Здравствуйте Всем!
Уважаемые Спецы, помогите, пожалуйста разобраться с протоколом! Каких зверей стоит поубивать навсегда? У меня вызывают подозрение следующие файлы:
R3
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4}...
O2 - BHO: (no name) - {CE8BB94A-F965-287F-9217-9D123240C335} ....
O20 - AppInit_DLLs: MsgPlusLoader.dll
А вот и протокол:
Logfile of HijackThis v1.99.1
Scan saved at 22:52:27, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerAntiVirus 2005\AVKService.exe
C:\Programme\PowerAntiVirus 2005\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ich\LOKALE~1\Temp\Rar$EX38.919\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://aktivierung.ish.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll
O2 - BHO: (no name) - {CE8BB94A-F965-287F-9217-9D123240C335} - C:\DOKUME~1\ich\ANWEND~1\VGAOOZ~1\Skipdupe.exe
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\ru-ru\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [MATHOWNSSKIPREADME] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma multi math owns\Wma Flaw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [proclocks] C:\DOKUME~1\ich\ANWEND~1\OPTION~1\math thunk safe.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\PowerAntiVirus 2005\AVKService.exe
O23 - Service: PAV Wächter (AVKWCtl) - Unknown owner - C:\Programme\PowerAntiVirus 2005\AVKWCtl.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Заранее благодарна за помощь!!!

Вот сюда http://www.hijackthis.de/ скопируй всё, что выше написала и кликни внизу auswerten - дальше тебе напишут, что к чему...

Спасибо за адрес, он мне известен. Я слышала, что автоматическим Auswertung'ам сильно доверять не стоит, лучше спросить совета профессионалов.

Hijack выдал подозрение на О14 и похоже правильно

Во-первых нужно разобраться с тем что даже Google не знает..
O4 - HKLM\..\Run: [MATHOWNSSKIPREADME] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma multi math owns\Wma Flaw.exe
O4 - HKCU\..\Run: [proclocks] C:\DOKUME~1\ich\ANWEND~1\OPTION~1\math thunk safe.exe
Вы не в курсе что это у вас? Если не знаете,то не плохо было бы проверить Wma Flaw.exe и math thunk safe.exe здесь:http://virusscan.jotti.org/de/
Вы удалили Spybot - Search & Destroy? Или вс╦ ещ╦ стоит?
Чтобы я удалил,если бы у меня был такой лог...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://aktivierung.ish.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O20 - AppInit_DLLs: MsgPlusLoader.dll
Ну и ещ╦ конечно обои 04 антраги,о которых я писал выше,если они окажутся "вредными"
Удалять нужно в Abgesicherten Modus, и после "лечения" не плохо бы новый лог.
И ещ╦ совет,забыть Internet Explorer и использовать Firefox или Оперу.

а может ещё и винду убить для полного счастья? браузер--дело личное--кому что удобнее, я пользуюсь и эксплорером и оперой по обстоятельствам, и так же всё остальное. вопрос стоит о вредоносных ресурсах, я мнение высказал, уже сталкивался, а остальное--пусть подскажут кто знает именно конкретный вред

Ты можешь убивать на сво╦м компе вс╦ что хочешь....

представь--не проблема--у меня их две в разных партишнах на всякий случай , а насчёт остального--считаю всё-таки стоит подумать прежде чем давать советы погасить всё что просто подозрительно. Хайджеком пользуюсь почти год--он выдаёт возможные подозрения, но это не значит, что всё подряд нужно удалять, он не со всеми процессами (прогами) знаком

Спасибо за сноску, но там в настоящий момент просят прийти попозже. Попытаюсь потом ещ╦ раз.
Автоматическая обработка лога посоветовала избавиться от неизвестных файлов:
O2 - BHO: (no name) - {CE8BB94A-F965-287F-9217-9D123240C335} - C:\DOKUME~1\ich\ANWEND~1\VGAOOZ~1\Skipdupe.exe
O4 - HKLM\..\Run: [MATHOWNSSKIPREADME] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma multi math owns\Wma Flaw.exe
O4 - HKCU\..\Run: [proclocks] C:\DOKUME~1\ich\ANWEND~1\OPTION~1\math thunk safe.exe
А также от ненужного файла:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
И от "вредного" файла:
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
Прав ли автомат??? Убить их всех?
Что значит уничтожить в "Abgesishertem Modus"? Hijack может избранные файлы только "fix checked". Без всяких альтернатив. Правда, при выключенном и-нете. Кстати, у меня Mozzilla Firefox.
Инструкцию по борьбе с вредителями я нашла на ftp://http://www.incosec.de/content/security/hijacker/hijacker_entfernen.htm

У вас не DSL? У меня всё функционирует...Можете ещё здесь:http://www.virustotal.com/flash/index_en.html попробывать файлы проверить.
O2 - BHO: (no name) - {CE8BB94A-F965-287F-9217-9D123240C335} - C:\DOKUME~1\ich\ANWEND~1\VGAOOZ~1\Skipdupe.exe
O4 - HKLM\..\Run: [MATHOWNSSKIPREADME] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma multi math owns\Wma Flaw.exe
O4 - HKCU\..\Run: [proclocks] C:\DOKUME~1\ich\ANWEND~1\OPTION~1\math thunk safe.exe
Как я уже выше писал,если вы не знаете что это,то лутше бы сначало проверить,на данных выше сайтах,и если "вредные" то можете удалять.
Вы так и не ответили насчёт Spybot - Search & Destroy.

Windows XP
Schalten Sie den PC ein, warten Sie auf die Meldung
Windows wird gestartet...
und drücken Sie dann sofort die Taste [F8].
So gehts es dann gemeinsam weiter
Es erscheint ein Start-Menü im Textmodus. Wählen Sie hier 'Abgesichert' bzw. 'Abgesicherter Modus' und bestätigen Sie dies mit der [Eingabe]-Taste. Windows wird im Abgesicherten Modus gestartet. Dabei wird die Bildschirmanzeige mit dem Standard-VGA-Treiber dargestellt, d.h. es wird meist eine geringere Auflösung und Farbtiefe verwendet als im normalen Modus. Netzwerk und Internet sind im Abgesicherten Modus ebensowenig verfügbar wie die meisten anderen Geräte und Funktionen, die auf Treiberunterstützung angewiesen sind.
Nun können Sie spezielle Antivirus-Programme einsetzen oder fehlerhafte Treiber entfernen. Im Fall spezieller Gegenmittel zur Entfernung einzelner Viren/Würmer sollte der gesamte Vorgang mindestens einmal wiederholt werden. D.h. Windows beenden, Neustart im Abgesicherten Modus und Einsatz des Gegenmittels.
Вам нужно стартануть комп в Abgesishertem Modus, запустить HijackThis,поставить галочки где вы хотите и нажать на Fix Checked.Советую также удалить :
O20 - AppInit_DLLs: MsgPlusLoader.dll

Спасибо за сноску! Я и туда отправила логфайл для проверки. У меня DSL, но страница была временно закрыта (на обеденный перерыв?). Устрою опрос населения, что делать с фулюганами, и уничтожу их в "abgesichertem Modus". Спасибо за терпеливое объяснение для "чайников"

Получила ответ со scan@virustotal. Я отправила логфайл открытым текстом, а они сказали, что не получили прикрепл╦нного файла. Недоразумение вышло... Не подскажете, в каком формате его прикрепить?

Я ещ╦ ничего не удаляла. Боюсь уничтожить полезные файлы! Автомат сказал про них, что они хорошие!

Там на автомате есть список возможных вариантов названий подозрительных файлов - кликни и проверь, походит ли у тебя по имени. Я твой лог на хияктис вчера вешал - если не ошибаюсь, и тебя там только один бэд был. Плюс пару вопросов, что не столь серьёзно. Нужно только проверить файлы в инете по имени и по функциям через поисковик любой - хотя бы гугль.
Кстати, поставь себе АдВарэ с АдВачем - намного упростишь и жизнь и проблем с принятием решений меньше будет. http://www.lavasoft.de/

Спасибо за совет, я не додумалась задать это в Google. Да, на AdWare прид╦тся разориться!

АдВарэ там вообще-то бесплатная...

Я ещ╦ раз зашла на эту страницу. Adware-se профессиональный вариант предлагают купить, остальную мелочь взять бесплатно. Пользуясь такими бесплатными прог-ами, я и насобирала весь этот мусор! Бесплатный сыр бывает, как известно, только в мышеловке.
Ещ╦ раз благодарю всех ответивших на мой крик о помощи.
Уборка комрьютерной территории прошла успешно. Спасибо всем участникам!

Странно... Мне казалось, что я оттуда полную версию AdWare SE Pro 1.06r1 скачивал... Дай мне свой емаил - файл весит около 7 мб - возможно, удасться привесить по почте.

Может, я не туда смотрю, но версия "Professional - buy only" стоит 35,51 ┬ на год, или CD 8,00 ┬ . В отличие от "Personal 1.06"-версии, 2,72 МВ. О.К. сбрось, пожалуйста, на wertex2004@germany.ru . Спасибо!

Почту проверь.

Спасибо за "посылку", но она не прошла по причине большого объ╦ма. Если можно, сбросьте, пожалуйста ещ╦ раз на друго адрес, который я Вам дам в личку.Там объ╦м 12 МВ. Пройд╦т?