Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Зависает Explorer после удаления трояна

Автор: candy_man
Дата сообщения: 27.01.2005 19:29
у меня был троян. я его удалил. Еше я исползовал Ad-ware для удаления мусора.
Но дело в том что когда я загружаю комп и пытаюс открыт какую нибуд папку, то експлорер тут же виснет. А IE 6 работаэт ок. Кто нибуд знаэт в чем дело?
Автор: Leecher
Дата сообщения: 27.01.2005 19:35
candy_man
Попробуй HiJackThis
Автор: candy_man
Дата сообщения: 27.01.2005 20:03
я просто восстановил его регистр через панель управления/удаление/restore settings. все ок. пока. А как вы считаете, безопасно ли удалять всё, что Ad-ware мне предлагает?
Автор: Leecher
Дата сообщения: 27.01.2005 21:41
candy_man
Если Ad-aware показывает на шпионские модули, например, на Cydoor в Flashget - Вам решать что делать... Пока с ним проблем не было...
А вот если что-то левое попалось в системе - стОит положиться на Ad-aware и дать удалить ей левый файл.
Принцип один - если в программе шпионский модуль присутствует - и эта программа Вам нужна, сначала попытайтесь поискать аналоги для замены этой программы на бесплатную и не содержащую шпионских модулей (как правило, такие аналоги есть).
Если нет такой программы - попробуйте удалить шпионский модуль в ней - если программа останется хорошо работать - получилось Если отказывается, как например, Kazaa, то переустановите программу - и смиритесь с наличием в ней шпионских модулей.
Все остальное - под нож

И не зацикливайтесь на Ad-aware - есть много более функциональных аналогов, например, Spybot Search & Destroy. Плюс, обязательно антивирус - Касперский, Norton, DrWeb, NOD, EZ Antivirus, McAfee, AV-antivirus, да хоть PC-Cillin Самое главное постоянно обновленные базы. И все у Вас будет в порядке
Автор: candy_man
Дата сообщения: 27.01.2005 22:12
ПРоблема в том, что нашел 3 файла, степень опасности которых 10, а удалить их нельзя т.к. WInda их использует.... внизу рисунок:

http://www.webfile.ru/170294

3 первых.
Автор: Leecher
Дата сообщения: 28.01.2005 00:16
candy_man
Качаем http://download.lavasoft.de.edgesuite.net/public/plvx2cleaner.exe

Цитата:

How to use Lavasoft’s VX2 Cleaner add-on

Close Ad-Aware and Ad-Watch (if running)

Install the VX2 Cleaner
Start Ad-Aware
Go to “Add-ons”
Select the VX2 Cleaner add-on and click “Run Tool”

If your computer is infected

Select “Clean System”
Reboot your computer
Scan your computer with Ad-Aware
Remove any VX2 objects detected
Reboot your computer again
Run a second scan to make sure the files have been removed from your computer


Автор: Dr StandBy
Дата сообщения: 28.01.2005 04:18
candy_man
Ну в твоем случае стоит удалить не только 1-3 но и 7 ключ реестра, и воспользоваться советом Leecher
Автор: candy man
Дата сообщения: 28.01.2005 11:57
Обязательно! Огромное спасибо!

Добавлено:
К сожаленью не помогло. Сделал следующее: Установил плагин.
Запустил: Ad-ware/Add-ons/Run Plugin. Он мне выдал System is Clean! Я сделал рестарт и проверил Ad-ware снова. Еще больше критических объектов! И все те же 3 VX2! Зпустил плагин - снова System clean! Ad-ware не может их удалить т.к. Windows их использует...

Мне кажется это какие то модули, которые вместе с Windows запускаются... Что ж делать то! Они ведь все время плодяться!

P.S. Format C: - исключен!
Автор: Dr StandBy
Дата сообщения: 29.01.2005 02:17
candy man
Тогда самый вернуй вариант использовать HijackThis а пакостников на карандаш, и из под SafeMode удалить ручками. Кстати ты просто обычными средствами AdAware удалял? судя по скрину что ты приводил, ты даже галочку не ставил на удаление.
Автор: candy_man
Дата сообщения: 29.01.2005 21:20
Dr StandBy насчет галочки то я все сделал правильно. Уж поставил - не забыл. А интересно то, что он из 3 пакостников только 1 как реальный объект находит... какой то guard.tmp . .... остальные просто не существуют... Попробую прогу.


Добавлено:
Итак мне ваша прога посоветовала сделать лог сделать и спецам показать, что я м делаю. Ну так что из этого можно удалить:

Logfile of HijackThis v1.99.0
Scan saved at 20:25:40, on 29.1.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\PROMon.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINNT\loadqm.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Documents and Settings\Administrator\Application Data\mroh.exe
C:\WINNT\System32\fast.exe
C:\HSYSTEM\Frontend.exe
C:\HEDSAM\hspoller.exe
C:\HSYSTEM\MAIN.exe
C:\Program Files\HHLGraph\HHLGraph.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\My Documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %WINDIR%\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.28.2.145:8000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.pol.ee;www2.pol.ee;<local>
R3 - URLSearchHook: Search - {74E39FC9-8B34-4C1D-A4BF-DA351F3F363A} - C:\WINNT\System32\Q1340554296.dll
R3 - URLSearchHook: Search - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: Search - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iesp1.dll (file missing)
O3 - Toolbar: Search - {A2C1CE3B-9EC1-4B91-8E41-AE57E070DEDF} - C:\WINNT\System32\Q1340554296.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Search - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Awoa] C:\Documents and Settings\Administrator\Application Data\mroh.exe
O4 - HKCU\..\Run: [Mdyowcy] C:\WINNT\System32\fast.exe
O4 - Global Startup: Frontend.lnk = C:\HSYSTEM\Frontend.exe
O4 - Global Startup: hspoller.lnk = ?
O4 - Global Startup: Main.lnk = C:\HSYSTEM\Main.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Search - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O9 - Extra button: Search - {A2C1CE3B-9EC1-4B91-8E41-AE57E070DEDF} - C:\WINNT\System32\Q1340554296.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = keskofood.ee
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0B93AFB-D4F7-4D65-A4F2-2CA7B76C15E9}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = keskofood.ee
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O18 - Filter: text/plain - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q1340554296.dll
O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - C:\WINNT\System32\Mnckkkhd.dll (file missing)
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: NetOp Helper ver. 7.50 (2003048) - Danware Data A/S - C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

Страницы: 1

Предыдущая тема: Media player, directX и Windows NT 4.0


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.