Вирус или последствия.

[NLB]

Добрый вечер. Возникла проблема при вызове диспетчера задач появляется сообщение:
"ДИСПЕТЧЕР ЗАДАЧ ОТКЛЮЧЕН АДМИНИСТРАТОРОМ" и такая же проблема но через неделю при вводе команды regedit пишит: "РЕДАКТИРОВАНИЕ РЕЕСТРА ЗАПРЕЩЕНО АДМИНИСТРАТОРОМ" Но при загрузке безапасного режима все работает. Был установлен антивирус Dr.Web пиратская версия, скачал ключ на работе с лицензионного вроде все работало обновлялось нашлись вирусы все работало нормально до пары до времени но возникла проблема комп начинал загружаться появлялся рабочий стол но тут же перезагружался и так постянно. Зашел в безапасном режиме проверил на вирусы нашел удалил но комп по прежнему не грузился тогда я удалил Dr. Web комп стал грузиться но диспетчер задач и regedit все равно не работают и возникают проблемы с удалением и установкой програм. Установил Firewall ZoneAlarm_6.5.722.000. и касперского обновил снова нашлись вирусы но проблема не ушла. Подскажите вчем дело заранее спосибо.

 

[maxinfo]

Самый простой спсоб переустановить винду. Устранять последствия вирусов, пиратских программ вручную - пустая трата врмени. Антивирусом лучше всегда позьзоваться одним. Лично, я из антивирусов пользуюсь касперским.

 

[Aleksan]

Лично, я из антивирусов пользуюсь касперским

Рекламка, да???:lol:

Самый простой спсоб переустановить винду

А вот здесь, и далее я полностью согласен!!!

 

[NLB]

Спасибо за совет но этот вариант меня не очень устраивает т.к. слишком много ценных данных а что бы устранить проблему нужно фарматнуть диск. Может у кого-то была такаяже проблема и он её решил по другому?

 

[Plastinator]

проверьте температуру

 

[V_Bond]

NLB .... проблема не сложная ... все можно решить... если есть желание ...
скачайте http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
сделайте лог выложите думаю вам можно помочь(без переустановки) ...

 

[NLB]

Стыдно спросить что такое лог
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:27:53, on 24.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CNAB4RPK.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Registry Defragmentation\RegManServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\Syst3m32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Наиль\LOCALS~1\Temp\Rar$EX00.250\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fargus.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A867E101-1977-4D5F-9AE9-DEA9E22246B1}: NameServer = 217.23.80.12 195.161.106.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\qwerty12.exe (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: LiveUpdate System Manager - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Microsoft Host Service (MSHOST) - Unknown owner - C:\WINDOWS\system\host.exe (file missing)
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Registry Defragmentation\RegManServ.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows NT Logon Application (WINLOGON32) - Unknown owner - C:\WINDOWS\system\winlogon.exe (file missing)
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 6717 bytes

 

[V_Bond]

профиксите (в хайджек поставте галочки и нажмите Fix Cheked)

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O4 - HKLM\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User 'Default user')

скачайте http://www.z-oleg.com/secur/avz/download.php файл - выполнить скрипт (скопируйте и нажмите запустить-компьютер перегрузится)

begin
 BC_DeleteSvc('DomainService');
 BC_DeleteSvc('LiveUpdate System Manager');
 BC_DeleteSvc('MSHOST');
 BC_DeleteSvc('WINLOGON32');
 ExecuteRepair(1);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(11);
 ExecuteRepair(16);
 ExecuteRepair(17);
 BC_Activate;
 RebootWindows(true);
end.

удачи ....

 

[NLB]

Огромное спасибо. Скачал утилиту AVZ проверил:

часть текста протокола выделеная красным шрифтом. Если можно не моглибы вы сказать это серьезное или нет (и вообще что это такое)

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (571) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D961->77ED6F9C
Функция kernel32.dll:LoadLibraryExA (572) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D941->77ED6FB0
Функция kernel32.dll:LoadLibraryExW (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D839->77ED6FD8
Функция kernel32.dll:LoadLibraryW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B38->77ED6FC4
Детектирована модификация IAT: LoadLibraryA - 77ED6F9C<>77E7D961
Детектирована модификация IAT: GetProcAddress - 77ED6FEC<>77E7B332

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = FF9EE008 (297)
>>> Внимание, таблица KiST перемещена ! (80502588(284)->FF9EE008(297))
Функция NtClose (19) перехвачена (80581355->F38B65B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057AA2E->F38AB280), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805AE8B3->F38B62C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (80590950->F38B6440), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8057FB92->F38B6EE0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C0109->F38B6B2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8058F00C->F38B7830), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8056DE4B->F38AB340), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80567F3F->F38AB3C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80592B99->F38B6710), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8057D323->F38AB450), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8056A5F7->F38AB500), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (805616E0->F38AB5B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (805B682A->F38AB630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805B4523->F38ABE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805B4535->F38AB650), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805739E6->F38AB6F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (80585233->F9676028), перехватчик C:\WINDOWS\System32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (8058272F->F38AB7D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (80578115->F38B6050), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (80588D43->F38B6D2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80573460->F38AB870), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8062A577->F38AB920), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8058B1F4->F38B74C6), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (805833FB->F38AB9D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8062AC99->F38ABA80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80629B9A->F38ABB10), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8058F519->F38B77A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80629C34->F38ABBA0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805BBD83->F38B7B80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80592589->F38B8270), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (8062A157->F38ABC30), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) перехвачена (80590056->F38BACD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (805722DC->F38ABCD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805C1DD7->F38B7750), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (80591C32->F38B7300), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80629E33->F38ABDC0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8058FF6C->F38B65D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 38, восстановлено: 0

9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений

 

[V_Bond]

в логе ничего страшного (все перехваты от антивируса).... что с вашими проблемами .... ?

 

[NLB]

Все работает, еще раз спаибо. Только касперский пишит что поврежден (сигнатуры повреждены, некоторые крмпоненты защиты не исправны) и в "установке и удаление програм" его нет но на автозапуске есть попробую заново его установить может проблем уйдет?
И еще вопрос. Есть така я же проблема и на др. компах, можно ли пользоваться вашим кодом как шаблоном или для каждошо компа нужен свой подход?

 

[sergione]

V_Bond, Молодец, грамотно всё делаеш. Насчёт шаблона можно. И нужно А для каспера набери на офф. форуме KIS/KAV Remover или в яндексе.

 

[V_Bond]

NLB каждый случай уникальный .... лучше индивидуальный подход ...

 

[Нурик]

Руссификатор для SYMANTEC GHOST 8.0 CORPORATE

если у кого есть руссификатор для SYMANTEC GHOST 8.0 CORPORATE, скиньте, плиз!!!! Мне нужно создать образ *.gho диска!!! У меня английская версия, но в этом языке не спец.

 

[Endrew]

смотрите здесь http://rus.r-i-p.info/index.php?id=2660

 

[Нурик]

А не подскажешь как работать с ней. Создал я загрузочные дискеты, загрузился, создал с помощью проги DVD-диск с *.gho, но до этого у меня был загрузочный диск, который ставился в течении 15-18 минут и весил не так много. А теперь, после создания, он весит почти 3 гига, и ставится почти 30 минут. И без дискет не грузится. Т.е. надо загрузиться с дискет, а потом в самой проге запустить DVD-диск. Если можно подскажите как работать (создать) диск.

 

[Endrew]

Если можно подскажите как работать (создать) диск.

смотрим здесь http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005;a=02