После запуска IE вылетает флешка, как убить?

[BoryaK]

Помогите плизз, после запуска IE вылетают флешки с какого-то сайта, и вообще с системой не все в порядке, уважаемые профессионалы помогите плизз, прикрепляюю файл с логом системы.

Logfile of HijackThis v1.99.1
Scan saved at 14:10:21, on 26.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Program Files\USB Flash Disk Utility\UFD Utility\USBTD.exe
C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe
C:\WINDOWS\System32\sysmon.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Miranda\miranda32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Temp\АнтивирусЗайцева\hijackthis_new_26_05_2006 \HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.2.100:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UFD Monitor] C:\Program Files\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Program Files\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [System Monitor] C:\WINDOWS\System32\\sysmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Reboot.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate - http://lingvo.yandex.ru/ie5trans.htm
O8 - Extra context menu item: &Ubersetzen - http://lingvo.yandex.ru/ie5trans1.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: T&raduire - http://lingvo.yandex.ru/ie5trans2.htm
O8 - Extra context menu item: Traduc&ir - http://lingvo.yandex.ru/ie5trans4.htm
O8 - Extra context menu item: Tradurr&e - http://lingvo.yandex.ru/ie5trans3.htm
O8 - Extra context menu item: Yandex &Search - http://lingvo.yandex.ru/ie5search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite5\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...up1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {ADFEE671-5D06-48A7-AF43-A598D3A58AF6} (DemoForge Player Control) - http://www.webmoney.ru/download/dfplay.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6FA21A-CD1C-48B4-B669-CA8C5ED9D773}: NameServer = 10.11.12.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6FA21A-CD1C-48B4-B669-CA8C5ED9D773}: NameServer = 10.11.12.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0F6FA21A-CD1C-48B4-B669-CA8C5ED9D773}: NameServer = 10.11.12.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\n64slgh7164.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\xePu8O7iIMDr5erx4O3k8CDC6+Dk6Ozo8O7i6Pc \command.exe (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Зайцев Олег]

Нужны логи соглдасно правилам - должно быть три протокола. Визуально похоже на FunFeb + Look2Me

[BoryaK]

Нужны логи соглдасно правилам - должно быть три протокола. Визуально похоже на FunFeb + Look2Me

Вот что еще смог получить от AVZ

[BoryaK]

Нужны логи соглдасно правилам - должно быть три протокола. Визуально похоже на FunFeb + Look2Me

такой файл есть, но он был не в архиве

[Geser]

c:\program files\network monitor\netmon.exe
c:\windows\system32\sysmon.exe
c:\program files\msn messenger\msnmsgr.exe
C:\WINDOWS\system32\exent.dll
C:\WINDOWS\system32\n64slgh7164.dll
C:\WINDOWS\System32\susp.exe
C:\Program Files\DashBar\DashBar15.dll
C:\Program Files\MyWebSearch\bar\4.bin\F3POPSWT.DLL
C:\WINDOWS\System32\azesearch4.ocx

Все перечисленные файлы прислать. Так же зайти в
C:\WINDOWS\System32\ посортировать файлы по дате, и прислать все файлы с расширениями dll exe созданные сегодня и вчера

Всё прислать как описано в правилах

[BoryaK]

c:\program files\network monitor\netmon.exe
c:\windows\system32\sysmon.exe
c:\program files\msn messenger\msnmsgr.exe
C:\WINDOWS\system32\exent.dll
C:\WINDOWS\system32\n64slgh7164.dll
C:\WINDOWS\System32\susp.exe
C:\Program Files\DashBar\DashBar15.dll
C:\Program Files\MyWebSearch\bar\4.bin\F3POPSWT.DLL
C:\WINDOWS\System32\azesearch4.ocx

Все перечисленные файлы прислать. Так же зайти в
C:\WINDOWS\System32\ посортировать файлы по дате, и прислать все файлы с расширениями dll exe созданные сегодня и вчера

Всё прислать как описано в правилах

При архивировании файлов, не все файлы смог добавить в архив, см. плиz doc файл в архиве system32_1.rar.
При добавлении файлов в карантин добавилось только 3 файла, см. virus.zip архивы отправил.

[Geser]

Как каспер пропустил не понятно. Скорее всего базы не обновляйись давно. Короче деинсталируете КАВ что стоит. Идёте на сайт ЛК, скачиваетете КИС2006 обновляете его базы и чистите систему. http://www.kaspersky.ru/trials?chapter=186545270

[Rene-gad]

Как каспер пропустил не понятно.

А чего ж тут непонятного: вырублен он - ни в процессах его нетуть, ни в службах...Только реестровые записи

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

и остались.

[Shu_b]

из свеженького: c:\windows\system32\sysmon.exe

DrWeb - BackDoor.Asbest
VBA32 - suspected of Backdoor.Agobot.18

[MOCT]

При архивировании файлов, не все файлы смог добавить в архив, см. плиz doc файл в архиве system32_1.rar.

что-то вроде никто не ответил про файлы в архиве.
a.exe
alxres.dll
atmtd.dll
bridge.dll
CWS_iestart.exe
dailytoolbar.dll
jao.dll
mirarsearch_toolbar.exe
questmod.dll
tcpservice2.exe
txfdb32.dll
udpmod.dll
wstart.dll
эти все удаляйте, ибо они порченные и Вам явно не нужны.
остальные файлы из архива system32_1.rar - это троян Look2Me. тут уже неоднократно писалось про его лечение (тем же KAV6)

[BoryaK]

что-то вроде никто не ответил про файлы в архиве.
a.exe
alxres.dll
atmtd.dll
bridge.dll
CWS_iestart.exe
dailytoolbar.dll
jao.dll
mirarsearch_toolbar.exe
questmod.dll
tcpservice2.exe
txfdb32.dll
udpmod.dll
wstart.dll
эти все удаляйте, ибо они порченные и Вам явно не нужны.
остальные файлы из архива system32_1.rar - это троян Look2Me. тут уже неоднократно писалось про его лечение (тем же KAV6)

огромное СПАСИБО!!!
СПАСИБА ВСЕМ!!!