Hello Quench,
блин, мой PC подцепил "lsass", не могу поэтому в Интернет с него.
Скриншоты готовы, но никак не переслать из-за вируса.
Floppy не предусмотрен конструкцией, а на другие я записывать не умею.
Вобщем, пишу вручную то, что показали "Процессы":
alg.exe LOKALER DIENST
atiptaxx.exe
avserve2.exe
csrss.exe SYSTEM
ctfmon.exe
DAP.exe
Dit.exe
DitExp.exe
enbiei.exe
explorer.exe
htpatch.exe
LavaLamp.scr
Leerlaufprozess SYSTEM
lsass.exe SYSTEM
mdm.exe SYSTEM
mslaugh.exe
msmsgs.exe
PCMService.exe
qttask.exe
realplay.exe
services.exe SYSTEM
skynetave.exe
smss.exe SYSTEM
SOUNDMAN.EXE
spoolsv.exe SYSTEM
svchost.exe SYSTEM
svchost.exe SYSTEM
svchost.exe NETZWERKDIENST
svchost.exe LOKALER DIENST
svchost.exe SYSTEM
SysUpd.exe
System SYSTEM
taskmgr.exe
wanmpsvc.exe SYSTEM
winlogon.exe SYSTEM
WkUFind.exe
wuauclt.exe
x10nets.exe SYSTEM
С папкой "Webdialer" непонятки:
в ней нашелся скрытый файл под названием "Thumbs", 11 KB.
До 11.02.2004 в папке было 4 файла, после 11.02.2004 стало почему-то уже 5.
Этот новый файл "Thumbs" образовался 11.02.2004 как раз тогда,
когда я эту папку нашел и открыл.
В его свойствах эта дата указана как дата создания файла.
А сама папка существует с 10.10.2003, то есть намного раньше.
Файл "Thumbs" имеет тип "Datenbankdatei" и простым кликом не открывается.
Появляется текст, что он используется в "Betriebssystem" и в программах,
и если я захочу его открыть, то могу повредить что-то важное ...

0900 - 90000032

Diensteanbieter:
Mainpean GmbH
Scharnweberstraße 69
12587 Berlin

Datum der Zuteilung der Rufnummer:
Sat Oct 11 12:19:24 UTC+0200 2003
--------------------------------------------------------------------------------

"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"There Ain't No Justice!"

А что это "lsass"? я сейчас с другого компа выхожу, тут 95-й стоит, поэтому не могу проверить. Но, по-моему, это цивильный процесс, хотя утверждать не могу. Про остальные могу сказать, что многие из тех, которые ты привёл, и должны присутствовать в XP.
Что творят, то и хотят ╘

спасибо,что напомнил.
Я тут сел читать,всего у тебя много.
насчет Ласса, с чего взял ?
В чем это выражается,как выглядит.
Процесс lsass.exe SYSTEM
и уменя имееется,это системная фишка.
Сижу вот неизвестные процессы на ya.ru проверяю.
Надо нам определиться, чего мы хочем, ты сказал,что будем востанавливать
систему.
значит все находить и удалять.
Я бы поставил антивирус сейчас, раз ты на модеме то советую Dr.web-4,5 метров весит.(могу скинуть)
Плюс апдейт скачать.
Плюс фаервол бы поставил,на случай если диалер звонить будет,что бы ты сразу увидел.
это уже метров 15.
Было бы весело,если бы ты создал новую учетную запись, и из под нее стал работать.
Почитсил интернет кэш и отключяил систему востановления.
очитстил каталоги System Volume Information на всех дисках.
Научился ли ты программой пользолваться autorun ?
попообуй эту запусти, маленькая и до выяснения подробностей от чего нибудь
тебя избавит.
<<
как у тебя с инетом, на предмет скачивания ?
Качает быстро ,надежно,дешево,дорого ?
У тебя обновления против вирусов какие есть ?
< папкой "Webdialer" непонятки:
<в ней нашелся скрытый файл под названием "Thumbs", 11 KB.

это все ок,этот файл кэш ярлыков картинок,которые в этой папке были,что бы
при следующем открытии папки ты сразу увидел все красоту.
Этот файл можно коцать.Ни чего не будет.
Вообщем прочти о чем я, ответь, только не две строки , а подробно.
(у меня монитор Г, долго не могу переспрашивать)
Что было
Что ты делал
Что стало
Если какието проблемы возникали, то в каком виде,как ты это дело
классифицировал.
Поверь,мне твой комп не видать, тем более если не будет обратной связи, то я не смогу и мысль
номрально выразить.Не будет ее у меня.
Ты читай мое,а я пойду еще раз прочитаю твое.
Потом откинем лишнее и будем пробовать по шагам.
Только собратной связью.
прежед чес спроашивать, попробуй, что не поянтно на ya.ru, а потом сюда.
Если какие то проблемы вознкиают,запоминай их.
Лучшая память-бумажка .. и карандаш
≥http://Hety.HeT ╝

Забудь, это не поможет. Прими как есть и держи в следующий раз хорошую защиту на сво╦м РС.

Привет Quench,
сегодня я убрал вирус с компа, теперь есть возможность пересылать скриншоты.
Вирус был "W32.sasser.worm"
Посмотри в приложении "Процессы". Это самая актуальная картинка.
При удалении вируса я убрал процессы "avserve2.exe" и "skynetave.exe", т.к. это были его части.
Кажется системы на "Germany.ru" не позволяет цеплять сразу несколько приложений,
поэтому я буду писать короткие сообщения на каждую тему.

Теперь о программе "Autoruns.zip"
Я зарядил ее на свой PC, кликнул на файл "autoruns.exe"
после чего открылось окно с каким-то строчками
картинка получилась слишком большая и система Germany.ru ее не пропускает
Завтра повторю сохранение скриншота
Но мне непонятно, как надо стартовать эту программу
и в каком виде должен появиться результат?

Вот содержимое папки "Webdialer"
Как я тебя понял, файл "Thumbs" не имеет отношения к вредному дайлеру.
Но посмотри на картинки pic.1 - pic.4
Они тоже безобидные?

Например, вот одна из них:

А это свойства файла "Thumbs"

О том что я хочу:
Как и прежде, я хочу найти дайлера на своем PC. Или хотя бы следы от него.
Хочу только найти. Стирать нельзя.
Поэтому я сейчас сознательно не пользуюсь программами типа "Ad-aware"
Боюсь, что они не только найдут, но и заодно уничтожат
Про восстановление системы я не уверен, что надо сейчас ее делать.
Я хотел бы сначала испробовать возможные методики нахождения без восстановления,
и если они не дадут никакого результата, то только тогда восстанавливать.
Насчет установки антивируса, очистки каталогов и интернет кэш - все это наверное нужные
вещи, но я хочу сначала разобраться с дайлером (найти его следы)
и только потом заняться укреплением защиты.
Но я активировал интегрированный " Firewal ", тот который в WindowsXP.
Инет на предмет скачивания у меня медленный (около 5 KB/sec), качает долго.
Насколько дешево или дорого - без понятия, таких данных я нигде не видел.
Я очень мало что скачивал.
И вообще в Интернет из дома захожу очень редко.
Обновления против вирусов - надо посмотреть, что на нем есть. Наверное
на заводе в него заложили какой-нибудь Antivirus. Но эта машина у меня уже год
и со дня покупки на ней никто ничего не обновлял. Это точно.
А что делает твоя программка " CWShredder " ?
Для чего она надо?

Если они и ставят на заводе защиту, то или левую, или на три месяца. Ставь кроме Ad-aware ещё что-нибудь. И главное, не забывай обновлять.
Что творят, то и хотят ╘

Есть сильное подозрение, что дайлер сам себя уничтожил.
Но даже если это на самом деле так, то можно найти его признаки.
Например, таким признаком может быть "ActiveX-Steuerelement"
Вот один из сомнительных: см. приложение
Настораживает то, что эта папка была изменена 23.12.2003
Дайлер был активен 21-го и 22-го декабря.
А 23-го он был изменен, возможно что он сам себя деинсталировал.

Как я уже упомянул, в <"Downloaded program Files"> фигурирует дата 23.12.2003
Вот его содержание (приложение)

если сам себя покоцал, то черещ таоке время не найти.
Тем более ты на компе работаешь.
Чего считываешь, чего то записываешь.
Насчет картинка, это папка создается когда чего нибудь через инет скачиваешь и утставаливаешь себе.
У меня в такой JAVA свое брахло накидала.
Про даты.
Диалер мог прописаться черт ти знает когда,а актвизироваться когда ему вздумается.
Плюс,если он плагины докачивал, то даты создания файлов могут быть иными уже.
По дате не прокатит.Хотя как легкий аргумент можно использовать,если тяжелой артиллерии не будет.
Пошел я пачку сообщений от тебя переваривать.
Понаписал,то понаписал.
≥http://Hety.HeT ╝

Смотри "Downloaded Program Files":
Особенно непонятен первый файл ( он без конкретного названия )
В нем в описании "Codebasis" присутствует .../EroticAccess/...
Что это может значить?
Может это остатки дайлера?

вполне возможно,что да,если сам на сайтик ним не ходил.
Если на момент звонка сайт был именно
eingang 69. de то копат нужно здесь.
Сегодня идет редирект на
http://www.wobz.de/news/?ref=100
значит этот адрес не мертвый, и можно выяснить, что такое
за фигушка у тебя.
Думаю. это дело сохраняй, можно использовать.
Чем больше говна приготовишь. тем внимательней слушатьтебя будут.
Впринципе,иногда можно желаемое за действительное выдвинуть.
Чего тебе полиция трещит,я как понял, они хотели проверит твой диск.
Я бы не тянул, ели ты настроился уже.
По истечению времени труднее доказывать.
≥http://Hety.HeT ╝

Полиция пока никак себя не проявляет.
Они сказали, что будут спрашивать у фирмы-дайлера, куда я заходил и что смотрел.
Прошло уже две недели, но от них нет никаких известий.
Насчет проверки диска они сказали, что скажут когда надо.
Не от меня зависит.
Если они будут проверять, то возможны неожиданности:
- проверят поверхностно и ничего не найдут ( даже если дайлер на нем есть )
- проверят глубоко и не найдут, тогда могут возбудить против меня дело
на тему "введение полиции в заблуждение" - мало приятного
Так что мне надо самому найти следы дайлера, а не полагаться на полицию.
После этого можно нести к ним комп.
Что сейчас искать?

Вот смотри, какое окно открывается при старте "autoruns.exe":

А вот если я кликаю по очереди на строчки в том окне:
например, эта датайка мне уже подозрительна только потому,
что была создана 19 Декабря, то есть незадолго до появления дайлера
Она называется "SysUpd"
Как ты считаешь?