-
Проблема после удаления Spy.SAHAgent
Прошелся по диску утилиткой AVZ в Win98. Она нашла в C:\WINDOWS\SYSTEM\ несколько файлов со Spy.SAHAgent. После удаления этих файлов не могу выйти в Internet. Может кто-нибудь сталкивался с этим?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Проблема после удаления Spy.SAHAgent
ПОсмотри настройки експлорера. Там прокси не прописан?
И вообще, давай лог HijackThis
-
-
Re:Проблема после удаления Spy.SAHAgent
Нет, прокси не прописан. А что такое HijackThis?
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
WildFox
Нет, прокси не прописан. А что такое HijackThis?
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Запустите HijackThis в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Нажмите на кнопку Scan.
4. Дождитесь конца сканирования и нажмите на кнопку Save log
5. Сохраните лог и запомните где.
6. Нажмите на кнопку Config...
7. Нажмите на кнопку Misc Tools
8. Отметьте (поставьте птичку) List also minor sections
9. Нажмите на кнопку Generate StartupList Log, на запрос который появится ответьте Yes
10. Откройте тему с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логами HijackThis полученными в пунктах 5 и 9
-
-
Re:Проблема после удаления Spy.SAHAgent
Кроме описанной проблемы стал сбоить NAV 2004.
Далее привожу Logfile of HijackThis v1.98.2
Logfile of HijackThis v1.98.2
Scan saved at 15:13:02, on 30.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\COMMON FILES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ONE-TOUCH\CP32NBTN.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ONE-TOUCH\CDROMMNT.EXE
C:\PROGRAM FILES\ONE-TOUCH\KBOSDCTL.EXE
C:\PROGRAM FILES\ONE-TOUCH\CP32NKCC.EXE
C:\PROGRAM FILES\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAM FILES\COMMON FILES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [CP32NOT] C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\outpost.exe /service
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKCU\..\Run: [Punto Switcher] C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
O4 - HKCU\..\RunOnce: [test] �
O4 - Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINDOWS\SYSTEM\E_SRCV04.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Корзина для рекламы - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Показать Корзину - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\TRASH.EXE (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/f...trol_en_US.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.183.50.230,62.183.1.244
-
-
Re:Проблема после удаления Spy.SAHAgent
Проблема знакомая - собака зарыта в строке
Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing
На компьютере кроме Spy.SAHAgent жил Spy.NewDotNet. Он корежит систему разрешения имен в настроке сети Windows, в результате пропадает выход в Инет и (или) глючат сетевые программы. Его Spy.NewDotNet прибил AVZ или NAV. Лечение - скачать программу http://www.new.net/support/uninstall6_38.exe и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку
-
-
Re:Проблема после удаления Spy.SAHAgent
Мдааа.... Здесь без стакана сложно 
Следующие файлы прислать на [email protected] в архиве с паролем virus.
C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
-
-
Re:Проблема после удаления Spy.SAHAgent
[quote author=Зайцев Олег link=board=22;threadid=323;start=0#msg2385 date=1101820668]
Лечение - скачать программу http://www.new.net/support/uninstall6_38.exe и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку
[/quote]
Не помогло 
У меня есть полный backup системы до удаления всякой нечисти. Может лучше вернуться к нему и как-нибудь помягче почистить?
-
-
Re:Проблема после удаления Spy.SAHAgent
[quote author=Зайцев Олег link=board=22;threadid=323;start=0#msg2385 date=1101820668]
Проблема знакомая - собака зарыта в строке
Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing
На компьютере кроме Spy.SAHAgent жил Spy.NewDotNet. Он корежит систему разрешения имен в настроке сети Windows, в результате пропадает выход в Инет и (или) глючат сетевые программы. Его Spy.NewDotNet прибил AVZ или NAV. Лечение - скачать программу http://www.new.net/support/uninstall6_38.exe и попробовать запустить ее - есть шанс, что она уберет хвосты от NewDotNet ... шансы на нормальный исход - 50/50 ... если не поможет, я сделаю специальльную утилиты для восстановления настроек после NewDotNet и дам на нее ссылочку
[/quote]
Можно в двух словах что именно портится, для общего развития?
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
Geser
Мдааа.... Здесь без стакана сложно
Следующие файлы прислать на
[email protected] в архиве с паролем virus.
C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
Отправил, а что это что-нибудь новенькое? Надеюсь, стакан оказался под рукой...
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
WildFox
Отправил, а что это что-нибудь новенькое? Надеюсь, стакан оказался под рукой...
Судя по тому что сказал Олег проблема не в нём, но похоже что он тоже лишний. Переслал Олегу, возможно он глянет. У меня скорее всего времени сегодня не будет.
-
-
Re:Проблема после удаления Spy.SAHAgent
я бы вернул на место newdotnet3_88.dll , а затем с помощью утилиты
LSP Fix , удалил бы лишние .
www.bleepingcomputer.com/forums/index.php%3Fshowtutorial%3D59+lsp+fix&hl=ru&ie=UTF-8]вот инструкция в картинках на буржуйском ;D[/url]
-
-
Re:Проблема после удаления Spy.SAHAgent
QuickSearchBar1_27.dll - инфицирован not-a-virus:AdWare.ToolBar.Quick.a так что лучше удалить его.
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
drongo
Прямая ссылк на инструкцию:
http://www.bleepingcomputer.com/foru...howtutorial=59
Скачать программу LSP-Fix: http://www.cexx.org/lspfix.zip
Кста, просьба сообщить о результатах
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
Geser
Прямая ссылк на инструкцию:
Кста, просьба сообщить о результатах
Спасибо. Результаты, к сожалению, смогу получить только завтра. Обязательно сообщу.
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
Geser
Yesss! С помощью lspfix удалил newdotnet3_88.dll и lsp.dll, после чего ad-aware спокойно вычистил SAHAgent'а и, наконец, AVZ удалил оставшийся от SAHAgent'а файл, который не нашел ad-aware. Internet рабоотает. Спасибо всем, кто принял участие. Блин, но как сложно-то...Действительно без стакана не разобраться
-
-
Re:Проблема после удаления Spy.SAHAgent
рад что получилось . это в первый раз трудно , а потом стандартно 
мораль такова , что не нужно сразу всё удалять , а нужно подумать и если надо, то вернуть стандартные установки а затем уж удалять 
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
drongo
рад что получилось . это в первый раз трудно , а потом стандартно
мораль такова , что не нужно сразу всё удалять , а нужно подумать и если надо, то вернуть стандартные установки а затем уж удалять
Я может не совсем понимаю как работает lspfix, но по моему ему не нужно наличие dll, и можно фиксить так же и после того как dll удалена с диска.
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
Geser
Я может не совсем понимаю как работает lspfix, но по моему ему не нужно наличие dll, и можно фиксить так же и после того как dll удалена с диска.
я так делал и у меня получилось по совету на том форуме . может wildfox или ещё кто заразиться этим видом шпиона ещё раз и проверит лечение при удалённом длл шпиона ???
-
-
Re:Проблема после удаления Spy.SAHAgent
Сообщение от
drongo
я так делал и у меня получилось по совету на том форуме . может wildfox или ещё кто заразиться этим видом шпиона ещё раз и проверит лечение при удалённом длл шпиона ???
Гы гы
Да ладно, поэксперементируем на следующем
-
Ответить с цитированием
