Здравствуйте. После того как по совету антивируса удалил что нужное(как оказалось) стала вылазить вот такая фигня. Посоветуйте что с ней сделать?
Может туда файлик какой засунуть, чтобы успокоилась? И где его взять?
Это был вирус. Файл с вирусом был убит, а ключ запуска в реестре остался. Можно убить ключ руками, можно прогой типа AVZ.
Попробую с помощью AVZ.
Может подскажете почему вылазит при запуске модема вот такая фигня ?
Шуми
Попробую с помощью AVZ.
Может подскажете почему вылазит при запуске модема вот такая фигня ?
Может тоже последствия вируса а может драйвер кривой.
До читски реестра при запуске модема все нормально было?
Попробуй переставить программу/драйвера модема.
Модем только поставил. Пробовал переставлять. По ходу дело не в модеме 😞
Посмотри еще в автозагрузке, через msconfig.
Кто мне признается почему когда я щелкаю на картинку то меня отправляют на http://www.radikal.ru/ ??????????
Ну потому, что картинка есть одновременно и ссылка туда, там видимо увеличенные фото.
Модем только поставил. Пробовал переставлять. По ходу дело не в модемеПопробуй посканить комп на наличие вирусов (только базы нужны новые и антивирь надежный)
Ну потому, что картинка есть одновременно и ссылка туда, там видимо увеличенные фото.
Ну я ж не до такой степени вареник! 😀 Понимаю что ссылка. Только нет там ничего, сайт какой-то...
OVM
Посмотри еще в автозагрузке, через msconfig.
не нашел там ничего интересного 😞
Скачайте утилиту Autoruns, запустите и поищите Regview.exe.
Кто мне признается почему когда я щелкаю на картинкупатамушта посмотрите Вид-Исходный код страницы
патамушта посмотрите Вид-Исходный код страницыБлин, я пытаюсь выяснить, зачем топикастер ссылку на тот сайт забабахал?
АрхангелДа ничего он не бабахал. Эта ссылка автоматически прописывается, если размещаешь картинку на этом фотохостинге. Это они себя, любимых, так рекламируют и завлекают посетителей на свой сайт.
Блин, я пытаюсь выяснить, зачем топикастер ссылку на тот сайт забабахал?
Нету там никакого увеличенного фото.
Если кому надо, то вот ссылка на первый скриншот http://s49.radikal.ru/i124/0906/f2/146639da091a.jpg
А вот на второй http://s48.radikal.ru/i121/0906/9b/574b0f107a33.jpg
Можно загрузить эти фото по этим ссылкам и увеличивать их во графическом вьювере, графическом редакторе либо средствами браузера. Опера это умеет. Хотя и так всё, в общем то, видно...
По сабжу. В систему было установлено вредоносное ПО. Файл назывался regview.exe. И этот файл был размещён в C:\WINDOWS.1\system32\drivers
Кроме того был создан ключ в реестре, который обеспечивал автозапуск этого файла при старте системы.
Антивирус грохнул сам файл, но ключ в реестре остался. Виндовс при старте пытается честно отработать этот ключ и запустить файл. А его уже нет. Вот Винда и сообщает про это.
Вывод: Надо найти этот ключ и удалить его.
Сделать это можно разными способами. Лучше всего задействовать специализированные утилиты, которые сканирую необходимые области реестра и выводят список найденных ключей автозапуска. Они же предоставляют пользователю функцию удаления выбраных ключей.
Можно задействовать AVZ. Там среди прочих есть такая функция. http://z-oleg.com/avz4.zip
Можно ещё задействовать HijackThis от Trend Micro. http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
Так же можно и задействовать Autoruns, ссылку на которую дал выше коллега raven6.
Можно и штатными средствами Винды этот ключик в реестре поискать. Пуск --выполнить -- regedit -- Правка -- найти -- regview. Ну и после обнаружения удалить.
Хотя лучше, быстрее и удобнее пользоваться вышеназванными программами.
Это задача вообще-то простая.
Другое дело, что ключ автозапуска этого трояна наверно не единственный остаток в системе. Наверно ещё "ошмётки" остались. Это мусор, его тоже надо вычищать.
Лучше всего обратится на http://virusinfo.info/forum.php
С модемом ситуация посложнее. Но интуиция подсказывает мне, что если вычистить систему от остатков вирусного заражения, то модемная программулина будет работать нормально.
Ок. Будем пробовать. Благодарю.
HijackThis от Trend Micro нашел вот такое
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\Regview.exe
Удалить его?
Вот что АVZ показал:
Проверка завершена
Просканировано файлов: 106551, извлечено из архивов: 96406, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.07.2009 19:06:55
Сканирование длилось 00:09:01
ШумиДа. Поставить слева этой строчки галочку в чек-боксе и внизу нажать кнопку "Fix checked".
Удалить его?
После этого можно опять запустить эту программу и скопировать текстовый файлик сюда на форум. Посмотрим, может там ещё мусор есть.
Скачай ещё вот отсюда http://freedrweb.ru/ антивирусный сканер Dr.Web CureIt!
Он бесплатный, не требет установки, не конфликтует с другими антивирями.
После запуска он произведёт экспресс-проверку. Потом поставь точку в положении "полная проверка" и нажимай "воспроизведение", то есть "запуск". Пусть просканирует весь комп полностью. Это займёт часа два приблизительно.
Результаты сканирования тоже можешь сюда сообщить.
Но лучше всего было бы обратится на virusinfo.info и сделать всё по их правилам.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:56, on 02.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal
Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Program Files\VistaDriveIcon\VistaDrv.exe
C:\WINDOWS.1\system32\devldr32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Virtual CD v9\System\VC9SecS.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Connectix\Connectix Virtual PC\Virtual PC.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.13.144.18:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O4 - Startup: semeynet.lnk = ?
O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll
O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F116871D-B38E-4BB6-82FC-7B14819A4066}: NameServer = 212.13.144.18 212.13.144.18
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.1\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.1\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS.1\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.1\system32\services.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.1\System32\SCardSvr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.1\system32\smlogsvc.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v9\System\VC9SecS.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.1\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.1\system32\wbem\wmiapsrv.exe
--
End of file - 7613 bytes
Вот что получилось.
Первый скрин перестал появлятся! Ура!
С модемом все сложнее. Думаю дело не в вирусе и не установке. Недавно постил тему про "3 винды" http://guns.allzip.org/topic/84/478426.html и удалил что то лишнее 😞
Да наврядли ты удалил там что-то лишнее.
По логу HijackThis есть пара уточняющих вопросов.
Айпишники 212.13.144.18 и 212.13.144.18 в строке
O17 - HKLM\System\CCS\Services\Tcpip\..\{F116871D-B38E-4BB6-82FC-7B14819A4066}: NameServer = 212.13.144.18 212.13.144.18
это правильные айпишники? Они законные? Это то, что твой провайдер выдал?
Тот же самый вопрос про прокси сервер
ProxyServer = 212.13.144.18:3128
прокси прописывал при подключении к провайдеру? Это законный прокси? От твоего провайдера?
Теперь давай проверим секцию О4.
Речь идёт о строках
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
9 - Extra button: (no name) - DctMapping - (no file)
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
Нужно сделать следующее:
-- перезагрузится,
-- запустить HijackThis, сделать новый лог,
-- посмотреть, остались ли в новом логе эти строки.
Если в новом логе их не будет, то всё окей.
А если они и в новом логе будут присутствовать, то это остатки троянского заражения и их надо пофиксить точно также, как до этого ты пофиксил F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\Regview.exe
Присутствуют- пофиксил. Вот что вышло
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:57, on 02.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal
Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Program Files\VistaDriveIcon\VistaDrv.exe
C:\WINDOWS.1\system32\devldr32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Virtual CD v9\System\VC9SecS.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.13.144.18:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.1\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: semeynet.lnk = ?
O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll
O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F116871D-B38E-4BB6-82FC-7B14819A4066}: NameServer = 212.13.144.18 212.13.144.18
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.1\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.1\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS.1\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.1\system32\services.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.1\System32\SCardSvr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.1\system32\smlogsvc.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v9\System\VC9SecS.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.1\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.1\system32\wbem\wmiapsrv.exe
--
End of file - 7005 bytes
ШумиБррр... ничё не понимаю...
Присутствуют- пофиксил. Вот что вышло
Этот последний лог от 15:37:57 ты сделал ДО того, как пофиксил или ПОСЛЕ того?
после
Получается, что эти ключи что-то восстанавливает после удаления.
Раз такая петрушка у тебя на компе творится то, нужны логи АВЗ. И ещё нужен на анализ твой файл C:\WINDOWS.1\INF\custom.inf
Если ты настроен серьёзно заниматься этой темой, то дай знать и я расскажу, как правильно сделать логи в АВЗ.
если сложно то не смогу наверно. Пусть может остаются? Или нельзя?