Проблема с virusprotectpro

[izverg]

В общем ситуация такая... Вчера вечером чуток посидели с приятелем - попили пивка... время было уже позднее и я пошел спать, а приятель остался сидеть в инете... видимо он палазил по "интересным" сайтам и в трее появилась дебильная иконка, которая моргает и выкидывает предупреждения (см. на рисунке). и установилась прога virus protect pro какой то там версии. Приятель так и не смог объяснить на***я он это поставил.


При нажатии на иконку любой кнопкой мыши открывается Эксплорер на ЭТОЙ странице.
Саму прогу я удалил... думая что и этот АЛЛЕРТ больше не появится, но не тут то было. Он как и прежде выскакивает каждые 5 минут и предлагает купить это Гэ...
Комп проверил на трояны и вирусы... естественно что то обнаружилось и благополучно уничтожилось. Перепроверил разными прогами - чисто! Но эта хрень сидит в трее и периодически ругается!
Идеи есть?

Добавлено через 1 минуту
ЗЫ: Винда ХП про корпоративка... без всяких СП и патчей

[Quatrix]

Логично было бы предположить, что это - отдельный модуль и висит он в автозагрузке.
Что-то грызут меня смутные сомнения, что его получится удалить, но вот из реестра подчистить вполне получится и даже надо бы. Ну а обломки, валяющиеся где-то в недрах каталогов - пусть и дальше валяются.

Как варианты решения проблемы мог бы предложить откат системы.

Вопрос - а ты систему сканил на наличие папки с таким названием - вполне может быть, что она сидит где-нить в Документ энд сеттингс.....

[izverg]

Смотрим вместе:

Если есть что лишнее на ВАШ/твой взгляд - говорим!
Вопрос: что помечено стрелками?
ЗЫ: Откат выключен! а последний слепок системы делался в феврале! Только лечение остается!

[Plesha]

Цитата: Сообщение от izverg Вопрос: что помечено стрелками?

Это куски панели управления от Nvidia, не трогай их они хорошие ))
А что такое isuspm?

[izverg]

Цитата: Сообщение от Plesha Это куски панели управления от Nvidia, не трогай их они хорошие )) А что такое isuspm?

поидее это "InstallShield Update Service Update Manager"

Добавлено через 52 минуты
Народ, выручайте...
Как убрать это долбаное системное напоминание... да и значок мне этот там не сдался!

[vovi]

Почитай , может пригодится - http://www.daxa.com.ua/vir.php?hnum=39
по твоей теме .

[gelezyka]

как в рекламе-"надо было ставить клифорд"
он же sp2

и еще прикольная фраза"Комп проверил на трояны и вирусы... ЕСТЕСТВЕННО что то обнаружилось "
это скорее неестественно
что на момент когда подсела эта зараза вобще антивируса небыло?

а вобще значок смахивает на центр обеспечения безопасности
или это какая то бяка под него косит

[Ali_Rashid]

Очень похоже, на системное сообщение. Залезь в то окно где ставятся обновления виндозы, там же кнопка на пуск - стоп фаер и спайвеер отключи все... и посмотри алярм будет еще.

[izverg]

Цитата: Сообщение от gelezyka как в рекламе-"надо было ставить клифорд" он же sp2

сколько без него живу - проблем не было!

Цитата: Сообщение от gelezyka и еще прикольная фраза"Комп проверил на трояны и вирусы... ЕСТЕСТВЕННО что то обнаружилось " это скорее неестественно

Еще раз убедился, что лучший фаервол и антивир - мозги в голове! Если их нет - ничто не поможет!

Цитата: Сообщение от gelezyka что на момент когда подсела эта зараза вобще антивируса небыло?

не было!

Цитата: Сообщение от gelezyka а вобще значок смахивает на центр обеспечения безопасности или это какая то бяка под него косит

Разве в винде без сп есть такое? если есть, то где он находится?

Цитата: Сообщение от Ali_Rashid Очень похоже, на системное сообщение. Залезь в то окно где ставятся обновления виндозы, там же кнопка на пуск - стоп фаер и спайвеер отключи все... и посмотри алярм будет еще.

подробнее... куда лезть... с утра че то туплю!

Добавлено через 7 минут

Цитата: Сообщение от vovi Почитай , может пригодится - http://www.daxa.com.ua/vir.php?hnum=39 по твоей теме .

а вот это похоже оно!... вечером отпишусь!

[fire4x]

Подозрительно смотрится isuspm. Попробуй рубануть его Диспетчером задач - может и получится - остальные процессы в норме.

Проверь в реестре:
RunOnce & RunOnceEx а также Run-ы в ветке Current User.

Добавлено через 7 минут
Хотя вот что меня сейчас смутило - папка Optional Components на твоём скрине - ИМХО кажись ей здесь не место. Посмотри что в ней. Если решишь её удалить или подправить не забудь снакчала сделать копию.

[vovi]

Зайди сюда : _http://virusinfo.info/forumdisplay.php?f=46 , я думаю тут решиш свою проблему , только надо зарегистрироватся .

[izverg]

Цитата: Сообщение от fire4x Подозрительно смотрится isuspm. Попробуй рубануть его Диспетчером задач - может и получится - остальные процессы в норме.

попробовал - ничего не изменилось!

Цитата: Сообщение от fire4x Проверь в реестре: RunOnce & RunOnceEx а также Run-ы в ветке Current User.

проверил - пусто...

Цитата: Сообщение от fire4x Хотя вот что меня сейчас смутило - папка Optional Components на твоём скрине - ИМХО кажись ей здесь не место. Посмотри что в ней. Если решишь её удалить или подправить не забудь снакчала сделать копию.

удалил - ничего не изменилось!

Цитата: Сообщение от vovi Почитай , может пригодится - http://www.daxa.com.ua/vir.php?hnum=39 по твоей теме .

вот все один в один... только имя так называемого антивсего другое...
сам вирь удален.... а иконку в трее с напоминанием не получается! где искать?

[vovi]

Пост выше читал ? Вот тут описан процес удаления похожей бяки _http://virusinfo.info/showthread.php?t=9309 .

[Nozorrog]

Качаем программу и учимся ею пользоваться - проще простого, кстати:
http://www.trendsecure.com/portal/en...hijackthis.php
Не стоит забывать, что автозагрузка плагинов, модулей и прочей хрени уже давно обошла банальную Автозагрузку, видимую в МСКОНФИГ!!!
Запускай ХайДжекЗис, скань систему и лог - в студию. Отловим мы твоего шпиона...
Удачи :-))

[izverg]

Ну поехали =)

Код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:10, on 26.07.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\rain\Rainlendar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O1 - Hosts: 194.67.34.138 l2authd.lineage2.com l2testauthd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\ODIGO\BIN\OdigoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU2970.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\rain\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5061/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hovanka.lan
O17 - HKLM\Software\..\Telephony: DomainName = hovanka.lan
O17 - HKLM\System\CCS\Services\Tcpip\..\{21ED3555-976E-4855-97D0-548FF0C6652B}: NameServer = 192.168.25.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC252C89-B35F-4182-A122-0BA046CB7D82}: NameServer = 81.222.182.204 83.102.139.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hovanka.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hovanka.lan
O22 - SharedTaskScheduler: enlodgement - {aa6d4f53-4c8d-4549-84d2-02d584acc4e9} - C:\WINDOWS\System32\wzhtjqo.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component 0: (no name) - http://dkg.pp.ru/nosmoke/Izverg.png

--
End of file - 6488 bytes

Добавлено через 6 минут
Собстно вот эти строки вызывают непонятки:

Цитата: O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O22 - SharedTaskScheduler: enlodgement - {aa6d4f53-4c8d-4549-84d2-02d584acc4e9} - C:\WINDOWS\System32\wzhtjqo.dll

Пробовал удалить - не получилось! чистил из реестра... - выход и вход заново в реестр - опять таже запись!

Добавлено через 10 минут

Цитата: Сообщение от vovi Пост выше читал ? Вот тут описан процес удаления похожей бяки _http://virusinfo.info/showthread.php?t=9309 .

Читал! а в ручную это можно удалить? неохота ставить АВЗ... тем более что я не знаю что это за прога =)