|
Борьба со всплывающими окнами
Здравствуйте Все. Имею windows media edition , SP2, IE 7, firewall Kerio, антивирь avast, ad-aware. При включении IE выскакивают окна со страницами разных сайтов (знакомства, казино). Ни avast, ни ad-aware не помогают. Прошу помощи у специалистов. Поиском типа в Google воспользоваться мог 12 дней назад. Сейчас я 12 дней папа и времени за эти две недели хватило только чтобы напечатать эту тему (сын спит). Отнеситесь с пониманием. Спасибо.
|
Для уточнения проблемы. В опциях IE и Kerio стоит блокировать всплывающие окна.
|
Avast не панацея, как и остальные впрочем, но возможно другой антивирус/шпион найдет что-то у вас в системе, попробуйте. Можете еще попробовать неплохой плагин к IE - IE7pro, правда это не решение проблемы, а workaround
Покажите что у вас на вкладке Автозагрузка в msconfig |
И ещё: Internet Options > Programs > Manage Add-ons
|
REloadED
Цитата:
В принципе, если сидите на IE, можно воспользоваться присадкой к эксплореру Maxthon. Довольно функциональная штука. В нём есть опция, которая нормально работает, блокировки всплывающих окон, баннеров, рекламмы и тп. Её можно изменять под своё усмотрение, блокируя или разрешая что либо. Есть ещё Proxomitron. Очень сильная программа по фильтрации всевозможных баннеров, web-рекламы, всплывающих окон. Есть к нему готовые фильтры (можно изменять) для RU-сайтов, англоязычных и других. Цитата:
ЗЫ Поздравляем с рождением сына и есно что стал папой! Blast Наверно прекрасно знаешь, чем качать этот плуг, не лучше ли в таком случае скачать MyIE. Функций на порядок больше и весит немного. IMHO, |
Происходит все так: включаю комп, IE, при начале загрузки стартовой страницы (google) автоматом открывается окно (казино или adultfrienfinder.com.http). Я его закрываю и какое-то время порядок. История может повториться пару раз. Потом тишина. Закрываю IE, снова открываю – порядок. Все повторяется после перезапуска компа. После спящего режима проблема невозникает.
|
Снимки экрана с msconfig > autorun http://i171.photobucket.com/albums/u...REloadED/1.jpg http://i171.photobucket.com/albums/u...REloadED/2.jpg http://i171.photobucket.com/albums/u...REloadED/3.jpg Может я это сделал коряво, приношу свои извинения. Только сегодня научился делать снимки и скидывать в инет. Снимки manage add-ons http://i171.photobucket.com/albums/u...REloadED/4.jpg http://i171.photobucket.com/albums/u...REloadED/5.jpg http://i171.photobucket.com/albums/u...REloadED/6.jpg http://i171.photobucket.com/albums/u...REloadED/7.jpg http://i171.photobucket.com/albums/u...REloadED/8.jpg http://i171.photobucket.com/albums/u...REloadED/9.jpg http://i171.photobucket.com/albums/u...EloadED/10.jpg |
Cитуация изменилась. В связи с возникшей проблемой сканировал антивирусом при запуске системы (5 дней назад). Нашлись три вируса. Два 'обычных' трояна и один patcher в папке windows. После удаления из папки windows создал другую проблему. При старте системы и отключении выпадают предупреждения RTHDCPL.EXE (решил установкой обновления), и WINIDL~1 (буду разбираться). Сегодня установил IE7pro с настройками по умолчанию, перезагрузился, захожу на ваш сайт и сразу поверх новое окно “CiD:-windows internet explorer” . В окне написано ad blocked by Kerio. Закрываю это окно. Через время снова окно но уже отображается казино (www.partypoker.com). Где-то же сидит в компе зараза.
|
REloadED
Цитата:
Вообще меньше по "весёлым" сайтам лазить надо :) Цитата:
По скринам: на первом скрине снимай галки со строк 1, 2, 4(?), 5, 7, 8, 9, 10 |
Цитата:
(ntiMUI - это от NTI CD & DVD-Maker. Если программа установлена, хорошо, если нет - ntiMUI не будет женой Кесаря. :) ) Цитата:
Минус: запускатель окон может включаться только для запуска на секунду-другую. В таком случае полезен Process Monitor. Включите его (наблюдение по умолчанию начинается сразу; лучше запустить его, остановить монитор, очистить лог, и возобновить наблюдение в нужный момент), сразу же запустите IE и ждите, пока появится паразит. После этого сразу отключить наблюдение в ProcMon-е (та же кнопка), найти в списке первое появление IE, а далее просмотреть, кто куда обращался - как по файлам, так и в реестре. Это может быть трудоёмким, потому что задействованных dll-ов может быть много. Ещё простой метод, может пригодиться... В папке Виндоус есть папка Префетч. Очистите её полностью (трагедии не будет), включите ИЭ и посмотрите, что появится в папке. Если вам надоедает exe-файл (не ИЭ, конечно, а что-то неизвестное), его префетч-версия будет там создана. Это уже имя в руки. Но всё это - кустарщина. Проще всего - хороший детектор заразы. Или из лучших антивирусов, или, что предпочтительнее в данном случае, хороший антишпион. Ad-Aware, если не считать Ad-Watch, по части обнаружения не то что никуда не годится, но около того. Есть тесты, в конце концов. Spybot-Search&Destroy - ещё хуже (похоже, у него просто "чёрный лист"). Я не рекламный агент АВГ, но разбирать плохое и хорошее кое-как умею... Посоветовал бы AVG Anti-Spyware Free Edition (резидент-Guard включать не надо: тормозит прилично, да и только 30 дней - а с проверкой "левого" ключа у них дело поставлено хорошо - "лечение" бесперспективно.) |
REloadED Вообще желателен лог от HijackThis
Erekle Прежде чем кидать пальцы, посмотри внимательно, у меня 4 под вопросом. |
В префетч удалил все, открыл IE, и вот результат http://i171.photobucket.com/albums/u...dED/foto11.jpg. Окошко CiD оно и есть. Process Explorer и Process Monitor установил и пробую в них сориентироваться.
|
REloadED И всё-же, попробуй Spybot-Search&Destroy (ссылка выше). Это у тебя в реестре запись. Отлавливать А то, что пишет Erekle, необоснованно. И вообще я первый раз слышу такой отзыв о этой программе и напротив, AVG, пусть и не плохая, но это не то, что описАл Erekle.
И обязательно лог HijackThis |
yurfed! Только с Вашей помощью. Я здесь теряюсь.
Logfile of HijackThis v1.99.1 Scan saved at 10:54:28, on 8.4.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\WINDOWS\system32\rundll32.exe C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\DU Meter\DUMeter.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\mui\IEXPLORE.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Borland\InterBase\bin\ibguard.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Borland\InterBase\bin\ibserver.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Program Files\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7pro\IE7pro.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll (file missing) O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [coal phone] C:\DOCUME~1\Elena\APPLIC~1\WINDOW~1\beep spam.exe O4 - Global Startup: Bluetooth.lnk = ? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7pro\IE7pro.dll O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7pro\IE7pro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - (no file) O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - (no file) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - (no file) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1168964357125 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: DirectX Service (DirectBuvv) - Unknown owner - c:\windows\system32\directx.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe |
Насчёт программ ВСЁ подтверждаю... Ад-Аваре - старая гвардия и его слава тянет только по инерции. Есть тесты... Сравнительно старый (проводил не я, а Олег Зайцев), и сравнительно новый (автор - админ ВирусИнфо, кажется). Мне кажется, всё ясно. За последнее полугодие чудес с программой вроде не случалось. И есть самый наглядный отзыв о нём:
Цитата:
http://virusinfo.info/showpost.php?p=49982&postcount=4 http://www.word.co.il/computer/2006/...r_spy_sweeper/ - Цитата:
yurfed, я что-то не то сделал?.. Именно потому, что 4) под вопросом, - это просто "расшифровка" мотивации вашего вопроса для REloadED... Не знаю, :Супер - плохой жест?.. Хотел какой-то знак "отлично". REloadED, как хотели - молчу по логу. Если скажете, могу вообще не заходить на эту страницу. :) |
Вот что нашел Ad-aware http://i171.photobucket.com/albums/u...ED/foto111.jpg.
Spybot сейчас установлю. Ребята, спасибо вам огромное за ваши усилия. Буду продолжать искать заразу. Результаты буду сообщать. Проблема в принципе жить не мешает, но осадок остается. |
REloadED
Я сказал, что молчу, но выхожу из себя, когда вижу, как какая-то программа успешно детектирует куки. Плохой совет: выбросите эти куки, и понаблюдайте, будет снята проблема или нет. Хотя это может быть очень поучительным советом. :) Я тоже учился, и учёбу начал именно с Ад-Аваре и Спайбота. :) Полезно перед установкой Спайбота прочитать мой предыдущий пост. Потом вам решать - стоит ли держать этот неповоротливый продукт для того только, чтобы охранять стартовую страницу. Ад-Аваре стоит держать, но только с включенным модулем Ад-Вотч. И ещё - имейте в виду, что сейчас будет повторено то, что скажет yurfed - идите к С:\windows\system32\directx.exe Сохраните этот файл в архиве (на всякий случай), потом удалите его, и наблюдайте. Если проблема будет решена и все программы будут функционировать нормально, удалите и архив. (А вообще-то, надо иметь ввиду, что не всегда всякая зараза прописана в службах.) |
Обрати внимание
C:\Program Files\Internet Explorer\IEXPLORE.EXE так НЕ должно выглядеть. Тебя не наводит на мысли? Нехватает буквы r в конце имени файла. Всё, что в C:\Program Files\Internet Explorer это норма, но c:\progra~1\intern~1\iexplore.exe[/b] обрати внимание с маленьких букв C:\WINDOWS\mui\IEXPLORE.EXE это вообще кто такой? вот еще, случайно и позже заметил C:\WINDOWS\Explorer.EXE Было такое, но дай Бог памяти, как вылечил. выложи файл (архивом) здесь из C:\WINDOWS\mui\IEXPLORE.EXE или все в куче. |
Iexplore.exe (microsoft corporation) открывается интернет эксплорер.
C:\WINDOWS\Explorer.EXE открывается нормальный проводник. c:\progra~1\intern~1\iexplore.exe не знаю как это найти. С:\windows\system32\directx.exe не нашел. В system32 существует папка DIRECTX. Mui – это может быть multilanguage user interface. У меня английская ось с возможностью чешского интерфейса. Если на этом логе что-то будет видно, то очень уж знакомое название CiD стоит в startup http://i171.photobucket.com/albums/u...ED/foto444.jpg . И время возникновения проблемы приблизительно. Еще какой-то beep spam .exe в startup. http://i171.photobucket.com/albums/u...ED/foto222.jpg Здесь результат работы spybot http://i171.photobucket.com/albums/u...ED/foto555.jpg . Очень интересные находки. Все выше перечисленное уже удалено. Думаю, что правильно. |
REloadED А через поис Iexplore* пробовал?
C:\WINDOWS\Explorer.EXE открывается нормальный проводник. Его там по определению не должно быть. Это стартер червя который открывает заодно и нормальный Program Files\Internet Explorer\iexplore.exe По поводу Mui я тоже так подумал. Не вижу, говорил про AVZ или нет, попробуй это http://z-oleg.com/secur/avz/download.php Ставь на проверку таким образом. Возможно потребует до проверки или после - перезагрузки. (По поводу лечить-информировать-удалять - как пожелаешь. Обязательно включи в меню AVZGuard  Клик на картинке - увеличить Достаточно будет для быстроты проверить папки \WINDOWS \Documents and Settings \Program Files \System Volume Information ЗЫ А почему чешский WINDOWS. Вроде общаемся на русском? |
yurfed, IEXPLORE.EXE - но у меня тоже так.
REloadED c:\progra~1\intern~1\iexplore.exe не знаю как это найти. - тот же путь (если конечно там нет другого Program Files с модификацией имени, или другой папки Internet Explorer с модификацией), команда же - наверное "левая". Mui – это может быть multilanguage user interface. - он и есть, но yurfed же спрашивал: что за файл? С:\windows\system32\directx.exe не нашел. - показ скрытых и системных файлов включен? Можно и поиском. Documents and settings\Elena\ - легальный юзер? На 888.com этот юзер заходила сама? Согласие на установку чего-либо с этого сайта давалось? Beep spam и куки от этого. Если не легально, конечно удалить. Если сайт нужен, оставьте, но как раз по части казино... Exe-файл, то есть действующий, по Спайботу (как и в логе выше) только Directx. Куки и текстовый файл - смешно, хотя они помогли информативно. Что же до "изменения реестра", это просто то, что в настройках Центра безопасности установлено в опциях, что Центр будет извещать пользователя о наличии/неналичии на компе антивируса, статуса активности виндоусского файерволла и автоматических обновлений. Можно пофиксить и он не будет извещать :) (я глазам не поверил, но у меня значения 0-1 работают так). Windows\desktop.html - это интересно. Не должно быть такого. |
Чешский mui потому, что живу в Праге и купил лаптоп с предустановленной осью. Юзер Elena, моя жена, права админа. Инетом пользуемся активно, но на подозрительные сайты целенаправленно не лазим. Ну да. Подкачиваю ПО free, freeware. Я учусь обращению с компьютером и юзаю иногда проги с лекарством. А как известно, народные средства не всегда помогают в лучшую сторону. Но за год практики такая затянувшаяся проблема впервые. Хуже всего было с Brave Security. Из моих трех знакомых лишь я восстановил систему. Правда за три ночи. Им пришлось покупать лицензию.
Вот лог сканирования AVZ: Протокол антивирусной утилиты AVZ версии 4.24 Сканирование запущено в 9.4.2007 9:53:53 Загружена база: 101221 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.04.2007 13:01 Загружены микропрограммы эвристики: 369 Загружены цифровые подписи системных файлов: 58213 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[0013022A] Функция kernel32.dll:CreateProcessInternalA (100) перехвачена, метод APICodeHijack.JmpTo[00130342] Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[001303CE] Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[001302B6] Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[001304E6] Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[0013045A] Функция kernel32.dll:WriteProcessMemory (917) перехвачена, метод APICodeHijack.JmpTo[0013068A] Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[00130716] Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[001307A2] Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo[0013082E] Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[00130946] Функция ws2_32.dll:socket (23) перехвачена, метод APICodeHijack.JmpTo[001308BA] Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetConnectA (230) перехвачена, метод APICodeHijack.JmpTo[00130F4A] Функция wininet.dll:InternetConnectW (231) перехвачена, метод APICodeHijack.JmpTo[00130FD6] Функция wininet.dll:InternetOpenA (268) перехвачена, метод APICodeHijack.JmpTo[00130D1A] Функция wininet.dll:InternetOpenUrlA (269) перехвачена, метод APICodeHijack.JmpTo[00130E32] Функция wininet.dll:InternetOpenUrlW (270) перехвачена, метод APICodeHijack.JmpTo[00130EBE] Функция wininet.dll:InternetOpenW (271) перехвачена, метод APICodeHijack.JmpTo[00130DA6] Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Функция urlmon.dll:URLDownloadA (213) перехвачена, метод APICodeHijack.JmpTo[00130A5E] Функция urlmon.dll:URLDownloadToCacheFileA (214) перехвачена, метод APICodeHijack.JmpTo[00130C8E] Функция urlmon.dll:URLDownloadToCacheFileW (215) перехвачена, метод APICodeHijack.JmpTo[00130C02] Функция urlmon.dll:URLDownloadToFileA (216) перехвачена, метод APICodeHijack.JmpTo[00130B76] Функция urlmon.dll:URLDownloadToFileW (217) перехвачена, метод APICodeHijack.JmpTo[00130AEA] Функция urlmon.dll:URLDownloadW (218) перехвачена, метод APICodeHijack.JmpTo[001309D2] Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=0846E0) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055B6E0 KiST = 80503940 (284) Функция NtClose (19) перехвачена (805BAF64->EE020110), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtCreateFile (25) перехвачена (80577ED2->EE01F920), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtCreateKey (29) перехвачена (80622106->EE01BEE0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtCreatePagingFile (2D) перехвачена (805AA4C4->F724EB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtCreateProcess (2F) перехвачена (805CFAD4->EE01EF20), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtCreateProcessEx (30) перехвачена (805CFA1E->EE01ED90), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtCreateThread (35) перехвачена (805CF8BC->EE01F480), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtDeleteFile (3E) перехвачена (80575ABA->EE020190), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtDeleteKey (3F) перехвачена (80622596->EE01C320), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtDeleteValueKey (41) перехвачена (80622766->EE01C3C0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtEnumerateKey (47) перехвачена (80622946->F724F5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtEnumerateValueKey (49) перехвачена (80622BB0->F725B120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtLoadDriver (61) перехвачена (80582EAE->EDDC09A0), перехватчик C:\WINDOWS\system32\drivers\khips.sys Функция NtMapViewOfSection (6C) перехвачена (805B0A7E->EDDC0B30), перехватчик C:\WINDOWS\system32\drivers\khips.sys Функция NtOpenFile (74) перехвачена (80578FD0->EE01FBF0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtOpenKey (77) перехвачена (8062349C->EE01C140), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtQueryKey (A0) перехвачена (806237C0->F724F5FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtQueryValueKey (B1) перехвачена (806201C0->F725B076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtResumeThread (CE) перехвачена (805D31FE->EE01F510), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtSetInformationFile (E0) перехвачена (80579E38->EE01FF00), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtSetSystemPowerState (F1) перехвачена (80650E26->F725A550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys Функция NtSetValueKey (F7) перехвачена (806207C6->EE01C4D0), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Функция NtWriteFile (112) перехвачена (8057BCF6->EE01FE50), перехватчик C:\WINDOWS\system32\drivers\fwdrv.sys Проверено функций: 284, перехвачено: 23, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 61 Количество загруженных модулей: 525 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys Прямое чтение C:\WINDOWS\system32\drivers\sptd8253.sys Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache16614.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache40390.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache9557.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache55852.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache18098.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache12280.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache45922.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache32826.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache58470.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache31393.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache50275.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache30916.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache31036.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache661.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache28156.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache11433.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache51031.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\Local Settings\Temp\jar_cache54053.tmp Invalid file - not a PKZip file C:\Documents and Settings\Sergio\My Documents\Programms\archivs\sebook.zip Invalid file - not a PKZip file C:\Documents and Settings\Sergio\My Documents\наука\уроки Delphi\lesson4\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Banload.bsk ( 080E3529 08ACEE4E 0020D057 0023E175 390656) C:\DOCUME~1\Elena\LOCALS~1\Temp\avz_648_2.tmp Invalid file - not a PKZip file C:\DOCUME~1\Elena\LOCALS~1\Temp\avz_648_1.tmp Invalid file - not a PKZip file C:\Documents and Settings\Elena\My Documents\Языки\English.Platinum.2000.(rus)\IE5\VMX86_01.CAB/wfcclean.exe Ошибка распаковки C:\Documents and Settings\Elena\My Documents\Языки\English.Platinum.2000.(rus)\IE5\VMX86_02.CAB/javabase.cab Ошибка распаковки C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euroconverter\Java\CurrencyConverter.jar Invalid file - not a PKZip file C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euroconverter\Java\delphi_bas45.jar Invalid file - not a PKZip file C:\System Volume Information\_restore{25C2B2C6-CA02-4029-B683-A4B88CCE71B2}\RP176\A0065419.exe >>> подозрение на Trojan-Clicker.Win32.Delf.cw ( 08F436E1 073506AD 0021EB5D 0025964C 502272) 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Поведенческий анализ: 1. Реагирует на события: клавиатура C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Нейросеть: файл с вероятностью 98.66% похож на типовой перехватчик событий клавиатуры/мыши На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена Просканировано файлов: 126329, извлечено из архивов: 91116, найдено вредоносных программ 0 Сканирование завершено в 9.4.2007 10:08:20 Сканирование длилось 00:14:27 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Все выше перечисленное отправил в карантин. Вот что находит поиск по IEXPLORE.EXE http://i171.photobucket.com/albums/u...toiexplore.jpg . Вот что нашлось в реестре http://i171.photobucket.com/albums/u...adED/foto4.jpg Вот поиск по IEXPLORE : http://i171.photobucket.com/albums/u...D/Fotoiexp.jpg. Заметьте, что лаптоп купил в 2006 году в ноябре. Ось установилась при первом включении. На диске D установлена русская ось. Чешская лицензированная. Жалко на ней опыты проводить. |
CiD Help что был в \Elena\Application data\Wind...\ - на скрине виден только ключ реестра, а файла нет, что же удалили?
Beep Spam - от COAI (Cellular Operators Association of India), по мобильным, потому и посчитал легальным. В автозагрузке есть (это и по логу), в процессах нету. Запись в реестре пустяк, если файла физически нет - а вы уже удаляли, да? Но проблема осталась? Надо иметь в виду, что файл может быть закачан снова другим спрятавшимся файлом. \Windows\desktop.html - таким может быть. Каков его размер? Если не 0 байт, можно открыть Блокнотом и заглянуть внутрь. Если что-то подозрительное, - откройте страницу www.virustotal.com и загрузите этот файл туда. Немного ожидания и его проверят 20 антивирусов. directx.exe - как с его поиском (и показом скрытых файлов)? ИЭ у вас два на двух дисках - старый и новый, да? Вроде нормально (7-й ставился потом? Непонятно только, почему старый не был удален). То, что в процессах было 2 штуки из одной папки (я и не заметил, каюсь...) и с разными командами - конечно ненормально. Как с этим сейчас? Тот, что в МУИ - не уверен. Отошлите тоже на virustotal.com. (По этому ИЭ: что за файл? - скрина для этого недостаточно. Можно кликнуть по файлу правой кнопкой и выбрать Свойства. Там - второй раздел - можно посмотреть хотя бы производителя. Если применительно к этому файлу второго раздела - "версия" - вообще нет, то он явно нелегальный). C:\Documents and Settings\Sergio\My Documents\наука\уроки Delphi\lesson4\Project1.exe - это легальный файл? Сведения о нём, в частности: правый клик по нему - нет ли в меню пунктов "открыть с WinZIP". Что на первой странице - поиск в Process Explorer-е неизвестных процессов и dll по ним (нижняя панель) Инетом пользуемся активно, но на подозрительные сайты целенаправленно не лазим - речь не о "подозрительных", а о конкретном: сайтом 888.com пользовались (и пользуетесь)? - то есть, это практически легальная реклама? Если да, можно сказать, чтобы не искать вокруг да около впустую. |
REloadED Попробуй здесь Девушка, ник Солнце, очень популярно обьясняет. Только диву даёшься. Грамотно и как говорится - там и дурак поймёт. (Не принимай в свою сторону. Это обо всех нас :) ). Незнаю как сейчас, но год назад она раскладывала всё по пальцам. Кстати там упоминается и Windows\desktop.html. Инструкция по удалению подобной твари более чем достаточна.
|
Выкладываю некоторые логи сканирования программой AVZ
http://i171.photobucket.com/albums/u...oadED/avz3.jpg . http://i171.photobucket.com/albums/u...oadED/avz2.jpg . - что это может быть ? Directx.exe был удален spybot-ом. Хотя hijackthis показывает его, но говорит, что файл отсутствует. Делаю fix, снова сканирую и снова показывает. Сайтом 888 не пользовались. Узнали о нем, и других подобных, после выскакиваний. Project1.exe на virustotal показан свободным от нечестии. А вот о IEXPLORE.EXE, который в папке mui, virustotal очень ругался. Вот http://i171.photobucket.com/albums/u...adED/virie.jpg . Ко всем найденным версия была, только к нему нет. Ну, уже удалил. Но самая главная новость. После сканирований spybot и AVZ отправил в карантин без разбора все, что было найдено. После этого сегодня проблема не возникала. За целый день. Хотя IEXPLORE.EXE на проверку отправил только вечером. Поэтому хотел бы я подождать денек. Если можно, оставьте тему открытой до 12.04.2007. Я понаблюдаю за IE и сообщу, если проблема решена. Извините, если это offtop, но я хочу поделиться, что AVZ и SPYBOT мне очень понравились. Я так понимаю, что действуют они по-разному. Вопрос такой – сейчас стоит AVZ, дополнит ли его SPYBOT или наоборот войдет в конфликт ? |
Скажите спасибо yurfed-у, это он заметил три ИЭ.
Этот Beep.sys от MS. Directx.exe был удален spybot-ом. Хотя hijackthis показывает его - он показывает запись в реестре. Тем более если файла нет, удалите запись фиксом с hijackthis (надо отметить его). Карантин - АВЗ или Спайбот? В АВЗ как это проводили: пунктом меню Файл > Автокарантин, или с включением лечения + способ "копировать в карантин"? Если последнее: при опции лечить > удалить файл удаляется, но копия остаётся в карантине на всякий случай (если это копирование включено пользователем). Если с меню Файл > Автокарантин - файлы копируются туда, но остаются и на своих местах. Если эффект последовал после АВЗ, значит, тот удалил что-то и оно не находится на месте и не может действовать. Но что это, если не ИЭ с МУИ? Если Спайбот - значит, действовал Directx.exe. В таком случае жаль, что АВЗ его не засёк. desktop.html - ради предосторожности поищите и если есть, тоже проверьте на ВирусТотале. AVZ и SPYBOT. АВЗ не может "стоять" - у него нет постоянного монитора. Но как сканер/анализатор (а АВЗ и есть антивирусное средство для дополнительного исследования и восстановления системы, но не постоянный монитор/антивирус) - Спайботу, и не только, до него не то что далеко, и спины его не увидеть. Спайбот - как сканер, просто не годится. Для серьёзных случаев полагаться на него никак нельзя, но может помочь как доп. средство информации - если, вот, увидел заразу, пропущенную АВЗ. Я отказался от него, когда увидел, что он не даёт полезной мне информации. К примеру, выдавая список автозагрузки, сопровождал его информацией по каждому пункту. И практически по каждому файлу был богатый выбор: файл мог быть одновременно и легальным, и трояном А, и трояном Б, и С, и так далее. Таким образом, это напоминало просто "чёрный лист", в котором перечислены модификации одного и того же файла, когда-то ставшие известными, но не имеющее ничего общего моим реальным файлом. А нормальный сканер должен открывать файл и сверять его содержимое со своей базой вредных кодов. Ещё лучше - применять при этом эвристический анализ и алгоритмы. Это - как сканер, которого запускает пользователь для проверки диска или отдельных подозрительных файлов. Таких сканеров можно использовать много, как антивирусных, так и антитроянов/антиспай. Но у Спайбота главня "фишка" - защита критических точек в реестре. Но эти точки не очень многочисленны и защита далеко не железная. Таким образом: АВЗ запускается иногда - при вирусной опасности или после по следам, а также для регулярного сканирования диска. Скажем, раз в неделю и т. д. Спайбот иммунизирует/защищает настройки системы на минимальном уровне и от простых угроз. Мешать они друг другу не будут, но не следует делать что-то с АВЗ во время сканирования/проверки Спайботом и, особенно, наоборот. То же самое относится и к взаймодействию с имеющимся антивирусом. |
По снимку портов с АВЗ - Бэкдор.
У вас Аваст, да? Значит, нормально: http://www.avast.com/eng/webshield_issues.html |
Ну, ребята, спасибо. Проблема не возникает. Что конкретно помогло не знаю. Скорее всего Spybot и AVZ вместе. А в большей степени Вы. Directx.exe и desktop.html поиск не обнаруживает. Я их видел запечатанные в архиве Spybot. Потом удалил и архивы. Теперь поставлю SPYBOT в дополнение к AVZ и AVAST и firewall Kerio. (c перепугу что ли). Специалисты, слышал, вообще не пользуются подобными защитами, а я спокойно буду юзить инет с этой гвардией .
Еще раз Вам спасибо и до встречи т.к. имею еще вопросы, но уже в других темах. |
Что конкретно помогло не знаю.
Действующие лица: Directx.exe, которого нашли мы, и Спайбот без нашей помощи. Спайбот же запихал его, а также применяемый им desktop.html в архив до ручного удаления вами. И запускаемый Directx-ом ИЭ с папки МУИ, найденный yurfed. Рейтинг: :) Спайбот: 66.7 % [потенциально 100 %, если работал после АВЗ] АВЗ: 0 % [потенциально 100 %, если работал после Спайбота] yurfed: 100 % Erekle: 66.7 % Спайбота советовал не я, и советую, не оставаться только с надеждой на него. :) АВЗ - дело. Заходите ещё, только желаю вам, чтобы по общим вопросам. :) |
| Время: 13:06. |
Время: 13:06.
© OSzone.net 2001-