)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian...an_unicode.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.4...ndows-i586.cab
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.165 85.255.112.220
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Ramerup]

petrkh,
Стопроцентно не скажу но C:\WINDOWS\Provisioning\Schemas\lsass.exe
lsass.exe в этой папке быть не должен... Посмотри, - в папке... но раньше времени не дергайся - пусть более сведущие люди посмотрят твой лог.

[Boris123]

Цитата:

Сообщение от petrkh

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (file missing)

Цитата:

Сообщение от petrkh

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

Цитата:

Сообщение от petrkh

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)

Цитата:

Сообщение от petrkh

O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

это профиксить.

Цитата:

Сообщение от petrkh

O4 - HKLM\..\Run: [System] C:\WINDOWS\Provisioning\Schemas\lsass.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\WinSxS\Manifests\explorer.exe

удалить

Цитата:

Сообщение от petrkh

O9 - Extra button: Альбом клипов HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll (file missing)
O9 - Extra button: Расширенный выбор HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll (file missing)
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)

профиксить

Цитата:

Сообщение от petrkh

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

Цитата:

Сообщение от petrkh

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)

Цитата:

Сообщение от petrkh

O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing

профиксить

Цитата:

Сообщение от petrkh

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

удалить.
И самое главное установить антивирус!

[Ramerup]

Boris123,
Я бы ещё фаер поставил(кажись нету его), Spaybot и AD-Aware, слез с IE, поудалял разные тулбары, и поотключал всякие разные Plug and Play, Диспетчер сеанса справки для удаленного рабочего стола и т.п.

[Boris123]

Цитата:

Сообщение от Ramerup

Я бы ещё фаер поставил(кажись нету его)

сейчас почти все хорошие антивирусы, к примеру Касперский который когда-то был на машине у petrkh имеют свою стенку.

[Ramerup]

Boris123,
Незнаю... - у каждого конечно свое мнение, но практика показывает - многофункциональные устройства слабее специализирующихся на конкретной задаче, и потом - "хороший" антивирус не всегда подходит. По различным причинам. Кстати, к единому мнению, какой считать хорошим, до сих пор не пришли. И не придут никогда.

[petrkh]

Ramerup,
судя по описания я поймал вирус Trojan.Win32.Agent.il (Trojan.Plastix, Trojan.Krotten, Trojan.Griven, Win32/KillFiles.NAB, Trojan.Agent.il, Trj/Sirery и др ). я проверял систему с помощью AVZ и он нашел файл Photo.exe, который я удалил. после его удаления на рабочем столе вообще все пропало.(раньше хоть кнопка пуск была и сетевое окпужение, другого не было, программы нельзя было запустить, небыло прав). есть и положительная сторона, сообщение которое выходило перед запуском (типа вышли денег если не хочешь потерять данные) исчезло. а вопрос, в следующем: после всего, что мне написали выше....восстановлю я работаспособность системы или придется все-таки форматировать?

[Ramerup]

petrkh,
Plastix ? А в трее вместо часиков слово ГНОЙ? Или ПИЗ...Ц? Круто!

[Ramerup]

petrkh,
Почитай там, страницы 4 + дополнительные ссылки
http://www.softboard.ru/index.php?showtopic=34632&st=0