Проблема после удаления Spy.SAHAgent

Прошелся по диску утилиткой AVZ в Win98. Она нашла в C:\WINDOWS\SYSTEM\ несколько файлов со Spy.SAHAgent. После удаления этих файлов не могу выйти в Internet. Может кто-нибудь сталкивался с этим?

ПОсмотри настройки експлорера. Там прокси не прописан?
И вообще, давай лог HijackThis

Нет, прокси не прописан. А что такое HijackThis?

[QUOTE=WildFox]
Нет, прокси не прописан. А что такое HijackThis?
[/QUOTE]
1. Скачайте программу HijackThis [url]http://www.tomcoyote.org/hjt/[/url]
2. Запустите HijackThis в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Нажмите на кнопку Scan.
4. Дождитесь конца сканирования и нажмите на кнопку Save log
5. Сохраните лог и запомните где.
6. Нажмите на кнопку Config...
7. Нажмите на кнопку Misc Tools
8. Отметьте (поставьте птичку) List also minor sections
9. Нажмите на кнопку Generate StartupList Log, на запрос который появится ответьте Yes
10. Откройте тему с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логами HijackThis полученными в пунктах 5 и 9

Кроме описанной проблемы стал сбоить NAV 2004.

Далее привожу Logfile of HijackThis v1.98.2

Logfile of HijackThis v1.98.2
Scan saved at 15:13:02, on 30.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\COMMON FILES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ONE-TOUCH\CP32NBTN.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ONE-TOUCH\CDROMMNT.EXE
C:\PROGRAM FILES\ONE-TOUCH\KBOSDCTL.EXE
C:\PROGRAM FILES\ONE-TOUCH\CP32NKCC.EXE
C:\PROGRAM FILES\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAM FILES\COMMON FILES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [CP32NOT] C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\outpost.exe /service
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKCU\..\Run: [Punto Switcher] C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
O4 - HKCU\..\RunOnce: [test]

O4 - Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINDOWS\SYSTEM\E_SRCV04.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Корзина для рекламы - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Показать Корзину - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\TRASH.EXE (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [url]http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - [url]http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab[/url]
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.183.50.230,62.183.1.244

Проблема знакомая - собака зарыта в строке
Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing

На компьютере кроме Spy.SAHAgent жил Spy.NewDotNet. Он корежит систему разрешения имен в настроке сети Windows, в результате пропадает выход в Инет и (или) глючат сетевые программы. Его Spy.NewDotNet прибил AVZ или NAV. Лечение - скачать программу [url]http://www.new.net/support/uninstall6_38.exe[/url] и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку

Мдааа.... Здесь без стакана сложно :)
Следующие файлы прислать на [email][email protected][/email] в архиве с паролем virus.

C:\Program Files\QuickSearch\QuickSearchBar1_27.dll

[quote author=Зайцев Олег link=board=22;threadid=323;start=0#msg2385 date=1101820668]
Лечение - скачать программу [url]http://www.new.net/support/uninstall6_38.exe[/url] и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку
[/quote]

Не помогло :(

У меня есть полный backup системы до удаления всякой нечисти. Может лучше вернуться к нему и как-нибудь помягче почистить?

[quote author=Зайцев Олег link=board=22;threadid=323;start=0#msg2385 date=1101820668]
Проблема знакомая - собака зарыта в строке
Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing

На компьютере кроме Spy.SAHAgent жил Spy.NewDotNet. Он корежит систему разрешения имен в настроке сети Windows, в результате пропадает выход в Инет и (или) глючат сетевые программы. Его Spy.NewDotNet прибил AVZ или NAV. Лечение - скачать программу [url]http://www.new.net/support/uninstall6_38.exe[/url] и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку
[/quote]
Можно в двух словах что именно портится, для общего развития?:)

[QUOTE=Geser]
Мдааа.... Здесь без стакана сложно :)
Следующие файлы прислать на [email][email protected][/email] в архиве с паролем virus.

C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
[/QUOTE]

Отправил, а что это что-нибудь новенькое? Надеюсь, стакан оказался под рукой... :)

[QUOTE=WildFox]
Отправил, а что это что-нибудь новенькое? Надеюсь, стакан оказался под рукой... :)
[/QUOTE]
Судя по тому что сказал Олег проблема не в нём, но похоже что он тоже лишний. Переслал Олегу, возможно он глянет. У меня скорее всего времени сегодня не будет.

я бы вернул на место newdotnet3_88.dll , а затем с помощью утилиты
LSP Fix , удалил бы лишние .
[url=http://66.102.9.104/search?q=cache:gjBbjnD_3gwJ:[url]www.bleepingcomputer.com/forums/index.php%3Fshowtutorial%3D59+lsp+fix&hl=ru&ie=UTF-8]вот[/url] инструкция в картинках на буржуйском ;D[/url]

QuickSearchBar1_27.dll - инфицирован not-a-virus:AdWare.ToolBar.Quick.a так что лучше удалить его.

[QUOTE=drongo]
я бы вернул на место newdotnet3_88.dll , а затем с помощью утилиты
LSP Fix , удалил бы лишние .
[url=http://66.102.9.104/search?q=cache:gjBbjnD_3gwJ:[url]www.bleepingcomputer.com/forums/index.php%3Fshowtutorial%3D59+lsp+fix&hl=ru&ie=UTF-8]вот[/url] инструкция в картинках на буржуйском ;D[/url]
[/QUOTE]
Прямая ссылк на инструкцию:
[url]http://www.bleepingcomputer.com/forums/index.php?showtutorial=59[/url]
Скачать программу LSP-Fix: [url]http://www.cexx.org/lspfix.zip[/url]
Кста, просьба сообщить о результатах :)

[QUOTE=Geser]
Прямая ссылк на инструкцию:
Кста, просьба сообщить о результатах :)
[/QUOTE]
Спасибо. Результаты, к сожалению, смогу получить только завтра. Обязательно сообщу.

[QUOTE=Geser]
Прямая ссылк на инструкцию:
[url]http://www.bleepingcomputer.com/forums/index.php?showtutorial=59[/url]
Скачать программу LSP-Fix: [url]http://www.cexx.org/lspfix.zip[/url]
Кста, просьба сообщить о результатах :)
[/QUOTE]
Yesss! С помощью lspfix удалил newdotnet3_88.dll и lsp.dll, после чего ad-aware спокойно вычистил SAHAgent'а и, наконец, AVZ удалил оставшийся от SAHAgent'а файл, который не нашел ad-aware. Internet рабоотает. Спасибо всем, кто принял участие. :) Блин, но как сложно-то...Действительно без стакана не разобраться :)

рад что получилось . это в первый раз трудно , а потом стандартно ;)
мораль такова , что не нужно сразу всё удалять , а нужно подумать и если надо, то вернуть стандартные установки а затем уж удалять 8)

[QUOTE=drongo]
рад что получилось . это в первый раз трудно , а потом стандартно ;)
мораль такова , что не нужно сразу всё удалять , а нужно подумать и если надо, то вернуть стандартные установки а затем уж удалять 8)
[/QUOTE]
Я может не совсем понимаю как работает lspfix, но по моему ему не нужно наличие dll, и можно фиксить так же и после того как dll удалена с диска.

[QUOTE=Geser]
Я может не совсем понимаю как работает lspfix, но по моему ему не нужно наличие dll, и можно фиксить так же и после того как dll удалена с диска.
[/QUOTE]
я так делал и у меня получилось по совету на том форуме . может wildfox или ещё кто заразиться этим видом шпиона ещё раз и проверит лечение при удалённом длл шпиона ???

[QUOTE=drongo]
я так делал и у меня получилось по совету на том форуме . может wildfox или ещё кто заразиться этим видом шпиона ещё раз и проверит лечение при удалённом длл шпиона ???
[/QUOTE]
Гы гы :)
Да ладно, поэксперементируем на следующем :)