Выполните эту инструкцию: forum.winall.ru/index.php?s=&showtopic=22230&vi...

Сэр Дьявол, ты какую инструкцию имеешь в виду? Про БСОД? так он вроде не появляется


.fake a smile.
Есть файл c:\windows\system32\wscntfy.exe и его копия в c:\windows\system32\dllcache, занимает 13к — это "легальный" файл.
Если он лежит ещё где-то в другом месте и имеет другой размер — это вирус.


теперь (сегодня) у меня стабильно отключается брандмауэр. сам, через пять секунд после загрузки. при попытке включить его через центр обеспечения безопасности или панель управления, пишет об ошибке.
то есть какая именно там ошибка, ты говорить не собираешься, но хочешь чтобы тебе сказали, как её исправить?
прочитай, пожалуйста, красную надпись в эпиграфе сообщества

Enkryptor, инструкцию сканирования AVZ и hijackthis

Аваст это пошлость, а не антивирус... стоял он у меня в свое время, показал абсолютную бесполезность..... так что рекомендую на будущее

1. если комп и система хоть капельку д0роги, никогда- никогда не вставлять флешку с заведомо зараженной, тем более, так страшно, машины...

2. поставить нормальный антивирь, лучше даже платный.. отсутствие экономии на средствах защиты буквально две недели назад спасло мне систему.

я пользуюсь Eset NOD32 и до кучи Spy Hunter 3
помнится, мне говорили тут о его бесполезности, а вот заразу из реестра моментально вытащил именно он, тьфутьфутьфу.
но это уже оффтоп и больше касается именно времени ПОСЛЕ устранения данной беды

перезагрузилась в безопасном, проверилась, аваст нашёл два вируса.

Какие? как назывались?

во-первых, хочу сказать, что сегодня вирусы меня уже почему-то не атакуют как бешеные.
во-вторых, проблема с брандмауэром и обновлением по-прежнему ОЧЕНЬ актуальна.

теперь по порядку)

Сэр Дьявол
avz лежит тут exfile.ru/70672
вот лог хджека:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:05:06, on 10.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ABBYY Lingvo 12\Lingvo.exe
C:\Program Files\ABBYY Lingvo 12\LvAgent.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with ABBYY &Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: German<->Russian - {27AF9715-ABD6-064F-A2A7-E386BDCE9C09} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: German<->Russian - {27AF9715-ABD6-064F-A2A7-E386BDCE9C09} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: French<->Russian - {E918B629-1C4B-1045-BF99-91D7E02C6DA4} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: French<->Russian - {E918B629-1C4B-1045-BF99-91D7E02C6DA4} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6349 bytes

Enkryptor
посмотри плз эти скрины:

собственно я пользовалась поиском и вот результат. ни один не подходит под твоё описание. как быть? кашедлл не нашла вообще, хотя вручную смотрела\искала тоже.


ошибка до крайности логична)


вот те два что аваст вчера нашёл

хочу дополнить, что пока я две минуты была в и-нете отправляя этот пост, на комп пыталось залезть вирусов ну 15, может больше. я конечно искренне надеюсб что он их _всех_ словил, но что-то я волнуюсь.)

хм. на всякий случай положу скриншот, демонстрирующий, как дела с этим авт.обновлением
как можно заметить, ни одна кнопка не активна.
читать дальше

В реестре посмотри вот здесь [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
Для автозапуска брэндмауера должно быть "Start"=dword:00000002

ни одна кнопка не активна

а служба Windows Update запущена?

по скриншотам ничего точно сказать нельзя, нужен хотя бы журнал HijackThis — techsupport.diary.ru/p49734180.htm

Enkryptor
хайджек двумя постами выше. в моём ответе Сэр Дьявол -у

Что за фигня у тебя в автозагрузке?))))) И оч хотелось бы знать что это:
ospf.dll
iprip2.dll
ipbootp.dll
igmpv2.dll
То, что названия протоколов, я и так знаю, но мне кажется такого быть не должно

Сэр Дьявол
ну я точно этого не знаю)
я когда пролистывал лог авз, вообще сильно удивилась масштабам раздела автозагрузка. по мне так вообще много фигни, одна болишая сплошная фигня)

Сэр Дьявол
ну я точно этого не знаю)
я когда пролистывал лог авз, вообще сильно удивилась масштабам раздела автозагрузка. по мне так вообще много фигни, одна большая сплошная фигня)

Enkryptor а служба Windows Update запущена?

я честно не знала ответ, рылась в справке, там пишут "Чтобы запустить программу Windows Update, нажмите кнопку Пуск, щелкните Все программы и выберите команду Windows Update. "

так вот, в списке программ у меня вообще нет виндоус апдейт.

я бы не сказала, что она мне нужна. просто я удивлена таким изменениям в работе компа.) пока брандмауэр не начал самостоятельно отключаться, меня вполне устраивали все эти глюки системы безопасности.

я честно не знала ответ, рылась в справке, там пишут "Чтобы запустить программу Windows Update, нажмите кнопку Пуск, щелкните Все программы и выберите команду Windows Update. "

О службах Windows тут речи не идёт Посмотреть список служб можно здесь:
Панель управления -> Администрирование -> Службы

У брандмауэера кстати тоже может быть тупо отключена служба, подробнее есть тут — support.microsoft.com/kb/920074/ru

Можете считать меня параноиком, то в AVZ нужно выполнить этот скрипт:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\aswSP.SYS','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\MS Subjects 3','$DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\cahxa.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\gqakn\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\gkhrm.dll');
DeleteFile('C:\WINDOWS\system32\psxss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System','EventMessageFile');
DeleteFile('D:\#C\BOOKS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\i8042prt\Parameters','LayerDriver JPN');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\i8042prt\Parameters','LayerDriver KOR');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','fixedfon.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','oemfonts.fon');
DeleteFile('C:\System Volume Information\_restore{B888D5C4-5620-4CF3-B194-FB10FE51DA6B}\RP139\A0080543.exe');
BC_DeleteFile('C:\System Volume Information\_restore{B888D5C4-5620-4CF3-B194-FB10FE51DA6B}\RP139\A0080543.exe');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\aswSP.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Enkryptor

спс. там это выглядит вот так:

пункта Брандмауэр Windows/Общий доступ к Интернету (ICS) тоже нет, счас попробую сделать по ссылке.




Сэр Дьявол
я не могу вас посчитать параноиком, я без понятия что этот скрипт скйчас сделает.
искренне надеюсь что всё будет хорошо. я перечисленные вами файлы лениво гуглила, просматривала инфу наискосок, ничего плохого про них не прочитала. надеюсь вам виднее)

сейчас сделаю и его.

.fake a smile., что получилось?

винда больше не ноет про апдейт, вирусы толпами не лезут, опера не глючит и слава богу.

с брандмауэром проблема не решилась, по ссылке как и обещала в последнем посте всё сделала. но не помогло.

скрипт делала, не знаю, что в итоге.
не считаю что на этом посте можно ставить помету "исправлено", но я благодарна