Некоторое время назад при попытке закрыть окно браузера стало всплывать окно с прикрепленной картинки. Что ни нажимай - следующим появляется запрос "отправить отчет об ошибке". программа закрывается.
странным образом это происходит не каждый раз, а примерно 1 из 10.
Как появилось впервые - не знаю, за компьютером сидел чужой человек.

Не подскажете, что это и что с ним делать?

1. Cкачайте утилиту CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ (http://z-oleg.com/avz4.zip) и HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
3. Распакуйте архивы avz4.zip и HiJackThis.zip.
4. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
5. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
7. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile".
8. Вложите в сообщение файлы логов (из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

Доп-но, но необязательно:
Можете скачать и запустить Online Solutions Autorun Manager (http://www.online-solutions.ru/download_osam.php)
Дождитесь окончания сканирования, нажмите на 3-ю кнопку в меню (Export). Сохраните отчет в формате log, запакуйте в zip и прикрепите.

Не проще ли отказаться от тулбара ICQ вообще? Вы им пользуетесь? Не думаю... отключите панель ICQ в настройках браузера, да и библиотеку эту можете разрегистирровать командой regsvr32 /u "C:\Program Files\ICQToolbar\toolbaru.dll"

Pili, ох, большое спасибо, сделаю.
только 2 вопроса:
- первая ссылка не работает в принципе, главная страница сайта (если я, конечно, имею правильное представление о ее адресе) начинает грузиться, но потом заявляет, что отсутствует доступ к папке. Нашла другой вариант, но там грозно предупреждают, что сей вариант был сделан 111 дней назад и прочее страшное. Что-то я озадачена;
- OSAM не устанавливается, так как "приложение не было запущено, поскольку оно некорректно настроено", ни повторная, ни трижды повторная переустановка не помогают. Видимо, я что-то не так делаю.апдустановился после докачки файлов
Blast, сделала все. Не знаю, каков итог, оно же не всегда вылезает. Подожду. Спасибо

Blast, ошибку на скрине тоже видел, там дело м.б. не только в тулбаре
a-lian, cureit у вас может не качаться, если доступ по ftp протоколу закрыт (через прокси напр. ходите), по OSAM - это пока бета версия, вопрос можете задать на http://forum.online-solutions.ru/
Ждем логов AVZ и HJ

там дело м.б. не только в тулбаре »
я где-то утверждал обратное?

Pili,
cureit скачался таки в другом месте. Но! Я все-таки дурак и сканировала в обычном режиме. К 50 процентам в наличии было 423 удаленных объекта, из них около десятка троянов, еще объектов 10 были "неизлечим. перемещен". Процентах на 50 меня вышвырнуло из винды с заявлением об ошибке. Имела счатье лицезреть 2 варианта синих экранов и check-up'ов. В качестве бонуса - критическая температура по всем параметрам (она и сейчас где-то там)
OSAM докачала и установила.
что-то страшно продолжать.
еще один вопрос Дело в том, что у меня Windows несколько искалеченный, winlogon.exe существует на какаих-то "костылях". cureit не может признать эти костыли чем-то неправомерным? Прошу прощения, если говорю откровенные глупости, я мало что в этом понимаю.

я где-то утверждал обратное? »
Это к тому, чтобы a-lian, не успокаивалась на достигнутом с помощью regsvr32 /u "C:\Program Files\ICQToolbar\toolbaru.dll" :)

было 423 удаленных объекта, » - похоже на файловый вирус.
a-lian, проверяться cureit`ом в безопасном реж. - причем запустить полную проверку, далее - по инструкции выше.
Не забудьте отключить восстановление системы
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

Pili,
боже, как же сложно быть идиотом! у меня не получается cureit. Дело в том, что он не устанавливается на комп (ну по крайней мере сейчас его точно нет), хотя запускался и премило себе работал. То есть мы с ним можем взаимодействовать только, когда я тут, в нормальном режиме. Что я делаю не так? все?

Еще проблема - прокси. Я ж абсолютный ламер. К тому ж тут у нас не то что ни одного живого разбирающегося в компах человека нет, тут и русскоговорящих с трудом найти можно. Я понятия не имею, что со всем этим делать, эх, и как попробовать "через покси" =(

Дело в том, что он не устанавливается на комп »но ведь он и не должен устанавливаться, он работает без установки, просто запустите, или при запуске ничего не происходит?

Blast,
я не могу запустить его, так как ни одного мало-мальского файла от него на компе нет, в бозопасном режиме выйти в интернет - тоже ну никак...

a-lian, так вы же скачивали его? в обычном режиме скачайте, сохраните на диск, загрузитесь в безопасный и там уж запускайте

Blast,
ааа, я не знаю, как сохранить то, что выглядит как предложение начать сканирование. или я идиот, и надо с самого начала говорить сохранить, а не выполнить?

a-lian, Если вы уже скачали cureit, забейте на прокси, просто загрузитесь в безопасном режиме и запустите cureit из той папки, куда вы его сохранили, после экспресс проверки запустите полную проверку всех дисков.

брр... вы вот жмете на ссылку: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и говорите там Сохранить, а не Открыть, так? :)

Pili, Blast, угу, сделала. Но ничего нового не нашлось. так может быть?
Так. У меня очередная проблема. С AVZ. При выполнении третьего скрипта процентах на 95 он просто отключается. Вернее, это вчера он просто отключился, а сегодня наплодил штук 20 сообщений "Access violation at address 0042254 in modul 'avz.exe'. Write of address 4643535D". Повисел пару минут и тож отключился :(
вот к чему бы все это?

a-lian, Попробуйте переименовать avz.exe в 123.com и запустите, выберите стандартные скрипты - 3-ий скрипт, перезагрузитесь
Выполните скрипт 2, далле выложите сюда логи (заархивированный лог HJT не забудьте прикрепить)
Если не получилось - скачайте AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.180_06.12.2007_13-24.exe), установите, выберите ручное лечение-сбор информации о системе, после сканирования перезагрузись, выложи логи.
Сделайте лог AVZ в защищенном режиме - Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол. Упакуйте лог в zip и прикрепите.

Pili, Попробуйте переименовать avz.exe в 123.com и запустите »
действительно, помогло.
Итак, цепляю все, что накопилось. Не бейте меня сильно - отключить нортон я так и не смогла, так просто он не отключается, хотя его и нет в автозагрузке, а как он выглядит в диспетчере задач мне тоже неясно. Если подскажете, как от него избавиться, я переделаю.
Ой, что-то я с форматом арховов тоже напутала...

Ничего подозрительного не видно.
Выполните скрипт
begin
ClearHostsFile;
end.
папку C:\Program Files\Save\
удалите полностью
В HJT пофиксить
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\jccatch.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\getflash.dll (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet.exe (file missing)

Если вам не нужен перехватчик url flashget (в инете настоятельно рекомендуют убрать этот компонент), выполните скрипт
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Program Files\jccatch.dll');
ExecuteSysClean;
BC_Activate;
BC_ImportDeletedList;
RebootWindows(true);
end.
Выберите, что из этого то, что вам не нужно:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Pili,
ясно. большое вам спасибо.
Выберите, что из этого то, что вам не нужно: »
боже мой, если бы я знала, что это =)