Случилась неприятная штука
К ФФ (1.5.0.6 , остается и на  2.0.b) прицепился какой-то гад (даже не знаю, что это - шпион, троян или еще что-то). Делает он следующее. При запуске системы, он запускает самостоятельно firefox.exe и пытается открыть страницу uortex.no-ip.org по протоколу TCP:2000 Фаервол (Агнитум) определяет, что ФФ рвется в инет (отнего я и узнала, что этот no-ip существует). Если ему разрешить доступ в интернет, то он открывает просто пустую страницу маленького размера, которая повисает в левом верхнем углу экрана. Если ему запретить доступ в инет, то он продолжается туда рваться с интервалом в минуту (примерно), и Агнитум его все время может поймать. Но вот ни один антишпион его не видит. Если в процессах убить firefox.exe и потом просто перезапустить браузер, то этот no-ip.org исчезает. Точнее, он где-то остается, но браузер больше не пытается открыть страницу uortex.no-ip.org (по крайней мере, Агнитум его больше не определяет).

Предпринятые меры борьбы. Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер его не нашли. Тогда пришлось удалить ФФ, через реестр, найти все записи на firefox.exe  и просто их удалить. Но осталась одна запись, там было что-то вроде D:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1", которая отказалась удаляться (!), при попытке просмотреть ее в реестре, это тоже не удалось (машина сказала: "Доступ запрещен"). После перезагрузки системы эта запись из реестра исчезла. Но если переустановить ФФ, то все повторяется: ФФ опять запускается автоматически и пытается открыть стр. uortex.no-ip.org
Вот такая беда. Что делать, помогите! Мне очень нравится ФФ и не хочется от него отказываться из-за таких проблем. Тем более, все равно не ясно, продолжает ли этот гад свою деятельность, даже при отсутствии ФФ.
Спасибо заранее.
Поклонник ФФ.

Удали профиль (создав предварительно резервную копию) и переустанови Firefox.

Похоже на обычный троян. Думаю стоит поискать его процесс через ProcessExplorer.

Все удалял, все профили, что нашел, безжалостно. Что значит, поискать в ProcessExplorer. Есть у меня такая прога, но она показывает, что запущен ФФ, и все. А что мне с этого. Я его убиваю каждый раз при запуске системы. Это максимум, чего удалось добиться, а убить навсегда не получается. Вот такая беда.

Как может быть запущена программа, которую удалили??? Это означает, что она не удалена или есть еще (например 1.5.0.* - firefox.exe и 2.0b2 - firefox.exe, но первая устанавливается в папку с именем "Firefox", a вторая в папку Bon Echo - если это nightly, возможно и профилей несколько), но расположена где-то в другом месте.

Поклонник ФФ
Если только 1 процесс показывает, то у системы большие проблемы

Выложи скрин из ProcessExplorer, может что интересное будет...

Если WinXP, запусти программу msconfig (Пуск-Выполнить) и посмотри вкладку Автозагрузка. Шпион не в Firefox, а в системе.

Сейчас уже не могу сделать скриншот, потому что я удалила программу. ФФ сам запускается при старте, если он установлен. Если его нет, то в процессах ничего нет. Но если его снова установить, то все повторяется. Вот в чем проблема. Постараюсь выполнить совет ego. Потом напишу о результатах. Спасибо за отклик.

Нет, в автоматической загрузке ничего нет. Я ее обычно контролирую через Regorganizer, но и при просмотре msconfig, тоже ничего нет. Может, надо теперь опять поставить ФФ, чтобы этот гад себя проявил...

ПоклонникФФ
ФФ тут не причем. Что он стоит, что нет - трояну один фиг. Он все равно может в процессах висеть. Его то и надо отловить...

Доктор Веб встарину нифига и не находил. А щас даже не знаю.
Аваст, Акронис - это что за звери?
Нужен нормальный антивирь, типа касперского, нода, нортона. Это если вручную трояна отлавливать лень...
Червь лучше пропишется как служба, чем просто так в автозагрузку.

Если есть желание...
Kaspersky Anti-Virus 6.0 (Beta386)
Коды активации для бета-сборок старше 304-ой

Замечание за нарушение правил п. 4.9
Sergeys

Акронис не знаю,а Аваст зверь нормальный.
Тут вопрос спорный.

zabba
Не ну понятно. Это против шпионов или антивирь? Нужен то именно 2-й.

Для шпионов порекомендую SpyBot' ом проверить...

Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.

Короче, при переустановке ФФ2 бета, опять та же история. Вот что пишет Агнитум:
FIREFOX.EXE    TCP    локальное:любое    1396    uortex.no-ip.org    2000    Режим обучения    ИСХ LEARN     22:43:04    54 сек.    0 байт    0 байт    0 байт/с    ---

Если кто-нибудь подскажет, что с этой заразой делать, то будет большое спасибо.

может в реестре надо поискать uortex.no-ip.org
он же где то прописан , если не через третью прогу запускается. Ну и firefox.exe просмотреть все ключи

Нет в реестре, искала Regorganizer'ом Проверила SpyBot' ом - Тоже молчит, ничего не видит. Что еще можете предложить, други? Не переставлять же систему из-за такой мелочи (хотя не знаю, что эта "мелочь" творит на моей машине)...

Поклонник ФФ, а ты точно удаляла профиль пользователя? Это папка в C:\Documents and Settings\[user]\Application Data\Mozilla\Firefox\Profiles\
Попробуй всю папку Profiles удалить (на всякий случай, лучше ее предварительно куда-нибудь скопировать) и запустить FF.

Добавлено Пнд 11 Сен 2006 00:36:18 :
Хотя если после загрузки Лис сам запускается, то это вряд ли поможет...

А у тебя винда легальная? Если да, попробуй Defender
Можно еще вот это (проверки подленности не требует)
После установки обновления винды, запусти Диск где винда стоит:\WINDOWS\system32\MRT.exe
Средство удаления вредоносных программ
Правда гарантий нет ...
А вообще, я бы порекомендовал раздобыть NAV 2006

Еще есть Он-лайн проверки, например OneCare (проверки на подленность не требует, запускать тока в ИЕ, в других браузерах не работает, предсталяет собой чистильщик+исправляльщик реестра+антивир сканер)
Можно и он-лайн NAV запустить (опять таки в ИЕ)
У других производителей антивиров так же есть он-лайн сервисы, они бесплатны, чем черт не шутит, может поможет

А в <%windows dir%>/system32/drivers/etc/lmhosts случайно не забит этот uortex.no-ip.org как localhost?

Можно попробовать ещё в autoruns внимательно всё посмотреть (http://download.sysinternals.com/Files/Autoruns.zip), а в ProcessExplorer надо выставить чтоб процессы в виде дерева отображались, чтоб родительский процесс был виден.

PS:Странно, но по uortex.no-ip.org ничего нет

Вот именно. У меня подобное было. Если Файрфокс установлен браузером по умолчанию, причин может быть две.
1. Какой-то троян ломится в Сеть на этот адрес. Естественно, запускается Файрфокс. Но сам Файрфокс тут ни при чем, его запускает система в ответ на открытие адреса.
2. Какая-то программа (возможно, троян) стоит в автозагрузке. По какой-то причине - из-за удаления или сбоя - система нужный файл найти не может. Каждый раз она запускает поиск, и каждый раз автоматически находит ближайший файл в папке. В папке лежит файл-ссылка на сайт, что бывает у многих программ и библиотек. Запускается ссылка, и система запускает браузер по умолчанию. И в этом случае Файрфокс не виноват.
И решение: поискать в файлах строку с этим адресом, и поискать в autoruns несанкционированные строки.

Его можно поймать так:
скачать программку HijackThis (ссылки можно найти в яндексе, напр. http://softsearch.ru/programs/123-687-hijackthis-download.shtml), просканировать ей систему (лучше перегрузить систему, просканировать программой) и результат выложить хоть сюда. По этому логу и можно поймать засланца.

Когда ФФ запускается при старте системы, то с ним еще идет какой-то файл WS2HELP.dll!WahQueueUserApc+0x5c Может ли эта библиотеку быть источником проблем? Или так и должно быть?

Я не понимаю, как антивирусный сканер не может удалить злонамеренное ПО???? А комп в безопасном режиме загружала? И в этом же режиме проверки антивирусами запускала?
Кстати, а ФФ запускается значит при старте систем да? Есть такая простенькая утилитка Windows Startup Inspector
Иногда она может видеть гадости, которые хотят грузиться в системе, часто можно их удалить, если не получается, тогда кидаемя к более продвинутым вещам...

Добавлено Пнд 11 Сен 2006 16:36:30 :

Не все файлы доступны сканерам, например те которые в данный момент работают (хотя новейшие версии ведущих игроков антивирного рынка давно уже умеют все проверить!) или те которые связаны с Восстановлением системы, т.к. они находятся в папке System Volume Information доступа к которой нет. С работающими файлами можно справиться перезагрузившись в безопасном режиме (кажется F8 жмем перед загрузкой ОС и выбираем пункт, безопасный режим). Пейдж файлы можно чистить, контрольные точки удалить - через Строку Свойства контекстного меню "Мой компьютер"
На вкладке Восстановление системы ставим галку на Отключить восстановление системы, ждем пока будут удалены все файлы этой папки, а потом убираем галку, чтоб снова активировать восстановление, файлы подкачки регулируются в Дополнительно, параметры быстродействия, вкладка дополнительно, кнопка изменить, галка у Без файла подкачки, кнопка задать, потом после удаления этих файлов снова активируем первоначальные параметры.

Спасибо други за советы. Они помогли понять в чем дело. Al_H подсказал правильный механизм работы трояна: он запускает любой браузер по умолчанию. Если поставить по умолчанию Флок, то с системой запустится Флок, если Макстон, то запустится Макстон. На сайте Хакер.ру даже объясняют, как сделать такую гадость. Вот цитата:

"В Windows есть хорошая API-функция ShellExecute, она открывает файлы и запускает программы. Вызвать эту функцию - все равно, что дважды клацнуть по указнному файлу. Документы будут открываются в Word'е, файлы с расширением TXT - в блокноте, а EXE... они просто запускаться Это мы и используем - запустим браузер сами!
Допустим, мы хотим запустить Internet Explorer. Вызовем ShellExecute так:
ShellExecute(0, 'open', 'iexplore.exe', nil, nil, SW_HIDE);
Первый параметр - хендл окна-владельца открытого браузера. У нас 0 - владельца нет. Второй и третий параметры - операция (у нас "open" - т.е. открыть) и программа, к которой эта операция дожна быть применена. Четвертый параметр - PAnsiChar-строка с параметрами. Мы ничего не передаем, у нас там nil. Предпоследний, пятый параметр, тоже PAnsiChar-строка - директория по умолчанию. У нас опять-таки nil. И наконец последний, самый интересный параметр - константа, определяющая способ запуска программы, в которой будет открыт документ. Здесь мы передаем SW_HIDE, и наш браузер запускается в скрытом виде! Т.е., говоря языком VCL-форм в Delphi, ее главное окно имеет свойство Visible:=FALSE.
Поэтому когда мы сами откроем Internet Explorer по умолчанию, пользователь (или, как говорит дотошный читатель, "ламер") ничего не заметит. Увидеть и закрыть запущенный таким образом браузер можно только в менеджере задач, по Ctr+Alt+Del. Кстати, в Windows 2000/XP для этого понадобится зайти на вкладку "Процессы", потому что на вкладке "Приложения" iexplore.exe не видно
Сам троян может узнать, запустился ли браузер, проверив значение, которое возвратит ShellExecute. Если оно больше 32 - все о'кей."

Именно только в процессах и виден браузер, запускающийся сам собой.

По совету одного из участников, я воспользовалась программой HijachThis, которая мне записала следующее (это все, что работало после перезагрузки). На момент записи в качестве браузера по умолчанию стоял Макстон, он и присутствует в процессах:

Logfile of HijackThis v1.99.1
Scan saved at 22:27:52, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
D:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
D:\Program Files\Eset\nod32krn.exe
D:\Program Files\Agnitum\Outpost Firewall\outpost.exe
D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe
D:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
D:\Program Files\Maxthon LEM Pack\Maxthon.exe
D:\WINDOWS\ATK0100\HControl.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\SlickRun\sr.exe
D:\WINDOWS\ATK0100\ATKOSD.exe
D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\Documents and Settings\Zazi\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 163.28.146.2:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: eSnips - {ED1184DA-E57E-4480-99D0-A16809037F54} - D:\Program Files\eSnips\SnipBar.dll
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zTrashReg] d:\program files\trashreg\trashreg.exe /AUTO
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe"
O4 - Global Startup: F-Secure 2006.lnk = D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: &Block this popup - D:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Snip to my eSnips account - D:\Program Files\eSnips\res\SnipIt.htm
O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://D:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000
O8 - Extra context menu item: Добавить страницу в URL-Album - D:\Program Files\URL-Album\ua.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Добавить страницу в URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75053} - D:\Program Files\URL-Album\ua.htm (HKCU)
O9 - Extra button: (no name) - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O9 - Extra 'Tools' menuitem: Открыть URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{656C9327-BA4F-420A-BD94-9999F75FDFDC}: NameServer = 212.188.4.10 195.34.32.116
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll D:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: IntelWireless - D:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Корпорация Майкрософт - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: EvtEng - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Iomega App Services - Unknown owner - (no file)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: OwnershipProtocol - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

Теперь я знаю, как по какому механизму запускается мой троян, какие процессы запускаются вместе с Виндоуз, а также, что NOD32 и SpyBot ничего не находят. Вот таковы результаты моих поисков. Явно неутешительные, поскольку этот засланец так и шурует где-то в моей машине... Если у кого еще есть советы, что можно сделать, то пишите, все испробую и доложу, кому будет интересно знать.

Попробуй просканировать систему с помощью Panda ActiveScan или установить Platinum 2006(7) Internet Security и также проверить. Подобных проблем этот антивирь не допускал.

Проверила Пандой, ничего нет. Хотела обхитрить этого гада запретив автозагрузку ФФ через Spybot, но ничего не получилось. При перезагрузке ФФ все равно висит в процессах. Если намеренно поставить в  Spybot автозагрузку ФФ, то в процессах уже висит два ФФ, один реальный, а второй - запущенный трояном. Так что пока нет никаких результатов. Пойду искать помощи у создателей Панды, может, дадут какой совет. Если будут результаты, то напишу.

Вроде всё нормально, только вот странные такие строчки:
B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)

файл вроде убит, но записи остались.

И еще - а что такое?
O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe"
Может она при входе и запускает окно?
Попробуйте её в автозагрузке задисаблить и перегрузиться. Если ничего не поменяется, то её опять можно вернуть назад.

SlickRun это программа такая. Что-то вроде командной строки для чайников запускает разные программы. Я ею давно пользуюсь, это точно не от нее проблемы.

Только вот не поняла, что Вы этой записью хотели сказать?

Файл вируса не нашел пока ни один антивирь (Аваст, Нод, Панда). Панда нашла две куки, но это мелочи. Тем более проблема все равно пока остается.

Norton 2006 и Касперик попробуй

Надо опять запустить HijackThis, отметить в нем эти строчки и нажать на Fix.