Новый страшный троян- Trojan.Plastix (ГНОЙ).

[GUK]

Вот на этом сайте

http://www.compu.debri.ru/

точнее здесь:

http://www.compu.debri.ru/index.php/soft/comments/1729

в рубрике "Кто кого?"

обсуждают какой антивирус лучше.Там же на стр.2 выложен Trojan.Plastix,

который не обнаруживается ничем и пользователям,схватившим его приходится делать формат.

Вот копия текста одного пользователя kostoz с того сайта:

"Не далее как вчера случилась неприятная история...

Вот тут был скачан небольшой файлик setup.exe - "Генератор кодов пополнения к ЛЮБОЙ! компании мобильной связи в Росии". Я заранее предположил, что в нем есть зараза, даже был уверен на 99,9%. Поэтому, когда скачал этот чудо-файл, сразу запустил проверку NOD-ом на наличие вирусов. И что вы думаете - NOD молчал. Т.к. я безгранично и безоговорочно доверял NOD-у, (как оказалось, зря) то, после проверки файла, запустил этот файл....

Далее еще интереснее. Файл setup.exe спокойно установился и попросил перезагрузить комп. Блин, думаю, хрень какая-то. Запускаю "Глубокий анализ", идет проверка, все вроде чисто, а тут Outpost Firewall пишет: "Найдены spyware сигнатуры...". NOD при этом молчит как рыба об лед, спокойно проводит свой "Глубокий Анализ", будь он неладен, до конца и ничего не находит. Ладно, удаляю найденную Outpost-ом каку, и перезагружаюсь...

Что я вижу, мля... После загрузки Винды, первым делом выскакивает окно с примерно таким текстом: "Если вы не хотите потерять ВСЕ данные пришилите на такой-то почтовый ящик код карточи Web Money на 10 WMZ...". Фигасебе... На рабочем столе нет ни одной иконки, есть только меню "Пуск", а в этом меню только кнопка "Выключить компьютер". А на месте системных часов в трее написано "ГНОЙ". Как вам такое?

Ну думаю, приплыли. Что делать, Антивирус молчит, Firewall орет, мол, шняга найдена, удаляю, перезагружаюсь. Все повторяется: пустой стол, шантаж 10 wmz, гной. Попа полная. Пробую загрузится в Безопасном режиме, опять гной.

Не, пока не поздно, format c: и полное восстановление раздела с помощью Acronis True Image.

На свежей системе опять скачиваю этот вонючий setup.exe, NOD ни в какую не хочет ничего находить.

Все ясно, надо менять антивирь. Нафиг такое добро, если даже Outpost пыжется и че-то находит, хоть и не справляется. Иду на сайт касперского, делаю онлайн проверку файла, и епт че за куйня, каспер тоже ни чего не видит плохого. Дальше иду на сайт dr. web-а, опять онлайн проверка и ... неужели, неужели что-то нашлось. Dr.Web нашел Trojan.Plastix.

Короче вчера я разочаровался НОДом в раз, Каспер тоже нихрена не оправдал ожидания. В общем теперь у меня поселился Dr.Web, пока.... У меня даже были порывы купить лицензию доктора веба, но немного остыв я понял, что ЛЮБАЯ честно купленная прога не даст 100% безопасности.

Так что по прежнему рулит BackUp и только BackUP.

PS Все сказанное выше мое ИМХО и не реклама

PPS Попробуйте, кто посмелее, скачать это файло (но не запускайте) и проверьте своим антивирем. Но на свой страх и риск.

PPPS А те кто пишет такое кавно - УРОДЫ, хотя надо признать, талантливые уроды."

От себя скажу следующее,ради эксперимента,скачал я тот троян-получил тоже самое.Для обнаружения и удаления трояна использовал NOD32,Аvast,АntiVir,AVG,BitDefender Free8 Edition,Stocona,Dr.Web,Stinger 2.6.0,Anti...worm,Stop!Free Edition 4.10,AD-aware 1.6,SpiBot,Spy emergency2005,Spyware Doctor 3.0,различные чистильщики (всё с новыми базами!).Ничего не помогло,восстановление системы просто не было (исчезло),стал невидимым диск С,пропали иконки с рабочего стола,не закрывались интернет страницы,а в инет можно было зайти только через "пуск",а на рабочий стол через "пуск"-"сетевое окружение"...Короче,сделал формат обоих дисков...Вот так-то!Что за троян такой,что никто его не видит и не может удалить?

[Old men]

GUK: А ты не пробовал проверять Ad-Aware. Антивирусы не ловят троянов, их основная работа - вирусы, а трояны так, какой попадется.

[GUK]

Я же уже писал:

От себя скажу следующее,ради эксперимента,скачал я тот троян-получил тоже самое.Для обнаружения и удаления трояна использовал NOD32,Аvast,АntiVir,AVG,BitDefender Free8 Edition,Stocona,Dr.Web,Stinger 2.6.0,Anti...worm,Stop!Free Edition 4.10,AD-aware 1.6,SpiBot,Spy emergency2005,Spyware Doctor 3.0,различные чистильщики (всё с новыми базами!).Ничего не помогло,восстановление системы просто не было (исчезло),стал невидимым диск С,пропали иконки с рабочего стола,не закрывались интернет страницы,а в инет можно было зайти только через "пуск",а на рабочий стол через "пуск"-"сетевое окружение"...Короче,сделал формат обоих дисков...Вот так-то!Что за троян такой,что никто его не видит и не может удалить?

[R&K]

Что-то, я не нашел там никакого трояна! Можно ссылочку поточнее! Хоца проверить свой антивирь!

[Saule]

От себя скажу следующее,ради эксперимента,скачал я тот троян-получил тоже самое.Для обнаружения и удаления трояна использовал NOD32,Аvast,АntiVir,AVG,BitDefender Free8 Edition,Stocona,Dr.Web,Stinger 2.6.0,Anti...worm,Stop!Free Edition 4.10,AD-aware 1.6,SpiBot,Spy emergency2005,Spyware Doctor 3.0,различные чистильщики (всё с новыми базами!).Ничего не помогло,восстановление системы просто не было (исчезло),стал невидимым диск С,пропали иконки с рабочего стола,не закрывались интернет страницы,а в инет можно было зайти только через "пуск",а на рабочий стол через "пуск"-"сетевое окружение"...Короче,сделал формат обоих дисков...Вот так-то!Что за троян такой,что никто его не видит и не может удалить?

Вместо того, чтобы возмущаться по поводу того, что никто не может найти у вас какую-либо новую компьютерную заразу, неужели так сложно просто послать копию "вашего трояна" вирусным аналитикам любого антивируса? И через час, с новыми обновлениями, антивирусы начнут его определять

Адреса для таких случаев двух крупнейших российских антивирусов:

newvirus@kaspersky.com

vms@drweb.com

[Тролль]

Saule:

Да послали там этот файл на исследование в обе эти лаборатории. Dr.Web сообщил о наличии трояна, Касперский ничего не нашел. Скрины сообщений лабораторий там прилагаются.

Хотя проверяли там автоматически, скорее всего просто по последним базам данных. Вероятно, следовало написать симптомы. Но человек редко бывает так уверен, что именно из-за запуска такого-то файла у него компьютер стал вести себя ненормально, чтобы шуметь, что я вот знаю, что в этом файле вирус, а вы не знаете.

R&K:

По поводу выкладки трояна в общедоступное пользование - стерли там, после того как один из читавших заразил этим трояном компьютер друга и сам же попросил помощи, а другой запустил для интереса у себя на компьютере с тем же результатом... Нельзя давать детям спички.

Изменено 26 апреля, 2006 пользователем Тролль

[GUK]

Возможно,что тот файл с вирусом там удалил админ,но можете попробовать в любом поисковике набрать:

""Генератор кодов пополнения к ЛЮБОЙ! компании мобильной связи в Росии",а затем скачать то,что вам предложат...

А что толку то,что ты тот зараженный файл вышлешь в антивирусные лаборатории?Ком-то твой они не вылечат.Повторяю,ни один антивирусник и антитроян с новыми базами не смог его обнаружить,а стало быть и вылечить или удалить.Очень редкостная гадость тот вирус или троян!И новая!

[R&K]

R&K:

По поводу выкладки трояна в общедоступное пользование - стерли там, после того как один из читавших заразил этим трояном компьютер друга и сам же попросил помощи, а другой запустил для интереса у себя на компьютере с тем же результатом... Нельзя давать детям спички.

У меня систему последнее время глючит! Вот и хочется перед установкой новой, немного поглумиться!

[GUK]

Я вообще,когда тот зараженный файл (он ввиде архива) скачал,то не инсталлировал его,а проверил NOD32 с последними базами.Он показал,что всё зер гуд.Тогда я стал архивчик удалять в корзину,а он взял и открылся сам по-себе в момент удаления.Песец!Ну сейчас,слава Богу,всё позади.Теперь осторожнее буду,чего и вам всем советую.

А ты свяжись с Админом того сайта,может подскажет,где тот вирусняк найти или попроси его,чтобы тебе его по почте выслали.)))

[R&K]

Сорри за офтоп! Хорошие у нас поисковые системы, ОБИДНО:

[pinmix]

Сорри за ответный оффтоп, но:

R&K: это не поисковик виноват, а люди которые делают запросы: Яндекс приводит пример часто задаваемых запросов в том же контексте...

[Saule]

У меня систему последнее время глючит! Вот и хочется перед установкой новой, немного поглумиться!

А какой антивирус собираешься тестить? :)

[R&K]

Фуууух!!! Нервишки я себе посчикотал! :) Особенно когда вставил мультизагрузочный диск, а он оказался битый (это я уже потом выяснил :) ) Тестил Symantec AntiVirus от Norton! Я в компах не очень, но этот вирус выбивает ДЗ, "Панель управления" и "Выполнить" и еще кучу прог! Нортон запустился нормально и проверил все диски даже те которые были закрыты для проверки вирусом, но ничего не нашел! Доступ к прогам можно получить через Тотал Командир! А помогло как всегда форматирование! А так, я считаю, что этот вирус хорошее средство от любителей халявы!!! ;) После его установки выскакивает табличка с прозьбой перезагрузить систему! После перезагрузки выскакивает таблица с прозьбой перевисти 25WMZ, на какой-то адрес и получишь типа другой файл для востановления работоспособности системы! :)

[GUK]

После формата обоих дисков C и D,просканировал комп всем,чем только можно-опять нашел кучу всякой нечисти на голом компе (!)-удалил всё.Антивирусы показывают-всё в порядке (сканировал даже бетта версией Касперского 6),но SpyBot упорно показывает,что система заражена Win32.Agent.pi

AD-aware 1.6 pro -молчит,Аваст (поставил после сноса Каспера 6) -тоже.Удаляю SpyBotом этот Win32.Agent.pi,SpyBot показывает,что удаление произошло успешно,повторно сканирую им комп-SpyBot опять находит его!

Что за ботва и как его удалить,этот Win32.Agent.pi?И надо ли?Остаток ли это того зловредного трояна или что-то другое?

R&K-ты молодец!А где этот вирус нашел?Поясни поподробнее,как ты его удалял,типа:1-сделал то-то...;2-сделал то-то...;и.т.д.Пожалуйста!

А,так ты тоже формат делал!Вот это вирус (или это троян?)!!!!!!Молодцы его разработчики,но талантливые негодяи!

[Saule]

После формата обоих дисков C и D,просканировал комп всем,чем только можно-опять нашел кучу всякой нечисти на голом компе (!)-удалил всё.Антивирусы показывают-всё в порядке (сканировал даже бетта версией Касперского 6),но SpyBot упорно показывает,что система заражена Win32.Agent.pi

AD-aware 1.6 pro -молчит,Аваст (поставил после сноса Каспера 6) -тоже.Удаляю SpyBotом этот Win32.Agent.pi,SpyBot показывает,что удаление произошло успешно,повторно сканирую им комп-SpyBot опять находит его!

Что за ботва и как его удалить,этот Win32.Agent.pi?И надо ли?Остаток ли это того зловредного трояна или что-то другое?

http://www.softboard.ru/index.php?s=&showt...ndpost&p=261011

[GUK]

Спасибки!Попробую сделать так.А чистильщиками я комп сканировал,Шпибот все-равно показывает этого агента.

[GUK]

Утилитой Istbar Removal Tool просканировал комп-результат:0,нет ничего плохого,система чиста.Чем же тогда удалить Win32.Agent.pi и откуда он,нужен ли он,чем он опасен,или это SpyBot глючит?

[Saule]

Спасибки!Попробую сделать так.А чистильщиками я комп сканировал,Шпибот все-равно показывает этого агента.

Наверное, ты не совсем правильно понял : Win.32.Agent.pj находится не у тебя на компе, а в инете (либо в твоих временных интернет-файлах тогда уж).

Если же ты считаешь, что я всё-таки не права, то скажи где именно он находит его в таком случае? В каких файлах и при каких обстаятельствах?

Утилитой Istbar Removal Tool просканировал комп-результат:0,нет ничего плохого,система чиста.Чем же тогда удалить Win32.Agent.pi и откуда он,нужен ли он,чем он опасен,или это SpyBot глючит?

Istbar Removal Tool предназначался для совсем другого человека и совсем для другого трояна :D, тебе нужно было прочитать только лишь один пост, процитирую его тут на всякий случай:

Но теперь перед открытием любого окна в интернете появляется следующая надпись:

"Spybot S&D сообщает, что Вы хотите начать закачку "/Win.32.Agent.pj ", которая известна как опасная. Хотите ли Вы блокироватьэту закачку? Да.нет."

Ну вот, теперь можно с уверенностью сказать, что вы точно здоровы :)

Такое сообщение будет выскакивать у всех, кто пользуеться постоянной резидентной защитой Spуbot S&D и у кого включено автоматическая блокировка плохих адресов интернета, при попытке зайти на yandex.ru.

Так как на сайте yandex.ru действительно имеется в некотором роде опасный активный компонент по мнению Spуbot S&D и некоторых других антишпионов.

Речь идет о поисковом слове, которое вы вводите в WEB форму сайта: всё, что вы туда вводите автоматически сохраняеться и добавляеться в статистику, которую ведет yandex ( http://stat.yandex.ru/queries/last20.xml ).

Т.е. yandex использует тут тот же самый метод, по которому и действуют некоторые шпионы. И по сути это тоже являеться своеобразным воровством той информации, которую вы вводите со своей клавиатуры в WEB форму (но ничего противозаконного в этом случае нету, это не такая информация, по поводу которой можно было бы волноваться).

------------------

Избавиться от таких предупреждений Spуbot S&D можно лишь отключив автоматическую постоянную блокировку плохих адресов IE:

Spуbot S&D > Иммунизация

И убрать галочку напротив: "Включить постоянную блокировку плохих адресов Обозревателя интернета"

Но отключайте её только в том случае, если действительно эти предупреждения уже очень достанут. Так как в противном случае, даже если вы нажмете на "Да" (не блокировать), ничего страшного не случиться (по крайней мере на yandex.ru).

[GUK]

Я просто сомневался.Сделал,как ты говорила-отключил у SpyBot иммунизацию-всё стало в норме,у меня и стартовая-то Яндекс стоит.)))Большое спасибки!

[Old men]

Saule и господа. Посмотрите эту тему, мне кажется очень похоже. Там была и ссылка на вирусный форум, куда я давал запрос - тогда они обещали не только внести вирус в базы, но и восстановить содержимое...

[Stolik]

Честно говоря, я не понял - о чем спор?

http://www.viruslist.com/en/viruses/encycl...a?virusid=98106

[Saule]

Saule и господа. Посмотрите эту тему, мне кажется очень похоже. Там была и ссылка на вирусный форум, куда я давал запрос - тогда они обещали не только внести вирус в базы, но и восстановить содержимое...

Да, на самом деле подобных троянов великое множество :)

И для их создания даже не нужно обладать особым талантом, необходимы только лишь знания (в первую очередь архитектуры Windows и DOS, структуры NE и PE, языки C, C++, Assembler, плюс владение некоторыми программками и программами). Но в любом случае рулить подобные трояны могут лишь от силы несколько дней: стоит любому из них попасть "на операционный стол" хорошего вирусного аналитика, как его сигнатуры моментально занесут в вирусные базы и антивирусы начнут его не только благополучно дэтэктировать, но и полностью нейтрализовывать...

А если этого пока не случилось, но у вас явно есть какие-либо проблемы, то всегда можно кинуть свой лог программы HijackThis вот в этот топик или на этот специализированный российский ресурс; и люди обязательно постараются вам помочь, потому что глаза в паре с мозгами, всегда будут работать лучше любого антивируса

[GUK]

Упрощаю вопрос:как,не прибегая к формату,удалять эту гадость,если не один современный антивирус и антитроян её не обнаруживает?Прошу ответить просто,чтобы дашло до всех пользователей этого форума.

[Saule]

Упрощаю вопрос:как,не прибегая к формату,удалять эту гадость,если не один современный антивирус и антитроян её не обнаруживает?Прошу ответить просто,чтобы дашло до всех пользователей этого форума.

Скачиваешь HijackThis

Распаковываешь, включаешь и нажимаешь на кнопку Do a systemscan and save a logfile.

После чего программа выдаст тебе свой лог-файл, который по умолчанию также сохранится в папке программы с названием hijackthis.log

Его содержимое нужно скопировать и выложить тут на форуме или прислать мне в PM (как удобнее).

Я посмотрю и скажу, кого и как убивать :)

[GUK]

Первая копия:

* HijackThis v1.99.1 *

Written by Merijn - merijn@spywareinfo.com

http://www.merijn.org/files/hijackthis.zip

http://www.merijn.org/index.html

See bottom for version history.

The different sections of hijacking possibilities have been separated into the following groups.

You can get more detailed information about an item by selecting it from the list of found items OR highlighting the relevant line below, and clicking 'Info on selected item'.

R - Registry, StartPage/SearchPage changes

R0 - Changed registry value

R1 - Created registry value

R2 - Created registry key

R3 - Created extra registry value where only one should be

F - IniFiles, autoloading entries

F0 - Changed inifile value

F1 - Created inifile value

F2 - Changed inifile value, mapped to Registry

F3 - Created inifile value, mapped to Registry

N - Netscape/Mozilla StartPage/SearchPage changes

N1 - Change in prefs.js of Netscape 4.x

N2 - Change in prefs.js of Netscape 6

N3 - Change in prefs.js of Netscape 7

N4 - Change in prefs.js of Mozilla

O - Other, several sections which represent:

O1 - Hijack of auto.search.msn.com with Hosts file

O2 - Enumeration of existing MSIE BHO's

O3 - Enumeration of existing MSIE toolbars

O4 - Enumeration of suspicious autoloading Registry entries

O5 - Blocking of loading Internet Options in Control Panel

O6 - Disabling of 'Internet Options' Main tab with Policies

O7 - Disabling of Regedit with Policies

O8 - Extra MSIE context menu items

O9 - Extra 'Tools' menuitems and buttons

O10 - Breaking of Internet access by New.Net or WebHancer

O11 - Extra options in MSIE 'Advanced' settings tab

O12 - MSIE plugins for file extensions or MIME types

O13 - Hijack of default URL prefixes

O14 - Changing of IERESET.INF

O15 - Trusted Zone Autoadd

O16 - Download Program Files item

O17 - Domain hijack

O18 - Enumeration of existing protocols and filters

O19 - User stylesheet hijack

O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys

O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key

O22 - SharedTaskScheduler autorun Registry key

O23 - Enumeration of NT Services

Command-line parameters:

* /autolog - Automatically scan the system, save a logfile and open it

* /ihatewhitelists - ignore all internal whitelists

* /uninstall - remove all HijackThis Registry entries, backups and quit

* Version history *

[v1.99.1]

* Added Winlogon Notify keys to O20 listing

* Fixed crashing bug on certain Win2000 and WinXP systems at O23 listing

* Fixed lots and lots of 'unexpected error' bugs

* Fixed lots of inproper functioning bugs (i.e. stuff that didn't work)

* Added 'Delete NT Service' function in Misc Tools section

* Added ProtocolDefaults to O15 listing

* Fixed MD5 hashing not working

* Fixed 'ISTSVC' autorun entries with garbage data not being fixed

* Fixed HijackThis uninstall entry not being updated/created on new versions

* Added Uninstall Manager in Misc Tools to manage 'Add/Remove Software' list

* Added option to scan the system at startup, then show results or quit if nothing found

[v1.99]

* Added O23 (NT Services) in light of newer trojans

* Integrated ADS Spy into Misc Tools section

* Added 'Action taken' to info in 'More info on this item'

[v1.98]

* Definitive support for Japanese/Chinese/Korean systems

* Added O20 (AppInit_DLLs) in light of newer trojans

* Added O21 (ShellServiceObjectDelayLoad, SSODL) in light of newer trojans

* Added O22 (SharedTaskScheduler) in light of newer trojans

* Backups of fixed items are now saved in separate folder

* HijackThis now checks if it was started from a temp folder

* Added a small process manager (Misc Tools section)

[v1.96]

* Lots of bugfixes and small enhancements! Among others:

* Fix for Japanese IE toolbars

* Fix for searchwww.com fake CLSID trick in IE toolbars and BHO's

* Attributes on Hosts file will now be restored when scanning/fixing/restoring it.

* Added several files to the LSP whitelist

* Fixed some issues with incorrectly re-encrypting data, making R0/R1 go undetected until a restart

* All sites in the Trusted Zone are now shown, with the exception of those on the nonstandard but safe domain list

[v1.95]

* Added a new regval to check for from Whazit hijack (Start Page_bak).

* Excluded IE logo change tweak from toolbar detection (BrandBitmap and SmBrandBitmap).

* New in logfile: Running processes at time of scan.

* Checkmarks for running StartupList with /full and /complete in HijackThis UI.

* New O19 method to check for Datanotary hijack of user stylesheet.

* Google.com IP added to whitelist for Hosts file check.

[v1.94]

* Fixed a bug in the Check for Updates function that could cause corrupt downloads on certain systems.

* Fixed a bug in enumeration of toolbars (Lop toolbars are now listed!).

* Added imon.dll, drwhook.dll and wspirda.dll to LSP safelist.

* Fixed a bug where DPF could not be deleted.

* Fixed a stupid bug in enumeration of autostarting shortcuts.

* Fixed info on Netscape 6/7 and Mozilla saying '%shitbrowser%' (oops).

* Fixed bug where logfile would not auto-open on systems that don't have .log filetype registered.

* Added support for backing up F0 and F1 items (d'oh!).

[v1.93]

* Added mclsp.dll (McAfee), WPS.DLL (Sygate Firewall), zklspr.dll (Zero Knowledge) and mxavlsp.dll (OnTrack) to LSP safelist.

* Fixed a bug in LSP routine for Win95.

* Made taborder nicer.

* Fixed a bug in backup/restore of IE plugins.

* Added UltimateSearch hijack in O17 method (I think).

* Fixed a bug with detecting/removing BHO's disabled by BHODemon.

* Also fixed a bug in StartupList (now version 1.52.1).

[v1.92]

* Fixed two stupid bugs in backup restore function.

* Added DiamondCS file to LSP files safelist.

* Added a few more items to the protocol safelist.

* Log is now opened immediately after saving.

* Removed rd.yahoo.com from NSBSD list (spammers are starting to use this, no doubt spyware authors will follow).

* Updated integrated StartupList to v1.52.

* In light of SpywareNuker/BPS Spyware Remover, any strings relevant to reverse-engineers are now encrypted.

* Rudimentary proxy support for the Check for Updates function.

[v1.91]

* Added rd.yahoo.com to the Nonstandard But Safe Domains list.

* Added 8 new protocols to the protocol check safelist, as well as showing the file that handles the protocol in the log (O18).

* Added listing of programs/links in Startup folders (O4).

* Fixed 'Check for Update' not detecting new versions.

[v1.9]

* Added check for Lop.com 'Domain' hijack (O17).

* Bugfix in URLSearchHook (R3) fix.

* Improved O1 (Hosts file) check.

* Rewrote code to delete BHO's, fixing a really nasty bug with orphaned BHO keys.

* Added AutoConfigURL and proxyserver checks (R1).

* IE Extensions (Button/Tools menuitem) in HKEY_CURRENT_USER are now also detected.

* Added check for extra protocols (O18).

[v1.81]

* Added 'ignore non-standard but safe domains' option.

* Improved Winsock LSP hijackers detection.

* Integrated StartupList updated to v1.4.

[v1.8]

* Fixed a few bugs.

* Adds detecting of free.aol.com in Trusted Zone.

* Adds checking of URLSearchHooks key, which should have only one value.

* Adds listing/deleting of Download Program Files.

* Integrated StartupList into the new 'Misc Tools' section of the Config screen!

[v1.71]

* Improves detecting of O6.

* Some internal changes/improvements.

[v1.7]

* Adds backup function! Yay!

* Added check for default URL prefix

* Added check for changing of IERESET.INF

* Added check for changing of Netscape/Mozilla homepage and default search engine.

[v1.61]

* Fixes Runtime Error when Hosts file is empty.

[v1.6]

* Added enumerating of MSIE plugins

* Added check for extra options in 'Advanced' tab of 'Internet Options'.

[v1.5]

* Adds 'Uninstall & Exit' and 'Check for update online' functions.

* Expands enumeration of autoloading Registry entries (now also scans for .vbs, .js, .dll, rundll32 and service)

[v1.4]

* Adds repairing of broken Internet access (aka Winsock or LSP fix) by New.Net/WebHancer

* A few bugfixes/enhancements

[v1.3]

* Adds detecting of extra MSIE context menu items

* Added detecting of extra 'Tools' menu items and extra buttons

* Added 'Confirm deleting/ignoring items' checkbox

[v1.2]

* Adds 'Ignorelist' and 'Info' functions

[v1.1]

* Supports BHO's, some default URL changes

[v1.0]

* Original release

A good thing to do after version updates is clear your Ignore list and re-add them, as the format of detected items sometimes changes.

Вторая копия:

Scan saved at 9:36:06 AM, on 4/27/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\Office Mouse\moffice.exe

C:\Program Files\Muiltmedia keyboard utility\KbdAp32A.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Office Mouse\MOUSE32A.DAT

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\JEVGENIY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [FLMK08KB] C:\Program Files\Muiltmedia keyboard utility\MMKEYBD.EXE

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Office Mouse\moffice.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -