Что это за фигня и что тут надо убрать?

Всем Привет и с прошедшим !

кто подскажет что тут и как убрать ?

Logfile of HijackThis v1.99.0
Scan saved at 14:37:47, on 01.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32msc32.exe
C:ProgrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis1ToADiMon.exe
C:ProgrammeISTsvcistsvc.exe
C:WINDOWSSystem32msa.exe
C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe
C:ProgrammeAntivirusAd-AwarehijackthisHijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:WINDOWSEliteToolBarEliteToolBar version 59.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM..Run: [ToADiMon.exe] C:ProgrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis1ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM..Run: [Windows Media Player] msa.exe
O4 - HKLM..Run: [NvCplScan] msc32.exe
O4 - HKLM..Run: [IST Service] C:ProgrammeISTsvcistsvc.exe
O4 - HKLM..RunServices: [start extracting] spoolvs.exe
O4 - HKLM..RunServices: [Sysino] lsess.exe
O4 - HKLM..RunServices: [NvCplScan] msc32.exe
O4 - HKLM..RunServices: [MS Windows Update] scguard.exe
O4 - HKLM..RunServices: [Windows Media Player] msa.exe
O4 - HKLM..RunServices: [Windows media service] crsss.exe
O4 - HKLM..RunOnce: [NvCplScan] msc32.exe
O4 - HKCU..Run: [Windows Media Player] msa.exe
O4 - HKCU..Run: [NvCplScan] msc32.exe
O4 - HKCU..RunServices: [start extracting] spoolvs.exe
O4 - HKCU..RunOnce: [NvCplScan] msc32.exe
O8 - Extra context menu item: Блокировать все картинки с этого сервера - C:ProgrammeInternetbrowserAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: Добавить в список блокируемой рекламы - C:ProgrammeInternetbrowserAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:PROGRA~1DOWNLO~1FlashGetjc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:PROGRA~1DOWNLO~1FlashGetjc_link.htm
O8 - Extra context menu item: Открыть все ссылки с этой страницы... - C:ProgrammeInternetbrowserAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Подсветка - C:ProgrammeInternetbrowserAvant BrowserHighlight.htm
O8 - Extra context menu item: Поиск - C:ProgrammeInternetbrowserAvant BrowserSearch.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:ProgrammeSideFindsidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb
elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb
elated.htm
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:WINDOWSSystem32Doaqpd32.dll
O21 - SSODL: mtklefap - {CB2F7F89-F4A3-4ECD-9287-5A327EA2D6BD} - C:WINDOWSSystem32
mocy32.dll
O23 - Service: ZESOFT - Unknown - C:WINDOWSzeta.exe (file missing)

Цитата

По словам пользователя mike777 ...
прокрути адавару и спайбот.
истбары, которых ты нахватал, они вычистят.
ну а потом снова можно будет лог в топик выложить.
успехов.

Что это за программа спайбот ?

Вот что он теперь показует:

Logfile of HijackThis v1.99.0
Scan saved at 17:18:38, on 06.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:ProgrammeAheadInCDInCDsrv.exe
D:ProgrammeDesktopWindowBlindswbload.exe
D:WINDOWSsystem32spoolsv.exe
D:ProgrammeAntivirusAntivirAVPersonalAVGUARD.EXE
D:WINDOWSSystem32Ati2evxx.exe
D:ProgrammeAntivirusAntivirAVPersonalAVWUPSRV.EXE
D:WINDOWSSystem32svchost.exe
D:WINDOWSSystem32updatemgr.exe
D:ProgrammeAheadInCDInCD.exe
D:ProgrammeInternetG DATA DSL-TuningDSLTuning.exe
D:ProgrammeAntivirusAntivirAVPersonalAVGNT.EXE
D:WINDOWSSystem32ctfmon.exe
D:ProgrammeMessengermsmsgs.exe
D:Program FilesDeskAd ServiceDeskAdKeep.exe
D:ProgrammeInternetT-OnlineT-Online_Software_5Basis-SoftwareBasis2kernel.exe
D:ProgrammeInternetT-OnlineT-Online_Software_5Basis-SoftwareBasis2sc_watch.exe
D:PROGRA~1InternetT-OnlineT-ONLI~1BASIS-~1Basis2PROFIL~1.EXE
D:ProgrammeInternetAvantAvant Browseravant.exe
D:Program FilesDeskAd ServiceDeskAdServ.exe
D:WINDOWSexplorer.exe
D:ProgrammeAntivirusHijak ThishijackthisHijackThis.exe
D:ProgrammeAntivirusAntivirAVPersonalGUARDGUI.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:ProgrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - D:PROGRA~1InternetGDATAD~1DSLTUN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:PROGRA~1ANTIVI~1SPYBOT~1SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - D:PROGRA~1MessegerOdigoOdigoBinOdigoBHO.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:PROGRA~1DOWNLO~1FlashGetFlashGetjccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetfgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:WINDOWSsystem32msdxm.ocx
O4 - HKLM..Run: [Patches Value] WinGamed.exe
O4 - HKLM..Run: [NeroFilterCheck] D:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [InCD] D:ProgrammeAheadInCDInCD.exe
O4 - HKLM..Run: [DSL-Tuning] D:ProgrammeInternetG DATA DSL-TuningDSLTuning.exe -TRAY
O4 - HKLM..Run: [Start Upping] svchostes.exe
O4 - HKLM..Run: [SearchUpgrader] D:ProgrammeCommon filesSearchUpgraderSearchUpgrader.exe
O4 - HKLM..Run: [DeskAd Service] D:Program FilesDeskAd ServiceDeskAdServ.exe
O4 - HKLM..Run: [AVGCtrl] D:ProgrammeAntivirusAntivirAVPersonalAVGNT.EXE /min
O4 - HKLM..Run: [Win32 USB2 Driver] updatemgr.exe
O4 - HKLM..RunServices: [Patches Value] WinGamed.exe
O4 - HKLM..RunServices: [Start Upping] svchostes.exe
O4 - HKLM..RunServices: [Win32 USB2 Driver] updatemgr.exe
O4 - HKLM..RunOnce: [Win32 USB2 Driver] updatemgr.exe
O4 - HKLM..RunOnce: [AAW] "D:ProgrammeAntivirusAd-wareAd-Aware SE PersonalAd-Aware.exe" "+b1"
O4 - HKCU..Run: [CTFMON.EXE] D:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "D:ProgrammeMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Patches Value] WinGamed.exe
O4 - HKCU..Run: [Start Upping] svchostes.exe
O4 - HKCU..Run: [Win32 USB2 Driver] updatemgr.exe
O4 - HKCU..RunOnce: [Win32 USB2 Driver] updatemgr.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Блокировать все картинки с этого сервера - D:ProgrammeInternetAvantAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: Добавить в список блокируемой рекламы - D:ProgrammeInternetAvantAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:ProgrammeDownloadmenagerFlashGetFlashGetjc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:ProgrammeDownloadmenagerFlashGetFlashGetjc_link.htm
O8 - Extra context menu item: Открыть все ссылки с этой страницы... - D:ProgrammeInternetAvantAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Подсветка - D:ProgrammeInternetAvantAvant BrowserHighlight.htm
O8 - Extra context menu item: Поиск - D:ProgrammeInternetAvantAvant BrowserSearch.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:ProgrammeMessegerICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:ProgrammeMessegerICQLiteICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetflashget.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:foo.mht!Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O17 - HKLMSystemCCSServicesTcpip..{FDF7183F-A68F-456F-A282-DBE58500DB04}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:ProgrammeAntivirusAntivirAVPersonalAVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - D:WINDOWSSystem32Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:ProgrammeAntivirusAntivirAVPersonalAVWUPSRV.EXE
O23 - Service: InCD Helper - Ahead Software AG - D:ProgrammeAheadInCDInCDsrv.exe

Цитата

По словам пользователя mike777 ...
теперь ручками удали из регистра svchostes.exe
это всему горячо любимый Backdoor.Win32.Rbot.gen
rest посмотрю вечером.
--
uspehov

Показать весь код

Если не трудно то где именно он там стоит? я в регистере не очень разбераюсь. Зарание блогодарен :))

Цитата

По словам пользователя mike777 ...
[HКЛМ..Рун: [Start Upping] свчостес.ехе]
самый простой вариант: открываешь [REGEDIT], задаешь в поиске [svchostes.exe] и вычищаешь все найденные ключи.
если не получится, сообщи в топике.
попробуем впрямую из рана убрать.
------------
если удалиш' из регистра, то перестартани комп и удали эти датаи:
[C:WINDOWS/System32/rpc.exe ]
[C:WINDOWS/System32/svchostes.exe]

Показать весь код

Всё зделал как ты сказал, только вот в System32 нет такого rpc.exe есть только rcp.exe это не то? и svchost не уберается из системы хотя с регистра я его убрал

PS: Я ещё раз зделал через HijackThis и вот что вышло

Logfile of HijackThis v1.99.0
Scan saved at 09:45:38, on 08.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:ProgrammeAheadInCDInCDsrv.exe
D:ProgrammeDesktopWindowBlindswbload.exe
D:WINDOWSsystem32spoolsv.exe
D:ProgrammeAntivirusAntivirAVPersonalAVGUARD.EXE
D:WINDOWSSystem32Ati2evxx.exe
D:ProgrammeAntivirusAntivirAVPersonalAVWUPSRV.EXE
D:WINDOWSSystem32svchost.exe
D:WINDOWSExplorer.EXE
D:WINDOWSSystem32updatemgr.exe
D:ProgrammeAheadInCDInCD.exe
D:ProgrammeInternetG DATA DSL-TuningDSLTuning.exe
D:ProgrammeAntivirusAntivirAVPersonalAVGNT.EXE
D:WINDOWSSystem32ctfmon.exe
D:ProgrammeMessengermsmsgs.exe
D:ProgrammeInternetT-OnlineT-Online_Software_5Basis-SoftwareBasis2kernel.exe
D:ProgrammeInternetT-OnlineT-Online_Software_5Basis-SoftwareBasis2sc_watch.exe
D:PROGRA~1InternetT-OnlineT-ONLI~1BASIS-~1Basis2PROFIL~1.EXE
D:PROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
D:WINDOWSsystem32cmd.exe
D:WINDOWSsystem32ftp.exe
D:ProgrammeAntivirusHijak ThishijackthisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:ProgrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - D:PROGRA~1InternetGDATAD~1DSLTUN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:PROGRA~1ANTIVI~1SPYBOT~1SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - D:PROGRA~1MessegerOdigoOdigoBinOdigoBHO.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:PROGRA~1DOWNLO~1FlashGetFlashGetjccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetfgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:WINDOWSsystem32msdxm.ocx
O4 - HKLM..Run: [Patches Value] WinGamed.exe
O4 - HKLM..Run: [NeroFilterCheck] D:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [InCD] D:ProgrammeAheadInCDInCD.exe
O4 - HKLM..Run: [DSL-Tuning] D:ProgrammeInternetG DATA DSL-TuningDSLTuning.exe -TRAY
O4 - HKLM..Run: [SearchUpgrader] D:ProgrammeCommon filesSearchUpgraderSearchUpgrader.exe
O4 - HKLM..Run: [DeskAd Service] D:Program FilesDeskAd ServiceDeskAdServ.exe
O4 - HKLM..Run: [Win32 USB2 Driver] updatemgr.exe
O4 - HKLM..Run: [AVGCtrl] D:ProgrammeAntivirusAntivirAVPersonalAVGNT.EXE /min
O4 - HKLM..RunServices: [Patches Value] WinGamed.exe
O4 - HKLM..RunServices: [Win32 USB2 Driver] updatemgr.exe
O4 - HKLM..RunOnce: [Win32 USB2 Driver] updatemgr.exe
O4 - HKCU..Run: [CTFMON.EXE] D:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "D:ProgrammeMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Patches Value] WinGamed.exe
O4 - HKCU..Run: [Win32 USB2 Driver] updatemgr.exe
O4 - HKCU..RunOnce: [Win32 USB2 Driver] updatemgr.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:ProgrammeDownloadmenagerFlashGetFlashGetjc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:ProgrammeDownloadmenagerFlashGetFlashGetjc_link.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:ProgrammeMessegerICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:ProgrammeMessegerICQLiteICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:PROGRA~1DOWNLO~1FlashGetFlashGetflashget.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:foo.mht!Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
O17 - HKLMSystemCCSServicesTcpip..{FDF7183F-A68F-456F-A282-DBE58500DB04}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:ProgrammeAntivirusAntivirAVPersonalAVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - D:WINDOWSSystem32Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:ProgrammeAntivirusAntivirAVPersonalAVWUPSRV.EXE
O23 - Service: InCD Helper - Ahead Software AG - D:ProgrammeAheadInCDInCDsrv.exe

Цитата

вот еще нашел, можно попробовать:
ms-its:mhtml:file://C:foo.mht!Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. - вычистить.
потом C:foo.mht, file.exe - удалить

Это тоже из Регистра убрать ?

Цитата

По словам пользователя mike777 ...

ключ убрать из регистра, а два датая - вычистить

а как с поиском можно это написать?

Зарание блогодарен

:)) так вроде всё , надеюсь на долго

Большое спасибо тебе Mike777

Будем стараться. Насчёт рана например сейчас вроде комп быстро стартует