Помощ за проблем с троянец - Trojan.Popuper hijacks the default IE

[mishoval]

Отново ми се лепна троянец-Trojan.Popuper hijacks the default IE,които сменя загл.стр. на ИЕ със www.eprotecpage.com и ме плаши,че имам вирус.Моля дайте идея как да се отърва от гада, но без преинсталация.Spyware doctor-а го засича, но не може да го изтрие и рестартира РС с нова проверка за спайуери.Благодаря предварително

[Night_Raven]

Изтегли Vindofix 6.2.8 (85KB) и HijackThis 1.99.1 (208KB). Сканирай с първата

[mishoval]

Изтегли Vindofix 6.2.8 (85KB) и HijackThis 1.99.1 (208KB). Сканирай с първата< коят би трябвало да открие и премахне проблема. След това разархивирай втората някъде на удобно място, НЕ я пускай директно от архива. Преименувай ехе-то на HijackThis на нещо друго, например alabala321, защото някои троянци успяват да се крият от програмата. Тогава я стартирай и сканирай с нея - Do a system scan and save a log file. Пейстни текста тук, за да видим дали има останки и други проблеми като цяло.

 

Първата не откри нищо-отговори ми, че няма заразени файлове.Ето логфайла от сканирането с втората, но не мога да се ориентирам-за сефте работя с тази програма:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:07:26, on 13.11.2006 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\QualityCodec\isamonitor.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\rnamfler\naomf.exe

C:\WINDOWS\system32\LckFldService.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Programs\Weather Watcher\ww.exe

E:\Programs\Spyware doctor 4.0.0.2618\Spyware Doctor\swdoctor.exe

C:\Program Files\QualityCodec\isamini.exe

C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

C:\Program Files\rnamfler\naofsvc.exe

E:\Programs\Spyware doctor 4.0.0.2618\Spyware Doctor\sdhelp.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c:\program files\rnamfler\radprcmp.exe

C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\svchost.exe

E:\Download\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dir.bg/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.bg/

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\QualityCodec\isaddon.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\Programs\SPYWAR~1.261\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\Programs\SPYWAR~1.261\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\QualityCodec\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [wrna3ls] C:\Program Files\rnamfler\naomf.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

O4 - HKCU\..\Run: [WeatherWatcher] E:\Programs\Weather Watcher\ww.exe

O4 - HKCU\..\Run: [spyware Doctor] "E:\Programs\Spyware doctor 4.0.0.2618\Spyware Doctor\swdoctor.exe" /Q

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Добави в Kaspersky Анти-Банер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B4B8DEFB-84E3-4E16-BA0D-ABD5CA5C2AC1}: NameServer = 80.80.128.161

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Program Files\rnamfler\naofsvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Programs\Spyware doctor 4.0.0.2618\Spyware Doctor\sdhelp.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Night_Raven]

Виждам, че не си прочел поста ми изцяло, защото не си преименувал exe-то на HijackThis. Не че е фатално, но щеше да е по-добре да му беше сменил името.

 

 

Първо изключи System Restore (десен бутон върху My Computer -> Properties -> System Restore и слагаш отметка на Turn off System Restore on all drives).

Работата с програмата не е толкова трудна. Просто слагаш отметки на избраните неща и накрая кликаш бутона Fix checked.

Сложи отметки на следните обекти и ги премахни:

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\QualityCodec\isaddon.dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\QualityCodec\iesplugin.dll (file missing)

След това изтрий директорията C:\Program Files\QualityCodec. Ако не става под нормален режим, опитай под Safe Mode (помпиш F8 преди да започне да зарежда Windows).

 

Следните обекти не са опасни, но може да се почистят за всеки случай. При нужда ще се свалят пак.

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

 

Виждам имаш нещо Naomi Internet Filter (C:\Program Files\rnamfler). Ако не го ползваш или идея си нямаш какво е, то го разкарай (първо провери дали ти трябва). Първо опитай с деинсталация (ако има такава) и тогава можеш да го отметнеш тук ако още фигурира в списъка след ново сканиране:

O4 - HKLM\..\Run: [wrna3ls] C:\Program Files\rnamfler\naomf.exe

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Program Files\rnamfler\naofsvc.exe

 

След всички чистения рестартирай.

 

Можеш да деинсталираш и Spyware Doctor, калпава програма е. Товари, а не прави нищо особено. Можеш да я замениш с SpySweeper 5.2 (12.5MB) ако държиш да имаш скенер в реално време. Иначе бих препоръчал да сканираш с вече споменатата SpySweeper + Spybot - Search & Destroy 1.4 и/или с AVG Anti-Spyware Free 7.5.0.50, като не забравяй първо да ги обновиш. Между другото Ad-Aware SE 1.06 Personal също може да я пуснеш, макар предните три да са определено по-добри. Колкото повече, толкова по-добре.

 

Може още един рестарт и да видим дали ще продължат аномалиите.

[mishoval]

Благодаря за ценните съвети.Сам се убедих в неефективността на Spyware doctor и я изтрих още по обяд.Инсталирах си посл. версия на Spy Sweeper,сканирах с него, хвана ми троянеца,опитах се да го карантинирам и изтрия, но на другото име пак си го засече.Naomi e филтър за порно сайтове и досега не ми е създавал проблеми.

Сега ще се опитам да изтрия троянеца с хайджакера по твоите съвети и ще ти пиша за резултата.

[Night_Raven]

Пропуснах само да драсна, че можеш да активираш обратно System Restore след като почистиш троянеца.

 

За филтър против кофти сайтчета препоръчвам да ползваш имунизацията на Spybot и IE-Spyad (434KB). Те просто добавят сайтове в Restricted Sites зоната и не са активни в реално време, което ти пести ресурси.

[mishoval]

Пропуснах само да драсна, че можеш да активираш обратно System Restore след като почистиш троянеца.

 

За филтър против кофти сайтчета препоръчвам да ползваш имунизацията на Spybot и IE-Spyad (434KB). Те просто добавят сайтове в Restricted Sites зоната и не са активни в реално време, което ти пести ресурси.

 

Направих всичко по твоите указания-изключих Syst. restore, маркирах и изтрих посочените от теб файлове,опитах се да изрия директорията Quality codec от С, не успях дори с unloker-a.

Не мога да вляза обаче в safe mode , за да опитам оттам.Атроянеца си стои ли, стои...

 

P.S.Успях да вляза в сейфмод с F5 и успях да изтрия горната директория.След рестарта IE вече си зарежда нормалната страница.Искрени благодарности за помощта, за пореден път те признавам.Поздрави и бъди жив и здрав..

Редактиран Ноември 13, 2006 от mishoval

[Pe6o]

Здравей Мишовал,

Проблемът ти е следния:

В браузера, който използуваш имаш spyware паразит/т.нар. ВНО модул/ и това е причината за промяна на стартовата страница.Направи нещо елементарно, но с повишено внимание. Влизаш в регистрите и променяш стартовата страница. Описвам подробно:

START>Run/пишеш в полето regedit/>OK

Отваря се прозореца на Registry Editor.

Кликваш последователно с ляв бутон върху +

HKEY_Current_User/Software/Microsoft/Internet Explorer/кликваш върху папката Main/

В десния прозорец превърташ до Start Page.

Десен клик върху Start Page>маркераш Modify и в прозореца Value data си изписваш твоята стартова страница.

Преди и след тази операция почисти компютъра с Ad-aware SE Personal.

Успех!

VY 73.

[Night_Raven]

Здравей Мишовал,

Проблемът ти е следния:

В браузера, който използуваш имаш spyware паразит/т.нар. ВНО модул/ и това е причината за промяна на стартовата страница.Направи нещо елементарно, но с повишено внимание. Влизаш в регистрите и променяш стартовата страница. Описвам подробно:

START>Run/пишеш в полето regedit/>OK

Отваря се прозореца на Registry Editor.

Кликваш последователно с ляв бутон върху +

HKEY_Current_User/Software/Microsoft/Internet Explorer/кликваш върху папката Main/

В десния прозорец превърташ до Start Page.

Десен клик върху Start Page>маркераш Modify и в прозореца Value data си изписваш твоята стартова страница.

Преди и след тази операция почисти компютъра с Ad-aware SE Personal.

Успех!

VY 73.

1. Проблемът вече е решен.

2. BOH в никакъв случай не значи, че е "паразит". BHO е съкращение от browser helper object. Такива има много, като на Spybot например и доста други програми. В повечето случаи са си напълно нормални приложения.

[Pe6o]

Радвам се за успешно решеният проблем.

Ако си позволя да продължа фразата ти, "че в повечето случай BHO обектите са нормални", логично е в някой случай да са и "ненормални". В случая въпроса се отнасяше за последната категория.

Тъй, като споменаваш моята любима програма "Spybot-S&D" ще отбележа,че в нея има и опция с помоща на която можеш да видиш всички инсталирани на компютъра си BHO, както и информация за тях.

Бих желал да науча мнението ти за моята идея относно решаване на проблема.

VY 73.

[Night_Raven]

Разбира се, че има и кофти BHO обекти, просто ми се стори, че го категоризира глобално като паразит. Стартовата страница може да се смени и от IE. А чистенето с Ad-Aware не винаги е достатъчно. Ad-Aware не е от големите играчи при adware и spyware.

[Pe6o]

Разбира се промяната на стартовата страница може да се осъществи и през браузера, но в конкретния случай това не би могло да стане.

Ad-Aware счита за една от най-популярните анти-spyware прогрми главно заради перфектният начин на работа.Все пак трябва да се има впредвид, че става въпрос за безплатно приложение.

Мeжду другото към програмта има няколко полезни "plug-in"-а, който не открих на сайта.

VY 73.

[Night_Raven]

Ad-Aware не е лоша, но има далеч по-добри скенери от нея - AVG Anti-Spyware, Spy Sweeper, Spybot - Search & Destroy, a-Squared Free.

[Pe6o]

Струвами се, че излизам извън темата, затова ще бъда по-кратък.

Въпросните програми, използувани само като"почистващи" са много добри, почти

на едно ниво с определeн превес на S&SD.

Що се отнася до платените им аналози, съдържащи модул за защита в реално време,

резултатите от направените тестове с "SPYCAR TEST"/17 бр.симулативни атаки/ са

следните:

Spy Sweeper...........блокирани 5/пролуснати 12

a-squ. Anti-Malware...блокирани 1/пропуснати 16

AVG 7.5 Anti-Malware..блонирани 2/пропуснати 15

Въпреки всички условности на този тип тестове, резултатите са показателни

при положение, че има програма/и/ със 100% успеваемост.Разбира се има доста

уточнения и детайли, но смятам, че мястото за разискване не е тука.

Дължа да уточня, че това е мое лично мнение.

[LOTR]

за тово какво ще кажете?????

Logfile of HijackThis v1.99.1

Scan saved at 22:01:27, on 02.10.2007 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\Kaspersky\avp.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\windows\system32\nvsvc32.exe

C:\WINDOWS\system32\UAService7.exe

D:\Kaspersky\avp.exe

C:\windows\Explorer.EXE

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\windows\SOUNDMAN.EXE

C:\windows\system32\RUNDLL32.EXE

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

E:\DAEMON Tools\daemon.exe

E:\iPod\iTunesHelper.exe

D:\Kaspersky\avp.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\windows\system32\ctfmon.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\PROGRA~1\Webshots\WEBSHOTS.SCR

E:\iPod\bin\iPodService.exe

C:\windows\SYSTEM32\taskmgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Program Files\Internet Explorer\iexplore.exe

E:\alabalaportokala.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)

O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\WSToolbar4IE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [NewsRaider] C:\Program Files\NewsRaider\NewsRaider.exe \min

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "E:\iPod\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVP] "D:\Kaspersky\avp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\DAEMON Tools Pro\DTProAgent.exe"

O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe

O4 - Startup: Xfire.lnk = E:\Xfire\Xfire.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM

O8 - Extra context menu item: Add to AMV Convert Tool... - D:\AMV\AMVConverter\grab.html

O8 - Extra context menu item: Add to Anti-Banner - D:\Kaspersky\ie_banner_deny.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: MediaManager tool grab multimedia file - D:\AMV\MediaManager\grab.html

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Program Files\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Program Files\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131654336397

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F5E451A-CF8D-48D5-8C85-C2D31E58D233}: NameServer = 78.142.62.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: D:\KASPER~1\adialhk.dll

O20 - Winlogon Notify: klogon - C:\windows\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Kaspersky\avp.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - E:\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - D:\Videos\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe