Вирус или нет?

Глючит комп с недавнего времени:
1) Подтормаживает
2) Не открывает Диспетчер Задач, функции Регедит и Мсконфиг.
3) Пробовал сканировать Касперским (сканер не запускает, хотя все остальные приложения антивируса работают).
4) Подумал было на I.worm.Mydoon E, просканировал специальной утилитой - не помогло.
5) Я в отчаянии.

Телепаты в отпуска, выполните правила как написано на [url]http://helpme.virusinfo.info[/url]

Извините... Не знал... Сделали логи с AVZ, а с HijackThis не получается. Прога также открывается и быстро закрывается, как и Диспетчер Задач и другие проги. Плюс сегодня новые глюки - не включается онлайн-радио, некоторые кнопки не отображаются (вроде пары кнопок на почте Рамблера). Плюс не отображается кнопка Управление Вложениями на этом форуме.P.S - Появилась версия, что комп перегревается. Это может происходить из-за этого?P.P.S - Может мне те два лога из AVZ выложить на какой-нибудь сервер?

Можно и сюда логи, не обязательно новую тему создавать.

По-моему глючат все кнопки на Javascript'e... Блин, я уже не знаю, че делать...

Вот два лог файла с AVZ:
Syscheck - [url]http://www.sendspace.com/file/97ffr5[/url]
Syscure - [url]http://www.sendspace.com/file/wopp7i[/url]

Извиняюсь, что на серваках, но прикрепить не получилось.

[QUOTE=Dimos]Извините... Не знал... Сделали логи с AVZ, а с HijackThis не получается. Прога также открывается и быстро закрывается, как и Диспетчер Задач и другие проги.
[/QUOTE]
предварительно переименуйте hijackthis.exe в 1.exe и запускайте

[QUOTE=Dimos]
P.P.S - Может мне те два лога из AVZ выложить на какой-нибудь сервер?[/QUOTE]
логи осмотрены.
файлы:
c:\windows\system32\msconfig.exe
c:\windows\system32\msconfigsu.exe
c:\windows\system32\msconfigures.exe
нужно прислать по правилам форума.

msconfigsu.exe выслал, остальных нету.

И еще - прилагаю лог с HijackThis: [url]http://www.sendspace.com/file/ixfuv9[/url]

c:\windows\system32\msconfigsu.exe

AntiVir Found Worm/Sdbot.71548.1
BitDefender Found Generic.Sdbot.57891D47
Fortinet Found W32/SDBot.Z!worm
NOD32 Found a variant of Win32/Rbot
VirusBuster Found Worm.Rbot.FUB
VBA32 Found Backdoor.Win32.SdBot.avr

[QUOTE=Dimos]msconfigsu.exe выслал, остальных нету.[/QUOTE]
onet.pl в качестве избранной сами поставили?

если есть файл bdoscandel.exe, то тоже пришлите.
и файл C:\WINDOWS\system32\Restore\rstrui.exe для профилактики

удалите файл msconfigsu.exe, можно с помощью отложенного удаления из программы AVZ.

затем пофиксите с помощью HijackThis следующие строки:
O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\Run: [Ms config] msconfig.exe
O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\RunServices: [Ms config] msconfig.exe
O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\Run: [Ms config] msconfig.exe
O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\RunServices: [Ms config] msconfig.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

и на вашу Windows XP желательно поставить SP2.

1) onet.pl ставил сам
2) bdoscandel.exe не нашел
3) C:\WINDOWS\system32\Restore\rstrui.exe упорно не хочет добавлять в каталог карантина
4) Спасибо! Вроде проблема почти решена. Диспетчер задач, различные проги теперь запускаются. Спасибо вам огромное!

P.S. - Теперь не работает все, связанное с Javascript'ом (вроде кнопки онлайн-радио, некоторые сайты с поддержкой этой функции). Это видимо, я вчера сканировал БитДефендером, и он удалил нечто нужное связанное с Java. Знаю, что лечится переустановкой Винды, а без этого никак нельзя обойтись? Заранее спасибо.

[QUOTE=Dimos]3) C:\WINDOWS\system32\Restore\rstrui.exe упорно не хочет добавлять в каталог карантина
[/QUOTE]
попробуйте его скопировать, заархиивировать с паролем и прислать нам без использования карантина, возможно в защищенном режиме.

[quote]Теперь не работает все, связанное с Javascript'ом (вроде кнопки онлайн-радио, некоторые сайты с поддержкой этой функции). Это видимо, я вчера сканировал БитДефендером, и он удалил нечто нужное связанное с Java. Знаю, что лечится переустановкой Винды, а без этого никак нельзя обойтись?[/quote]
Возможно, достаточно будет на вашу Windows XP поставить SP2.

Файл отправил.

Скажите, пожалуйста, надежную ссылку, где можно скачать SP2, либо же за это надо обязательно платить?

[QUOTE=Dimos]Файл отправил.

Скажите, пожалуйста, надежную ссылку, где можно скачать SP2, либо же за это надо обязательно платить?[/QUOTE]
А пароль какой?

Качайте SP2 отсюда:
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a[/url]
Только сперва выберите язык вашей Windows.

Совсем забыл про пароль - dimavirus

P.S. - Нашел источник вируса - фильм "Послезавтра". Открыл его, и проблемы с вирусом начались сначала. Сейчас начну избавляться от вируса по старой программе.

[quote=AndreyKa]А пароль какой?

Качайте SP2 отсюда:
[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a"]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a[/URL]
Только сперва выберите язык вашей Windows.[/quote]
Скачал с этой ссылки. После некоторого времени установки ругается насчет ключа и направляет на сайт howtotell.com.

-присланный rstrui.exe - штатное Приложение восстановления системы, но версия польская, и несколько устаревшая... ну ничего SP2 его освежит ;)

[QUOTE=Dimos]Скачал с этой ссылки. После некоторого времени установки ругается насчет ключа и направляет на сайт howtotell.com.[/QUOTE]
Раз ругается значит есть за что. :)
Найти кряк для WIndows не проблема, только тут не стоит его искать.

Java теперь работает?

Скачал вот этот хххххх, но только не пойму, как им пользоваться. хххххххх Буду очень признателен.
P.S. - Перенесу этот вопрос в отдельную тему в раздел о Виндоусе. Потом отпишусь здесь, заработал ли Java.

Ответил в личку.

SP2 пока не могу установить, так как столкнулся с трудностью поиска кряка для моей польской Винды.Сегодня словил из инета еще одного трояна. Причем, симптомы, вроде незапуска Диспетчера Задач, возобновились. Авастом немного почистил, а затем еще докторов Вебом. Вроде бы проблемы больше нет, но тем не менее, гляньте, пожалуйста мои логи. Для профилактики. Буду чрезвычайно признателен.Hijack - [URL]http://www.sendspace.com/file/kmpi49[/URL]Syscheck - [URL]http://www.sendspace.com/file/1bpi1c[/URL]Syscure - [URL]http://www.sendspace.com/file/uqkr5l[/URL]Заранее спасибо.

[QUOTE=Dimos]Для профилактики. Буду чрезвычайно признателен.[/QUOTE]
Свежий зоопарк пришлите нам для коллекции - будем черезвычайно признательны ;)
c:\dfndrff_e.exe
c:\kybrdff_18.exe
c:\windows\system32\winfixirdrp.exe

После включите AVZGuard и через "Файл"->"Отложенное удаление" выберите эту компанию, после зайдите в "Сервис"->Диспечер автозагрузки" и поудаляйте от туда все ссылки на файл "msconfigsu.exe", затем перезагрузитесь не выходя из AVZ и повторите второй лог AVZ из правил.

Все сделал. Пришлось делать два раза, так как этот троян создал еще несколько файлов exe. Пришлось дополнительно удалить и их. Спасибо вам. Высылаю лог:[url]http://www.sendspace.com/file/gi8tp4[/url]

Простите, а никак нельзя восстановить Яву установкой каких-нибудь приложений с сайта Майкрософт? Просто, неизвестно, когда найду кряк для SP2-PL, а Ява очень нужна.

[QUOTE=Dimos]Простите, а никак нельзя восстановить Яву установкой каких-нибудь приложений с сайта Майкрософт? Просто, неизвестно, когда найду кряк для SP2-PL, а Ява очень нужна.[/QUOTE]
[url]http://www.java.com/en/download/windows_ie.jsp[/url]

Но:
System Requirements
Windows XP Home
Windows XP Professional (SP1+)

Java или JavaScript? Первая скачивается сейчас вообще не с Мелкософта. А вторую можно попробовать восстановить переустановкой Internet Explorer. Ваша "родная" версия 6.0 SP1.

[quote=AndreyKa][URL="http://www.java.com/en/download/windows_ie.jsp"]http://www.java.com/en/download/windows_ie.jsp[/URL]

Но:
System Requirements
Windows XP Home
Windows XP Professional (SP1+)[/quote]
Не помогло. Установил, протестировал - пишет, что установлена последняя версия Явы, но кнопки как не работали, так и не работают. Придется попробовать переустановку IE.

УРА! Переустановил Эксплорер, все работает!

Вообщем громадное спасибо всем, кто помогал мне на протяжении всего этого топика. Спасибо вам всем!

Зоопарк вернулся. Видимо, не все файлы удалил, что-то этот троян еще успел нагадить. Вообщем все началось сначала. Удаляю заново, и ищу источник вируса.

По предыдущему вирусу меня просили прислать файл bdoscandel.exe. Высылаю его. Пароль - dimavirus

P.S. - Был выслал файлы, которые у меня просили по этому вирусу. Что-нибудь еще можно сделать?

-перед удалением не лишним может оказаться банальное отключение [B]Восстановление системы[/B]...

c:\kybrdff_18.exe - Trojan.StartPage.1565
c:\windows\system32\winfixirdrp.exe - Win32.IRC.Bot
Их нужно удалить.

bdoscandel.exe, видимо, является частью online сканера Bitdefender.

Простите, что задолбал, но снова проблемы. На этот раз я вроде все почистил с помощью Аваста и AVZ, но на всякий случай посмотрите логи. Премного благодарен.

[QUOTE=Dimos]Простите, что задолбал, но снова проблемы. На этот раз я вроде все почистил с помощью Аваста и AVZ, но на всякий случай посмотрите логи. Премного благодарен.[/QUOTE]
пофиксите с помощью HijackThis следующие строки:
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O4 - HKLM\..\Run: [Fire Well service] lmdxdpy.exe
O4 - HKLM\..\Run: [s3v3n777] C:\WINDOWS\System32\regxx.exe
O4 - HKLM\..\RunServices: [Fire Well service] lmdxdpy.exe

пришлите по правилам форума следующие файлы:
lmdxdpy.exe
C:\WINDOWS\System32\regxx.exe
msconfigures.exe

еще я заметил у вас в папке c:\windows\system32\ стоит mIRC-бот. я думаю, что это не ваше собственное творчество, а кто-то "подкинул". поищите в этой папке файл mirc.ini и если есть - пришлите его

и уже пора обновить антивирус AVZ до новой версии - в версии 4.20 много доработок и гораздо больше база.

[quote=Dimos]...снова проблемы...[/quote]
-без установки второго сервис пака(SP2) на свою голую Windows XP и с дырявым Internet Explorer v6.00 SP1 они(проблемы) у Вас не закончатся никогда!

файлы
C:\WINDOWS\System32\lmdxdpy.exe (детектируется как Backdoor.Win32.EggDrop.v)
C:\WINDOWS\System32\regxx.exe
c:\windows\system32\mirc.ini
удалить.

файл c:\windows\system32\m2rcx.exe прислать нам (опять по правилам форума), а потом удалить.

загрузчик этого файла обнаружился - он стартовал через regxx.exe.

поищите в папке C:\WINDOWS\System32\ следующие файлы:
servers.ini
urls.ini
addrbk.ini
popups.ini
aliases.ini
remote.ini
l.o.n.e.l.y (да-да, именно так и пишется)
если файлы найдутся - пришлите нам.

Как раз аваст его и не знает.

C:\WINDOWS\System32\lmdxdpy.exe

AntiVir 7.2.0.16 09.16.2006 BDS/EggDrop.V.58
Authentium 4.93.8 09.17.2006 Possibly a new variant of W32/Threat-HLLIE-based!Maximus
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 IRC/BackDoor.SdBot2.EOG
BitDefender 7.2 09.17.2006 Backdoor.SDBot.BDY
CAT-QuickHeal 8.00 09.15.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.17.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
DrWeb 4.33 09.17.2006 Win32.HLLW.MyBot
Ewido 4.0 09.17.2006 Backdoor.EggDrop.v
Fortinet 2.82.0.0 09.17.2006 W32/EggDrop.V!tr.bdr
F-Prot 3.16f 09.17.2006 Possibly a new variant of W32/Threat-HLLIE-based!Maximus
F-Prot4 4.2.1.29 09.17.2006 W32/Threat-HLLIE-based!Maximus
Ikarus 0.2.65.0 09.16.2006 no virus found
Kaspersky 4.0.2.24 09.17.2006 Backdoor.Win32.EggDrop.v
McAfee 4853 09.15.2006 no virus found
Microsoft 1.1560 09.17.2006 Backdoor:Win32/Rbot!E6E2
NOD32v2 1.1759 09.16.2006 Win32/Rbot
Norman 5.80.02 09.15.2006 W32/Spybot.ASRH
Panda 9.0.0.4 09.17.2006 Suspicious file
Sophos 4.09.0 09.17.2006 no virus found
Symantec 8.0 09.17.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 Backdoor/EggDrop.v
UNA 1.83 09.15.2006 Backdoor.EggDrop.6B9B
VBA32 3.11.1 09.17.2006 Backdoor.Win32.EggDrop.v
VirusBuster 4.3.7:9 09.17.2006 Worm.RBot.FGR

Дополнительное замечание. Из программы AVZ из меню Сервис->Менеджер автозапуска найдите и удалите записи (Автозапуск->Реестр->Run*), содержащие строку msconfigures.exe , чтобы при последующих обращениях она нас не смущала.

пришли файлы:
c:\windows\system32\m2rcx.exe
C:\WINDOWS\System32\remote.ini
их нужно удалять.

убедитесь, что другие запрашиваемые файлы не обнаружены и сделайте проверочные логи, чтобы убедиться, что все чисто.