[Severny]

c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
Вот видимая проблема, как еще заметил yurfed.
Уверен, что это вершина айсберга.
А прыгающие иконки и кривой рабочий стол -- это побочный эффект всего лишь.

[truly]

так что же мне делать?
с реестром я работать не умею. ну не получается.

опять запускать ...avz??отключив guard?

[yurfed]

truly

Цитата:

как и желание связываться с этой avz... лучше буду жить с таким экраном....

Ну -ну. Лучше свяэаться с вирусами. Чем дальше в лес, тем толще партизаны.
Грузись с загрузочного СД. Очень хорош в этом случае Hiren's Boot CD. С него и лечись.
В конце - концов, сделай бекап диска(если место есть), прежде перенеси свою музыку в другое место, отформатируйся, коли не можешь вылечится от заразы.

Цитата:

опять запускать ...avz??отключив guard?

Да!
Удали NOD и ставь каспера или доктора Веба
Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так?
Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) убери, это нужно только когда пользуешся.

Цитата:

а какие у меня проблемы? ну, пропало немножко скачанной из инета музыки. но это не беда (к тому же я вовсе не уверена, что это не мой склероз. может, сама выбросила и забыла....) ну, ярлыки скачут по столу... но может, это винды у меня так капризно себя ведут. ну, и какие-то мелкие претензии по поводу инета, которые я бы даже не решилась здесь опубликовать (это все моя мнительность, наверно)... вот экран - да. но я уже привыкла, почти. я просто поняла, повозившись немного, что лечением, в т. ч. компа, должны заниматься специалисты... иначе - чревато если не фатальным исходом любимой игрушки, то состоянием ее владелицы, близким к оному( исходу т. е. ). (см. выше)...

Ну это уже совсем упадническое настроение

Похоже у тебя сидит сетевой червь Nimda (читается как "Админ", только наоборот)

[yurfed]

Win32.HLLW.Nimda.57344

Очень опасный вирус-червь. Размножается под операционными системами WinNT/Win2k/Win9x. Способен поражать как серверы IIS (Internet Information Server) 4/5, так и клиентские станции.

При запуске инфицированного файла вирус первым делом проверяет наличие собственной активной копии в памяти компьютера и, если такая копия найдена, завершает работу. В противном случае вирус определяет, из какого файла он был активизирован и, если активация произошла из инфицированного вирусом файла (а не вирусного файла-дроппера, содержащего исключительно код вируса), то вирусом создается файл с именем, аналогичным запущенному с добавленным пробелом в конце, т.е.
TEST.EXE -> TEST .EXE
(мы это наблюдаем здесь
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe)
(или, если запуск был произведен с сетевого диска, вирус создает временный файл со случайным именем во временном каталоге), в который из собственных ресурсов (resources) инфицированного файла вирус извлекает содержимое оригинального файла, а затем запускает его.

Далее вирус создает свою копию во временном каталоге и запускает ее с параметром -dontrunold в командной строке, помечает запущенный файл как подлежащий удалению при следующей перезагрузке системы (через файл WININIT.INI в Win9x или вызовом соответствующей функции API в WinNT/2k) и с вероятностью 1/5 пытается удалить все "README*.EXE" файлы во временном каталоге (т.к. из-за используемой в размножении вируса ошибки в Internet Explorer вирусные копии в этих файлах будут накапливаться во временном каталоге), после чего первая вирусная копия завершает свою работу.

Запущенная копия создает еще один свой экземпляр со случайным именем во временном каталоге и пытается очистить собственную секцию ресурсов от возможно содержащегося там оригинального файла-родителя, но в системах Win9x системная реализация механизма работы с ресурсами отсутствует, поэтому данная попытка удачна только в OS WinNT/2k. После чего пытается определить из настроек TCP/IP в каждом из зарегистрированных сетевых интерфейсов адрес используемого DNS сервера и в случае успеха сохраняет адрес в собственном коде, записывая его непосредственно в ранее созданный временный вирусный файл. Далее вирус создает собственный файл-шаблон, состоящий из сообщения, содержащего специальным образом оформленный вирусный код в формате MIME, который будет в последствии использован для рассылке по E-mail. Далее вирус в зависимости о типа системы пытается внедрить свою копию в системный процесс EXPLORER (WinNT/2k) либо регистрирует свой процесс как сервисный (Win9x), исключая его из списка задач. После чего входит в основной цикл размножения.

Вирус ожидает 30 секунд после чего получает имя хост-машины, его IP-адрес, в системе WinNT/2k запускает в отдельной нити (thread) собственную реализацию TFTP сервера (порт 69/udp), которая при запросе будет отдавать содержимое вирусного файла клиентской стороне и в зависимости от системы порождает 60(рабочая станция) или 200(сервер) нитей для сканирования и атак на уязвимые IIS серверы (в системах Win9x попытки данной атаки вирусом не предпринимаются).

Для атаки на IIS серверы вирус использует уязвимость "Microsoft IIS CGI Filename Decode Error Vulnerability" (май 2001), уязвимость "Microsoft IIS Unicode Bug" (декабрь 2000), а также пытается использовать последствия компрометации серверов червями CodeRedII и sadmind/IIS. В случае успеха атаки на удаленном сервере инициируется TFTP-сессия с атакующим хостом, вирусом передается собственный код, который копируется в файл ADMIN.DLL, запускается на выполнение; в свою очередь производит собственную копию в файл %windows%mmc.exe и перезапускает его.

Далее работающий в системе Win9x вирус создает свою копии в %WINDOWS%LOAD.EXE и %WINDOWS%RICHED20.DLL с атрибутами read-only, hidden и system и записывает вызов LOAD.EXE в параметр Shell файла SYSTEM.INI, - таким образом, вирус будет активизироваться при каждой перезагрузке.
C:\WINDOWS\system32\RICHED20.dll --> тоже имеем в логе


Под WinNT/2k вирус проходит все подкаталоги до четвертого уровня вложенности на всех дисках, ищет файлы DEFAULT, INDEX, MAIN и с определенной вероятностью файл readme с расширениями .ASP, .HTM, .HTML, при их нахождении копирует ранее созданный вирусный MIME-шаблон в файл README.EML в найденном каталоге и замещает содержимое найденных файлов на небольшой скрипт, при попытке просмотра которого в Web-браузере, в новом окне будет открыт вирусный файл README.EML. Таким образом, вирусом удаляются главные страницы на Web сервере, а при попытке захода пользователя на такую страницу в случае, если его Internet Explorer уязвим к используемой вирусом "дыре" в безопасности, на компьютере пользователя автоматически будет активизирован вирус (см. ниже).

Далее (только под WinNT/2k) вирус получает в реестре список зарегистрированных приложений и пытается инфицировать все принадлежащие им *.EXE файлы. Инфицирование производится вирусом перемещением оригинального содержимого файла в собственную секцию ресурсов и корректировку отображаемой вирусной иконки (icon) на принадлежащую оригинальному файлу.

После этого вирус производит поиск и инфицирование файлов на зарегистрированных доступных сетевых ресурсах (WinNT/2k) или открывает локальные диски для полного беспарольного сетевого доступа (Win9x). Проход осуществляется по всем каталогам: - инфицируются все *.EXE файлы (кроме WINZIP32.EXE)
- если в каталоге найден файл с расширением .EML, .NWS или .DOC, то в этом каталоге вирусом создается собственная копия с именем RICHED20.DLL. Библиотека RICHED20.DLL используется для работы с Reach Edit Controls многими приложениями (в том числе Outlook и MS Office). Таким образом, при попытке открытия файла в каталоге будет запущен Outlook или MS Office, который в процессе своей инициализации попытается загрузить (если она уже не загружена) библиотеку RICHED20.DLL. Так как система сначала пытается искать загружаемые библиотеки в текущем каталоге, то будет загружена не оригинальная библиотека, а вирусная копия (!).
также при нахождении .EML или .NWS файлов вирус с определенной вероятностью может создать в этом каталоге свою копию в виде MIME-шаблона с именем одного из файлов в папке My Documents (обычно) и расширением EML или NWS.

Далее вирус пытается определить, используя функции MAPI, адрес использующегося на хосте SMTP сервера и список адресов из адресной книги и кэша HTML файлов, и разослать по ним свои копии. Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла - 57344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть бОльшим. Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html (Outlook, Outlook Express), прикрепленный файл был бы запущен автоматически. Данная уязвимость - "Incorrect MIME header" была обнаружена в Internet Explorer в конце марта 2001 года.

После этого вирус выключает отображения скрытых файлов и расширений имен файлов в настройках Explorer и в системе WinNT/2k разрешает аккаунт Guest, добавляет пользователя Guest в группу Administrators и присваивает ему пустой пароль, затем открывая для полного сетевого доступа все локальные диски.

Далее вирус перебирает ip-адреса в случайном диапазоне и пытается получить доступ к доступным на запись сетевым ресурсам, где пытается распространить собственные копии, как это было описано выше.

После этих манипуляций вирус ожидает около 3 минут, после чего весь цикл повторяется.

Данный вирус ввиду большого спектра использованных для атаки и распространения уязвимостей представляет собой большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому мы настоятельно рекомендуем установить последние обновления безопасности OS Windows.

Кумулятивный патч для IIS серверов:

http://www.microsoft.com/technet/sec...n/MS01-044.asp

Патч от уязвимости почтовых клиентов "Incorrect MIME header":
http://www.microsoft.com/technet/sec...n/MS01-020.asp

НО МОЖЕТ И ОШИБАЮСЬ.

[truly]

yurfed

Цитата:

Hiren's Boot CD. С него и лечись.

а как лечиться?

Цитата:

В конце - концов, сделай бекап диска(если место есть), прежде перенеси свою музыку в другое место, отформатируйся, коли не можешь вылечится от заразы.

Вы про про жесткий диск? и как делать этот самый бекап? и где должно быть место? отформатировать - значит, сотрутся все песни? и не только они?:)

Цитата:

Удали NOD и ставь каспера или доктора Веба

каспера сейчас скачиваю. а вот доктор веб ничего не обнаружил, о чем я уже писала.

Цитата:

Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так?

не знаю. комп был куплен с предустановленной XP. для меня все эти драйверы - темный лес...

Цитата:

Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) убери, это нужно только когда пользуешся.

это в реестре опять?

как я поняла, этот червь для меня опасен только тем, что откроет доступ ко всем моим документам из сети, да? (насчет пропажи главных страниц на сайтах ничего не замечала..)

Цитата:

Кумулятивный патч для IIS серверов: http://www.microsoft.com/technet/se...in/MS01-044.asp Патч от уязвимости почтовых клиентов "Incorrect MIME header": http://www.microsoft.com/technet/se...in/MS01-020.asp

а с этим что делать? кнопочки download it now!:) там вроде нет...

truly

Цитата:

Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так? не знаю. комп был куплен с предустановленной XP. для меня все эти драйверы - темный лес...

ой!:) это Вы имели в виду - надо было что-то в самой avz включить?...:)

[truly]

вот. и зачем было нод удалять? мне только потом пришло в голову, что он у меня обновлялся регулярно(неужели легальный?:)), а условно-бесплатным каспером этого ждать не приходится... вот и осталась девушка без антивируса... благодаря своей глупости. и поделом! однако, прошу прощения за лирическое отступление. вот отчет каспера:

обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asm.exe//Pex
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asmps.dll
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asm.exe//Pex
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asmps.dll
обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab

[yurfed]

truly Если Ассемблером не пользуешся, то всё приведёное выше удаляй. Вычисти все временные папки, включая Temporary Internet Files.
обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe Что это такое, я не знаю. Если ты это не используешь, удаляй. Не обязательно вирус. По названию похоже на скачивалку.
Совсем непонятно, ты пользуешь Оперу? Тогда откуда весь этот хлам расписаный выше.

[truly]

все удалила. (а 2 - вылечены, adware которые).

правда, каспер надоел уже своими требованиями "активировать приложение":). да и с мэйл-агентом теперь проблемы - не сразу запускается, пишет, что, возможно, сетевой экран не пускает avp.exe.

а использую - оперу, да.

а почему экран мой не встал на место?!:)

[yurfed]

truly

Цитата:

а почему экран мой не встал на место?!:

) Это железные проблемы. Попробуй смени частоту развёртки с 60 на 70, 75 85 и тд.
ЗЫ Говорить о том что и не видели. Распиши своё железо.

[truly]

про железо написать смогу вряд ли, комп б/у. марку монитора?

а частоту развертки как менять?

а нет. я туда уже заходила (не помню как, правда). там стоит максимальная - 75. а это возможно, что "железные проблемы" не проявляются в винампе и при загрузке, когда весь экран заполнен заставкой производителя?