Удаление остатков антивируса
 

Прграммой Reg Organizer в ветке реестра HKLM\System\ControlSet\Enum\Root\ ....... обнаружены хвосты ранее удаленной программы. Но Organizer их не может удалить

GeorgNik, у вас какая-то проблема?
Удалить-то можно (в Regedit на разделе правой кнопкой мыши -> Разрешения, дать себе полный доступ), только надо понять, есть ли в этом смысл.

При загрузке WindowsXP на зкран вылетает картинка антивируса, задержка 1,5-2 минуты, и только потом происходит подгрузка каких-то файлов и система входит в нормальный режим. Все началось с Avira Antivir. Теперь тоже с NOD32. Начал чистить реестр, увидел Авиру в ветке HKLM\System\ControlSet\001\Enum\Root\ LegacyAntivir....но в этой программе их этой ветки не могу их удалить.

GeorgNik,

Покажи полную ветку. Так не понятно с чем ветка связанна. HKLM\System\ControlSet\Enum\Root\ .......
В автозагрузке ярлык Avira Antivir случайно не застрял?

---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Scheduler
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSCHEDULER\0000, "DeviceDesc"
После замены:
---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Guard
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSERVICE\0000, "DeviceDesc"
После замены:
---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Scheduler
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSCHEDULER\0000, "DeviceDesc"
После замены:
---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Guard
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSERVICE\0000, "DeviceDesc"
После замены:
---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Scheduler
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSCHEDULER\0000, "DeviceDesc"
После замены:
---------------------------------------------------------
Совпадение: Avira AntiVir Personal - Free Antivirus Guard
Где найдено: В значении параметра
Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSERVICE\0000, "DeviceDesc"
После замены:

Автозагрузка чиста. Почему именно из этой ветки не может удалить. Было пару записей в другой-там удалились. И почему именно антивирус подгружается значительно позднее?

GeorgNik, поищите в AutoRuns.

При наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями.

Спасибо Bodia 1. Хвосты в реестре удалил. Но 2-х минутная задержка до полной загрузки WindowsXP осталась. Внешне всё на мониторе OK. Но работать не дает. Через 2 минуту винт "проскрипел" догрузил файлы (какие?), панель задач обновилась и далее все как надо.

GeorgNik, Возможно это Antivirus Scheduler пытается обновить базу.
"Пуск-Выполнить". Впиши
Найди сервисы AVIRA (их три или четыре, в зависимости от версии Avira) и установи по правой кнопке "Свойства-Тип запуска-Отключено"

Avira выкорчевал. Стоит ESET NOD32. Службы Antivirus Scheduler, AntiVirService-отключены. Можно было бы посмотреть в Filemon, что за файлы подгружаются, но на этом этапе обрашение к программам нет.

GeorgNik, а выложи лог HijackThis, там и посмотрим что подгружается.

GeorgNik, отреагируйте как-нибудь на 6-й пост.

Petya V4sechkin. Я с "AutoRuns" впервые. Но пролистав сервисы и пр. "не вижу, что мне надо увидеть". В журнале ошибок было пару ошибок относящиеся к перезагрузке.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:37, on 03.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE
C:\Program Files\Arsenal Company\Сократ Персональный 4.1\spv.exe
C:\PROGRA~1\ARSENA~1\СОКРАТ~1.1\Spe.exe
C:\Temp\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=25040
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA3E305D-CBB9-41E2-9A8E-CF7C8F7A0B0F}: NameServer = 10.211.0.5 10.211.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Wmiisktp - Корпорация Майкрософт - (no file)

--
End of file - 8078 bytes

GeorgNik, пофикси для начала. Если безрезультатно, вернёшь обратно.

GeorgNik,
Судя по твоему посту (#13) - разбирайся с процессами и службами. Т.е. либо отключай либо в ручное. У тебя три процесса Acronisа, Mail.Ru, Total Commander, Сократ Персональный, Adobe и тд и тп. Ты что ими каждые 15 минут пользуешься? Зачем тебе постоянно антивирь и куча лишних служб?

Petya V4sechkin. В журнале просмотра событий регулярно повторяющаяся ошибка. Описания след:

1.Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7034
Дата: 04.09.2008
Время: 11:36:54
Пользователь: Н/Д
Компьютер: HOME-05FD873547
Описание:
Служба "ATK Keyboard Service" неожиданно прервана. Это произошло (раз): 1.

2.Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Дата: 04.09.2008
Время: 11:36:11
Пользователь: Н/Д
Компьютер: HOME-05FD873547
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
avgio
avipbb
ssmdrv

GeorgNik, по первой ошибке пофикси или переустанови.
По второй
avgio
avipbb
ssmdrv
Это неправильно удалённая AVIRA.

Пуск -> Выполнить -> cmd.exe ->
Дополнительно поищите в реестре.

А причина оказалась в отключении служб (какая подводила не понял), которую выполнил по
Точно также с задержкой в пару минут догружался NOD32 и система начинала работать нормально

GeorgNik, отключая службы через msconfig, можно вообще не загрузить систему потом. Информация по теме
Подробная информация по всем службам
[решено] Отключение "лишних" служб

Цитата:

Справка и поддержка (мы же хацкеры) »

Ну да, это называется ламеры :)

начитались журнала Хацкер и делают всякие вещи :)

Лучше прям рук и кривых извилин ничего нет.