[Tigr]

Ты поймал телефонный вирус, к-й будет делать платные звонки. Жди счетов от телефонной компании. За СМС огромное спасибо от создателя вируса. Отключи ПК от интернета и телефонной линии. Скачай Ad-Aware SE (обнови при необходимости) или какой-либо другой антишпион и полечи комп в безопасном режиме. Восстанови работоспособность Каспера и проверь весь хард.

[Bondy]

Спасибо. но кстати интересно, как он звонит, если комп работает на кабельном интернете, и к телефону не подключен. Прогу могу скачать с компа друга, но я же не могу пользоватся компом - он при включении через пару сек включает этот вирус и не пускает исключительно никуда. очень трудными путями, вызовом контекстного меню с клавы и "сохранением фона как..." могу как-то что-то пользовать, но не представляю, как это делать. как мне запускать этот безопасный режим и устанавливать прогу, выключать могу только экстренной перезагрузкой и из меню приветствия при вводе пароля. к меню пуск имею доступ на пару сек, пока комп врубает все, что на автозапуске - благо не два ядра, а то бы и тех секунд не было...

[Tigr]

Цитата Bondy:

интересно, как он звонит, если комп работает на кабельном интернете »

Из твоего описания я решил, что в компе есть подключенный к тел. сети модем. Думаю, что он не звонит, а пытается это сделать (по твоему описанию утверждать что-то сложно).

Цитата Bondy:

я же не могу пользоватся компом - он при включении через пару сек включает этот вирус и не пускает исключительно никуда »

В Безопасный режим зайти не удается ?

[Bondy]

Не умею. говорю же - ламер, обьяснять в подробностях. Как именно заходить в этот режим?
Узнал у "старших товарищей", у них у всех при захлде Винда выдает примерно 30 сек, чтбы выбратьтип захода в систему. у меня жк просто мельякает окошко с черным фоном, кучей текста и звездой. Похоже это окно мне и надо,Ю но оно мелькает слишком быстро... Винду инсталлили не мы, видимо кто-то так настроил...


Поборолся с Виндой, зашел в безопасном режиме, щаз буду мучаться...

[Bondy]

Попроверял раз 10 всю системку, все что нашел опасного или хоть чуть-чуть подозрительного - нафиг. Не помогло... отключил от инета физически - просто на весь экран "Невозможно найти страницу и т. д." Просто полтергейст какой-то... У меня ж нету бэкапа всех моих файлов, а их там дофига, и терять не хоца .

[Djdfy]

Bondy, может быть у кого из друзей есть такое Hiren's.BootCD.8.2, необязательно этой версии, если есть, загрузись с этого диска, на нем есть антивирусы, вот их запусти для начала, а дальше видно будет, или скачай программу AVZ, на этом сайте очень много ссылок на нее и в безопасном режиме запусти ее. Удачи!

[Severny]

Bondy, Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.
Сканирование и логи делать НЕ в безопасном режиме.
Программы должны быть распакованы.

[Bondy]

Спасибо, сейчас все сделаемсь...

З.Ы. Убери слово "Просьба" из подписи - а то так и хочется на Вы называть))

curiet проверил, сейчас обновлю AZV попробую пробится в обычном режиме...

Лог с HiJack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:31:28, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Софт\HiJack\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Софт\Акробат Ридер 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Софт\Флэшгет\jccatch.dll
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Софт\Флэшгет\getflash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\system32\dxdllreg.exe
O4 - HKLM\..\Run: [Flashget] "D:\Софт\Флэшгет\FlashGet.exe" /min
O4 - HKLM\..\Run: [License] locker.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [QIP2005] D:\Софт\QIP\прога\qip.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Закачать все при помощи FlashGet - D:\Софт\Флэшгет\jc_all.htm
O8 - Extra context menu item: &Закачать при помощи FlashGet - D:\Софт\Флэшгет\jc_link.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Софт\Флэшгет\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Софт\Флэшгет\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Софт\ICQ\прога\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Софт\ICQ\прога\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.ssaabb.com
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\WINDOWS\rag.pif
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing)
O23 - Service: Eventlog - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\rag.pif
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6594 bytes

.

[Bondy]

Сделал лог AVZ в безопасном режиме, после 10 минут борьбы с вирусом и 17 перезагрузок все-таки запустил проверку всего компа, через 7-8 минут выложу оба лога.

AVZ жостка тормозит, поэтому небольшая задержка, еще немножко...