Похоже на вот этого червя (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=22760). Советую проверить не остались ли какие нибудь файлы которые создает червь.

Похоже на вот этого червя.
В десятку, это именно он. Спасибо.

При подключении к интернет стапо периодически выскакивать окно:

Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS.
To fix the errors please do the following:
1. Download Registry Cleaner from: www.set32.com
2. Install Registry Cleaner
3. Run Registry Cleaner
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

KIS на это никак не реагирует. Один раз только сработала защита, но ни вылечить не переместиь он не сумел. В разделе "Обнаружено" запись:

потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
В папке System32, recsl.exe я не нашёл. Запускал KIS на полную проверку "Мой комп"- всё чисто.
Dr.Web даёт тот-же результат. Оба антивирусника с последними обновлениями.
Где-то я про эту дуриловку читал. Наверное троян маскируется под какой-то процесс. Как его победить?
Окно продолжает выскакивать.

Sergey60
Похоже вам просто пытаются впарить трояна, под видом новой версии Registry Cleaner.
Вот только домашний адрес Registry Cleaner (http://www.ccleaner.com) немного другой ;) я сам им пользуюсь
Так что смотрите через Process Explorer (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx) кто именно пытается впарить своего трояна.
А там уже видно будет, что делать дальше.

То что один троян пытаеться впарить другого, более солидного я понял сразу.
В System32 файла - mysvcc.exe нет. В реестре ключей таких тоже нет.
Кстати сегодня получил мэйл спамовский с вложением (давно таких не получал). KIS его проигнорировал. Я его удалил не открывая. В инете был минут 30, окно не выскакивало.
Затаился гад. В крайнем случае Винду из образа восстановлю, но интересно его побороть! Вобщем будем посмотреть!

Sergey60
Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS.
To fix the errors please do the following:
1. Download Registry Cleaner from: www.set32.com
2. Install Registry Cleaner
3. Run Registry Cleaner
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

Мне точно такоеже сообщение приходило, я вырубил службу сообщений и больше не появлялось.

Vovchick1Мне точно такоеже сообщение приходило, я вырубил службу сообщений и больше не появлялось.
а если вырубить антивирусник, то еще много каких предупреждений не будет появляться :)
я все-таки думаю, что надо изничтожать источник проблемы, а не прятаться от нее :)

Borodunter

а если вырубить антивирусник, то еще много каких предупреждений не будет появляться
Собственно Каспер мне при этом тревогу не бил!!! Так что вырубай, не вырубай мало что измениться!!!
Но если посмотреть с другой стороны, просто так не чего не бывает!!! :) Так что я с тобой согласен, разобраться нужно.

я все-таки думаю, что надо изничтожать источник проблемы, а не прятаться от нее
Я тоже так считаю, но вот самого источника я так и не нашёл!!! :( Ни каспером ни нортаном, вот и решил что дело именно в службе ообщений.

Удалил всё с системного диска, отформатировл. Загрузился с образа (100% без вирусов). Дня 3 работал в итернете без проблем, и тут тоже самое.

KIS обнаруживает вирус , пишет что удалить не может (хотя потом выясняется что удалено: троянская программа Backdoor.Win32.Small.eo), тут же

ещё один, снова не удаляется, предлагает сделать откат внесённых изменений, откат сделать не удалось. И снова постянно выскакивает это окно

с предложением загрузить Registry Cleaner.

Более подробно (отчёт KIS):

Защита
------
Всего проверено: 2091
Обнаружено: 2
Не обработано: 0
Заблокировано атак: 0
Запуск: 03.12.2006 21:38:45
Длительность: 00:33:50
Обнаружено

удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
События
-------
Время Событие
----- -------
03.12.2006 14:08:55 Сигнатуры угроз устарели.
03.12.2006 16:25:28 Обновление успешно завершено.
03.12.2006 16:55:08 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1368 была заблокирована. Это

результат срабатывания механизма самозащиты.
03.12.2006 16:55:11 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1832 была заблокирована. Это

результат срабатывания механизма самозащиты.
03.12.2006 21:43:33 Файл C:\WINDOWS\system32\.exe/PE_Patch/MEW, обнаружено: троянская программа Backdoor.Win32.Small.eo
03.12.2006 21:43:34 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
03.12.2006 21:44:17 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация)
03.12.2006 21:44:21 Файл C:\WINDOWS\system32\.exe удален.
03.12.2006 21:44:25 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен.
03.12.2006 21:44:37 Откат не выполнен.
03.12.2006 21:44:37 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация)
03.12.2006 21:44:42 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен.
03.12.2006 21:44:48 Откат не выполнен.

Отчеты
------
Компонент Статус Начало Окончание Размер
--------- ------ ------ --------- ------
Анти-Хакер работает 03.12.2006 21:38:45 0 б
Анти-Шпион работает 03.12.2006 21:38:51 0 б
Анти-Спам работает 03.12.2006 21:38:51 0 б
Почтовый Антивирус работает 03.12.2006 21:38:51 0 б
Веб-Антивирус работает 03.12.2006 21:38:51 18.2 КБ
Проактивная защита работает 03.12.2006 21:38:51 29.2 КБ
Файловый Антивирус работает 03.12.2006 21:38:51 383.8 КБ
**************************************************************************************************** **************************************************************************************************
Полная проверка Мой компьютер. Как и в прошлый раз ничего не обнаружено. Службу оповещений отключить конечно можно, но зараза то

осталась! Т.к. наблюдалась передача инфы на мой комп при нулевой моей активности! KIS молчал.

Сведения по этим вирусам на www.viruslist.ru:

Backdoor.Win32.Small.eo
Другие версии: .cz, .fp, .v
Другие названия
Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec),

BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft),

Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda) Детектирование добавлено 22 мар 2005
Обновление выпущено 25 мар 2005 13:36 MSK
Описание опубликовано 08 апр 2005
Поведение Backdoor, троянская программа удаленного администрирования
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и

имеет длинну около 7КБ.
Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские)

программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети.
Регистрируется в системе как сервис:
Service name:
hwclock
Display Name:
Hardware Clock Driver
Service Description:
Enables a computer to save and restore system time information using the
hardware clock. Stopping or disabling this service will result in system instability.
Создает ключи реестра:
[HKLM\software\microsoft\ole]
"enabledcom"="n"
[HKLM\system\currentcontrolset\control\lsa]
"restrictanonymous"="1"
Содержит строки:
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net

Данных ключей в реестре нет.
Потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe Этот процесс мной не обнаружен.
Вот такой хвалёный KIS. Думаю переходить на Outpost Firewall Pro в связке с другим антивирусом.

Так как в Windows я не силён, просто укажу что есть в реестре и процессах

[HKLM\software\microsoft\ole]"enabledcom"="n"по-умолчанию ="Y" - "Y"
[HKLM\system\currentcontrolset\control\lsa]"restrictanonymous"="1"по-умолчанию="0" - "0"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
kis "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
CTHelper CTHELPER.EXE
UpdReg C:\WINDOWS\UpdReg.EXE
Jet Detection "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
FinePrint Диcпeтчep v5 "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
Пo yмoлчaнию

Процессы:

MsPMSPSv.exe SYSTEM 00 1 644 КБ
UIWatcher.exe Cepж 00 4 388 КБ
PS.EXE Cepж 00 4 984 КБ
WDFMGR.EXE LOCAL SERVICE 00 1 796 КБ
ChamClock.exe Cepж 00 10 260 КБ
CTHELPER.EXE Cepж 00 5 060 КБ
AVP.EXE Cepж 00 4 424 КБ
SVCHOST.EXE SYSTEM 05 3 948 КБ
AVP.EXE SYSTEM 00 2 176 КБ
ATI2EVXX.EXE SYSTEM 00 1 980 КБ
ALG.EXE LOCAL SERVICE 00 4 236 КБ
SPOOLSV.EXE SYSTEM 00 8 184 КБ
EXPLORER.EXE Cepж 00 21 172 КБ
K-MANIA.EXE Cepж 00 4 048 КБ
taskmgr.exe Cepж 00 3 332 КБ
SVCHOST.EXE LOCAL SERVICE 00 3 824 КБ
SVCHOST.EXE NETWORK SERVICE 00 1 872 КБ
SVCHOST.EXE SYSTEM 00 18 200 КБ
WinStylerThemeS... SYSTEM 00 4 072 КБ
SVCHOST.EXE SYSTEM 00 2 896 КБ
NOTEPAD.EXE Cepж 00 3 820 КБ
LSASS.EXE SYSTEM 00 2 164 КБ
SERVICES.EXE SYSTEM 00 3 468 КБ
WINLOGON.EXE SYSTEM 00 1 052 КБ
CSRSS.EXE SYSTEM 00 3 868 КБ
SMSS.EXE SYSTEM 00 372 КБ
System SYSTEM 02 252 КБ
Бeздeйcтвиe cиc... SYSTEM 92 20 КБ

Просканировал систему в безопасном режиме,восстановление системы выключено. Всё чисто.

А сегодня обратно тех-же троянов словил. Вот отчёт KIS:

Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\salvage.exe
удалено: троянская программа Backdoor.Win32.SdBot.awk Файл: C:\WINDOWS\system32\recsl.exe
удалено: троянская программа Backdoor.Win32.Rbot.bjp Файл: C:\WINDOWS\system32\salvage.exe

Какой гад мне их постоянно грузит?

Sergey60 попробуй поискать описание этих вирусов. например, на сайте того же Касперского. Как правило там описаны действия вирусов, так что можно понять что нужно сделать, чтобы избавиться от него. Может даже на этом сайте для него есть бесплатная утилита по удалению.

to sergey60
У меня также при подключении к интернет недавно была история с периодическим:

Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS.
To fix the errors please do the following:
1. Download Registry Cleaner from: www.set32.com
2. Install Registry Cleaner
3. Run Registry Cleaner
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

У меня стоял Norton Antivirus который на это никак не реагировал,и ничего не обнаруживал.
Я даже винду сносил,форматировал диск,а эта зараза опять при выходе в инет тут как тут.
Вобщем один хороший человек посоветовал установить Outpost firewall 4.0
Эта прога сразу обнаружила и удалила вирус.
Больше проблем не было.Но мне вот захотелось удалить этот Outpost.
Удалил,перегрузился,вышел в инет и ....опять двадцать пять...
Вобщем пришлось вернуть Outpost на место.
Что же мне теперь по инету гулять можно только вместе с этой прогой ???

Просьба! Если кто решит эту проблему то напишите тут об этом.

С этой или аналогичной. Это просто стоит malware. Попробуйте поискать anti-spyware каким-то. Например Ad Aware или что-то подобное!

Larsoniq16Что же мне теперь по инету гулять можно только вместе с этой прогой ??? Либо с фаером, либо ставить обновления системы (заплатки). Это как с SP1 доставали черви типа Sasser, Jeefo и ещё несколько, постояно появлялись вновь, эпидемии в сети были "мама не горюй". Спасал либо фаер (тот же Outpost), либо заплатки против них, либо SP2. Кстати, в любом лучае, гулять по инету лучше с фаером.
Вообще, фаеры не удаляют вирусы. В Outpost firewall 4.0 втроен антиспай, возможно он удалил какой-то модуль, выдающий такое сообщение, но червя ему не взять. Но предовратить проникновение его на комп он вполне способен.
VladimirB
Тут антиспаем похоже не обойтись - по инфе из инета это черви, с такой заразой anti-spyware не справятся.
Sergey60Какой гад мне их постоянно грузит? Они способны грузиться сами, без чьей-либо помощи или действий.

to orion7
Ну хорошо а можно поподробнее о том как бы вы поступили на моем месте ?
Я готов снести винду.отформатировать винчестер.Установить sp2+обновления.
Вобщем все что угодно.Лишь бы избавиться от этой проблемы.
Но занеимением знаний и опыта мне нужен подробный план действий.
Тоесть что делать и в каком порядке.

Outpost firewall я естественно оставлю но все таки:
У меня сейчас sp 1 что лучше, обновить sp 1 или поставить sp 2 ?
Также я не могу выбрать между 3 антивирусами.
Norton
Kaspersky
NOD32
Что посоветуете ?
P.S Windows мне все равно сносить предется,так как я тут уже накосячил немного...
Правда ли что перед форматированием диска нужно отключать модем ?
Если да,то я не понимаю зачем ?

Larsoniq16
План действий:
1) Устанавливаете систему с sp 2. При этом на диске желательно иметь 2 (как мимнимум) раздела: один под систему (у меня обычно 15-20 ГБ, хватает на установку всех приложений), а второй - под хранение данных.
2) устанавливаем весь софт, что Вам необходим.
3) NOD32 + настраиваете его по максимуму (пошаговое руководство -http://www.wilderssecurity.com/showthread.php?t=37509 )

в дополнение к NOD32 устанавливаете еще пару антишпионников:
4) Ad-aware
5) AVZ
(когда-то очень давно, когда я использовал NOD32 с настройками по умолчанию, он пропустил в систему, которые я и выловил с помощью этих программ. Но вот уже больше года его использования с максимальной настройкой параметров проблем с ним не было ни разу). Наличие их все-равно не повредит.
6) Устанавливаете Outpost firewall

Затем устанавливаете Acronis True Image и делаете с его помощью образ раздела, на котором установлена система (вероятнее всего, раздела С). И сохраняете этот образ на другом разделе (не системном), можно еще на DVD диски зписать. Это позволит Вам в случае очень больших проблем с системой (когда никакое восстановление и прочие действия не помогают) буквально за 15 минут (а не нескольких часов, которые необходимо потратить на переустановку системы и всех приложений)восстановить системный раздел из снятого образа, тем самым вернув его к первоначальному виду.

Правда ли что перед форматированием диска нужно отключать модем ?
Нет :).

Всем спасибо за ответы!!!
Последний вопрос :
Купил Windows XP sp 2(пиратка естественно) Serial number прилагался.
Установил.Почему то в процессе установки небыл запрошен серийный номер ?!
После установки у меня в ПУСК\ВСЕ ПРОГРАММЫ\появилась "Активация Windows",
при нажатие на которую ничего не происходит...
Я не могу понять активирован мой windows или через 30 дней ему каюк ???
Объясните пожалуйста как мне это выяснить.

Предистория:

Имеется ноутбук НР 6100 с Windows 2000 SP4. С августа 2006 в сеть с него не выходили, до этого момента стояли все обновления и актуальный на тот момент антивирус Antivir 7 PE. В декабре после подключения к сети практически сразу "впоймал какую-то гадость", отключились обновления, антивир... и как следствие в течении короткого времени на машине был собран приличный "букет творчества" вирусописателей. После этого, собственно, компьютер и попал в мои руки.


Действия:

Чистка проводилась при помощи Ad-Aware и DrWEB. Удалено около сотни файлов "всякой всячины", но самая "неприятная" по видимому всё же осталась. Все доступные на сегодняшний день обновления винды установлены благополучно.


Описание проблемы:

Программа (вероятно вирус) закрывает любые окна с упоминанием "antivirus" ,будь то эксплорер, ИЕ, или Мозилла, в интернете можно путешествовать без проблем до момента, пока не появится упоминание о антивирусе. Это относится и к окнам установки... Перепробовал с десяток антивирусов, самым настырным оказался ПАНДА, при попытке установки несколько раз выскакивало сообщение о отмене, но при нажатии на "далее" установка всё-таки двигалась вперёд. В конце выскочило сообщение, что на компьютере установлена программа несовместимая с жизнью ПАНДы и установку пришлось прекратить.


Вопрос:

Как бороться (исключая переустановку системы) с данным явлением?


ЗЫ:
Всех с наступающим Новым Годом!!!

HohOl78
Есть такие загрузочные диски как Hiren's BootCD (http://thanki.tk)
или аварийный диск Касперского например.
Дак вот грузиш с подобных дисков в досе антивирус и чистишь свой ноут.
Если есть возможность, то ещё можно снять винт и подключить к заведомо здоровой и защищённой системе, и с неё проверить.