Помощь в лечении систем от нечисти

**rrrr** · 29 августа, 2006

Вот тема с ответами на ваши вопросы, касающиеся активности интернета:

http://www.softboard.ru/index.php?showtopic=38279

По поводу svchost.exe - 6 штук это нормально. Как нормально и то, что компьютер при завершении любого из них собирается перегрузиться.

Другое дело, что в этот процесс может внедриться какая-либо вредоносная библиотека, использующая руткит для своей маскировки. И хоть это в вашем случае и маловероятно, но всё-таки попробуйте сделать сканирование с помощью AVZ.

вопрос по поводу aps. один ip сканит порт, прога издает звуки что атакуют, но при этом никаких действий не предлагает предпринять. как заблокировать открытый порт, через который сканят?

**djmix777** · 30 августа, 2006

привет всем! нужна инфа более подробная чем есть на viruslist.com

про вирус Уmail-Worm.Win32.Rays

там написаны что приходит по почте и всё так о нём где прописывается, но как удалять ничего про это.

спасибо!

**Saule** · 30 августа, 2006

:) дооктор :) дооктор Юлия помогите. А не могли бы вы ещё разочек посмотреть нет ли шпионов. дело в том что сидя в форуме ничего не качая ,отключ.все обновления кроме Outpostа. , резко начинает жрать мегабайты(GPRS-соединение) , как заметил после 2ух ночи. Каспер работает, но обновение вручную. сегодня изза этого инсталировал ещё Spybot S&D и ZoneAlarm, a Outpost пишет что установлены типа лишние файерволы- не будут ли они конфликтовать. Пока работает Outpost, те отключил. браузер FLOCK.

Устанавливать два файрвола на один компьютер я бы очень не советовала, т.к. это не только снизит качество и корректность работы обоих, но и может привести просто к непредсказуемым последствиям (начиная с синего экрана и заканчивая полном отказы системы).

В логе ничего подозрительного не вижу.

Попробуй еще сделать сканирование с помощью AVZ.

И ещё лазил в реестре и обнаружил антивирусы и файерволы;
откуда они могли взяться, Эти антивирусы точно не качал. Заранее благодарен :) покапока ;) !

Обнаружил где именно (желательно конкретные ключи)?

И как давно ты живешь в своей системе? Где, а также кем она у тебя устанавливалась?

Не могло быть так, что когда-то сам собирался что-нибудь из этого устанавливать (либо кто-то еще, у кого есть доступ к компьютеру; при этом совсем не обязательно их нужно было качать, эти программы достаточно часто встречаются на различных компакт-дисках, прилагаемых к комп. журналам и т.д.), но потом передумал, либо деинсталлировал?

**Saule** · 30 августа, 2006

Saule: Привет, знакомая задала мне вопрос, у нее у мужа каждый день в 10 вечера вылетает сетевая игра...
чуть позже ей outpost при сканировании ситемы выдал троян Malware, точнее сказать не могу, т.к. ком не мой, а его уже нет там "вроде"...

хотя "вечерние" ошибки продолжаются...

Само название Malware означает не более чем "вредоносная программа", поэтому ни о чем конкретном не говорит + у Оutpost в этом плане встречается слишком много ложных срабатываний.

Хотя, судя по логу, вполне возможно это всего лишь был Adware-модуль, встроенный в бесплатную версию программы FlashGet, остатки которого всё еще в системе присутствуют, и во избежание лишнего мусора их можно пофиксить с помощью HijackThis:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Но на игрушку это навряд ли как-либо могло повлиять.

Она вылетает каким именно образом? Просто на какое-то время намертво зависает? Или же совсем выключается? Выдается ли при этом какое-нибудь системное сообщение?

И что за игра? Не может ли в этом быть виноват её сервер?

Как давно это началось и не было ли в системе перед этим каких-либо изменений?

Если для игры требуется что-либо установить на компьютер, то обязательно попробуйте обновить все компоненты (переустановить их).

**pinmix** · 30 августа, 2006

Вылетает с сервера, т.е. рвется связь с сервером, я тоже грешил на сервер, на рестарты или что-то в этом роде, но у других игроков - все ок...

Игра - ИЛ2

По переустановке - посоветую, и попробую выяснить версию игрушки, может патч к ней есть какой-то...

А ключ - пофиксим, спасибо! ;)

**Saule** · 30 августа, 2006

Как снести BackDoor.Win32.Delf.wx?
Как он прописывается в системе, и под какую из системных программ косит?

Как настроить Internet Explorer?

Помогите !!!!!!!!!!! ;)

Если речь идет о Касперском (в смысле нашел этот вирус антивирус Касперского), то попробуй сначала загрузить к нему расширенные базы:

http://www.kaspersky.ru/extraavupdates

Если не поможет, то скачайте, пожалуйста, HijackThis, распакуйте и запустите. Затем нажмите на кнопку "Do a systemscan and save a logfile", и когда перед вами появиться текстовый файл с логом программы, просто скопируйте его содержимое в своё сообщение.

вопрос по поводу aps. один ip сканит порт, прога издает звуки что атакуют, но при этом никаких действий не предлагает предпринять. как заблокировать открытый порт, через который сканят?

Вообще-то APS и не предполагает каких-либо рекомендуемых действий, т.к. эта программа предназначена лишь для обнаружения самого факта подключения к портам вашей системы, а не для какой-либо их защиты.

Попробуйте почитать назначение APS на оф.сайте.

Для защиты и такой блокировки нужен уже файрвол.

**Saule** · 30 августа, 2006

привет всем! нужна инфа более подробная чем есть на viruslist.com
про вирус Уmail-Worm.Win32.Rays

там написаны что приходит по почте и всё так о нём где прописывается, но как удалять ничего про это.

Вот, например:

http://www.symantec.com/security_response/...-99&tabid=3

А если вкрадце, то самое главное удалить его из автозагрузки (Start > Run; вписать msconfig; нажать ОК; в последнем разделе StartUp напротив нужного убрать галочку; сохранить изменения - Apply и ОК; либо через реестр, ключ HKLM\Software\Microsoft\Windows\CurrentVersion\Run):

параметр RavTimXP (название исполняемого файла может быть произвольным).

Перезагрузите компьютер и сделайте полное сканирование системы своим антивирусом, удаляя то, что будет детектироваться им как Win32.Rays + файл comment.htt (это скрипт, запускающий вирус; у Касперского: Trojan.VBS.Starter.a).

Если у вас нет антивируса, скачайте бесплатный DrWeb - Cureit.

А также при необходимости восстановите настройки проводника Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"Hidden" - заменить 0 на 1 (если хотите, чтобы скрытые и систмные файлы/папки были доступны)

"HideFileExt" - заменить 1 на 0 (если хотите, чтобы проводник отображал расширение файлов)

И:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

"FullPath" - заменить 1 на 0 (изменяется червем для возможности создания своих копий в открываемых вами каталогах)

--------------

Если что-то всё равно не понятно, то спрашивайте.

**pinmix** · 30 августа, 2006

Так, патчей к игрушке я не нашел...

Но с "автором проблеммы" пообщался, цитирую ответ:

ну сообщения в этой игре(ИЛ-2) стандартные, сервак начисляет штраф, и в конце концов типа вы превысили лимит штрафных очков и идите на...

Начинает скакать пинг, как буд-то канал забивается, ну типа примерно как если бы какая нибудь прога начала обновления себе качать, а на многих серваках при величине пинга выше 400-600 просто кикает(ограничение такое стоит).

началось недели полторы-две, изменений не было

**Rasim** · 30 августа, 2006

привет всем!!!

Обнаружил где именно (желательно конкретные ключи)?

Здравствуй Юлия. Обнаружил вот где: HKLM\Software\Microsoft\Securitu Center\Monutoring\+ . Какие можно удалять? на данный момент работают Каспер. и Outpost. Спасибо.

**ВоваЛЕНИН** · 30 августа, 2006

Saule: Здравствуйте Юлия.Всё таки спрошу,что с этим делать.Как новичёк нахватался вирусов за первые полтора месяца(на компе стоял старый доктор веб без обновлений),лечился касперским,сейчас стоит нод 32.С фаерволом от агнитума.При входе на диск С(с прогами и виндой) выскакивает ошибка и окошко закрывается.Отчёт об ошибке отсылает на майкрософт ...локал-сеттинг,темпы.Вот что показывает хайджек:

Logfile of HijackThis v1.99.1

Scan saved at 1:45:18, on 31.08.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TMeter\TrafSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Online Wallpaper Changer\OnlineWallpaper.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\Avant Browser\avant.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Documents and Settings\user\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {F8F17E3E-4F91-43DF-AC8D-18D270EF497F} - C:\Program Files\Adobe\medonu.dll (file missing)

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRad1.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe

O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f

O4 - HKLM\..\Run: [NetStart] C:\WINDOWS\system32\NETSTART\svchost.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [htp] C:\Program Files\Internet Explorer\htp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [PCPitstop Optimize Registration Reminder] C:\Program Files\PCPitstop\Optimize\Reminder.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [TrafMonitor] C:\Program Files\TMeter\trafmonitor.exe /logon /admin

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKCU\..\Run: [AMP Agent] C:\Program Files\Common Files\ARS Company\Agent\Agent.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: naviscope.lnk = C:\Program Files\Naviscope\naviscope.exe

O4 - Startup: Online Wallpaper.lnk = C:\Program Files\Online Wallpaper Changer\OnlineWallpaper.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Open All Links in This Page... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Open In New Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm

O9 - Extra button: (no name) - DctMapping - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl178bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1144877125875

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1144882235078

O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{C5D8BB66-F1C2-4FB4-A32B-A007F8FA9A02}: NameServer = 193.111.156.4 193.111.156.6

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: TMeter 6.5.390 (TrafSvc) - Unknown owner - C:\Program Files\TMeter\TrafSvc.exe

Что посоветуете?

Кстати,офис(эксель) по глупости выкинул(запарки с перезаполненным диском С были страшные,а на ваш сайт толькот недавно попал),сейчас стоит ООо Офис(альтернатива),говорят ничего штука,по объёму места меньше занимает,а по функциональности не хуже.Вот.Надеюсь эту проблему можно победить

**Saule** · 3 сентября, 2006

Как новичёк нахватался вирусов за первые полтора месяца(на компе стоял старый доктор веб без обновлений),лечился касперским,сейчас стоит нод 32.С фаерволом от агнитума.При входе на диск С(с прогами и виндой) выскакивает ошибка и окошко закрывается.Отчёт об ошибке отсылает на майкрософт ...локал-сеттинг,темпы.

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/

O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f

O4 - HKLM\..\Run: [NetStart] C:\WINDOWS\system32\NETSTART\svchost.exe

O4 - HKLM\..\Run: [htp] C:\Program Files\Internet Explorer\htp.exe

O4 - HKCU\..\Run: [AMP Agent] C:\Program Files\Common Files\ARS Company\Agent\Agent.exe

O4 - Startup: PowerReg Scheduler.exe

O9 - Extra button: (no name) - DctMapping - (no file)

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl178bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

Затем на кнопку "Fix Checked" (браузер или браузера при этом нужно закрыть).

2. Идем:

Start > Run (Пуск > Выполнить)

Вписываем sc delete PowerManager

Нажимаем ОК.

3. Перезагружаем компьютер. После чего, если будет желание, делаем новый лог HijackThis, показываем и в двух словах рассказываем о том, как обстоят дела со входом на диск С.

**Saule** · 3 сентября, 2006

Здравствуй Юлия. Обнаружил вот где: HKLM\Software\Microsoft\Securitu Center\Monutoring\+ . Какие можно удалять? на данный момент работают Каспер. и Outpost. Спасибо.

В этом ключе они действительно должны находиться, поэтому удалять ничего оттуда не нужно (если кратко, то Security Center в Windows (Control Panel > Security Center) изначально запрограммирован на автоматическое определение некоторых программ для того, чтобы лишний раз не выдавать пользователям предупреждений о том, что в их системе нет активного антивируса и файрвола).

**maska** · 4 сентября, 2006

Saule:

У меня вопрос по System Mechanik 6.Как настроить работу утелит автоматически ,или это заложенно в самой программе?

Спасибо!

**Saule** · 5 сентября, 2006

У меня вопрос по System Mechanik 6.Как настроить работу утелит автоматически ,или это заложенно в самой программе?
Спасибо! :)

Извини, но ты немного не по адресу. Попробуй задать свой вопрос в этом топике:

http://www.softboard.ru/index.php?showtopic=20144

**maska** · 5 сентября, 2006

Saule:

Спасибо и извини.

**rrrr** · 5 сентября, 2006

вопрос по программе aps . Что это за открытые порты с надписями трояны? они меня смущают. Некоторые это может экраны против червей. Остальные которые смущают особенно я подчеркнул.

**Saule** · 5 сентября, 2006

вопрос по программе aps . Что это за открытые порты с надписями трояны? они меня смущают. Некоторые это может экраны против червей. Остальные которые смущают особенно я подчеркнул.

Этот список портов вместе с их описанием (описание = приложениями/названия троянских программ, использующих эти порты по умолчанию) находится "внутри" APS, и он никак не зависит от состояния открытости/закрытости портов вашей системы.

Вы можете легко отредактировать этот список (если он вас смущает). Для этого нужно зайти в папку программы и открыть файл аps.xml.

Порты TCP:

Порты UDP:

Комментарий к каждому конкретному порту, выводимый в интерфейс APS, идет после знаков Cmt=, и заключается в спец. ковычки ' '

Что же касается статусов к этим портам:

"

Ведется наблюдение

" означает, что APS ведет наблюдение за этим портом (и в случае атаки вам о ней сообщит).

"

Порт занят другой программой

" означает, что порт в данный момент используется другой программой (запущенной раньше), и поэтому APS не может вести за ним наблюдение.

"

Тревога...

" означает, что APS была обнаружена попытка подключения по данному порту.

"

Наблюдение запрещено

" означает, что прослушивание порта на данный момент запрещено пользователем через настройки программы:

И поэтому наблюдение APS за ним не ведется.

Список портов, прослушивание которых запрещено можно найти в файле программы

aps_dp.xml

.

P.S. Буду надеяться, что объяснения более менее вам понятны. Так как боюсь, что вы всё-таки не совсем понимаете назначение этой программы, из-за чего немного приувеличиваете её возможности.

**pinmix** · 6 сентября, 2006

Saule: подскажи пожалуйста что это за перехватчики (из лога AVZ)

1. Поиск RootKit и программ, перехватывающих функции API1.1 Поискперехватчиков API, работающих в UserModeАнализ kernel32.dll, таблица экспорта найдена в секции .textАнализ ntdll.dll, таблица экспорта найдена в секции .textАнализ user32.dll, таблица экспорта найдена в секции .textАнализ advapi32.dll, таблица экспорта найдена в секции .textАнализ ws2_32.dll, таблица экспорта найдена в секции .textАнализ wininet.dll, таблица экспорта найдена в секции .textАнализ rasapi32.dll, таблица экспорта найдена в секции .textАнализ urlmon.dll, таблица экспорта найдена в секции .textАнализ netapi32.dll, таблица экспорта найдена в секции .text1.2 Поиск перехватчиков API, работающих в KernelModeДрайвер успешно загруженSDT найдена (RVA=082480)Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000  SDT = 80559480  KiST = 804E26A8 (284)Функция ZwTerminateProcess (101) перехвачена (80582C2B->F1E08330), перехватчик CProgram Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYSФункция ZwWriteVirtualMemory (115) перехвачена (8057E5E0->F1E08290), перехватчик CProgram Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYSПроверено функций: 284, перехвачено: 2, восстановлено: 0

**Laren** · 6 сентября, 2006

Привет, Saule

Ответь пожалуста, у меня опять этот Аваст нашел какую то хрень в Windows/system32 , (сегодня)

называется advert.dll . Это ложное срабатывание или вирус? Пишет, что обнаружен adware-gen . Нашел в инете такую инфу про него http://www.viruslist.com/ru/viruses/encycl...a?virusid=61651

Чево с ним делать, удалять или оставить?

**SERGSM** · 6 сентября, 2006

Saule. подскажите пожалуйста, что за прога Adware Spyware SE by Virus Repeller? Смущает поведение- рвется в интернет, после обновления опять готова обновляться снова и снова. Неужели опять супер троян типа xoft spy?

**Saule** · 7 сентября, 2006

Привет, Saule
Ответь пожалуста, у меня опять этот Аваст нашел какую то хрень в Windows/system32 , (сегодня)

называется advert.dll[/url]

Чево с ним делать, удалять или оставить?

Удаляй.

P.S. И на будущее, если снова возникнет подобная ситуация. Закачиваешь свой файлик на любой из следующих сайтов:

http://www.virustotal.com/

http://virusscan.jotti.org/

http://virusscan.jotti.org/' rel="external nofollow">

И смотришь на результат. Если вирус определяется большинством антивирусов, то сомневаться в правильности детекта Аваста не нужно :)

Изменено 11 сентября, 2006 пользователем Saule

**ВоваЛЕНИН** · 10 сентября, 2006

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/

O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f

O4 - HKLM\..\Run: [NetStart] C:\WINDOWS\system32\NETSTART\svchost.exe

O4 - HKLM\..\Run: [htp] C:\Program Files\Internet Explorer\htp.exe

O4 - HKCU\..\Run: [AMP Agent] C:\Program Files\Common Files\ARS Company\Agent\Agent.exe

O4 - Startup: PowerReg Scheduler.exe

O9 - Extra button: (no name) - DctMapping - (no file)

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl178bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

Затем на кнопку "Fix Checked" (браузер или браузера при этом нужно закрыть).

2. Идем:

Start > Run (Пуск > Выполнить)

Вписываем sc delete PowerManager

Нажимаем ОК.

3. Перезагружаем компьютер. После чего, если будет желание, делаем новый лог HijackThis, показываем и в двух словах рассказываем о том, как обстоят дела со входом на диск С.

Сделал,как вы говорили.На диск С вход и выход свободные(без приключений) :( ,вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 1:26:35, on 11.09.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\eTSrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TMeter\TrafSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\PROGRA~1\ICQ\ICQNet.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Download Master\dmaster.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Naviscope\naviscope.exe

C:\Program Files\Online Wallpaper Changer\OnlineWallpaper.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

E:\Программки\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:81

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: (no name) - {F8F17E3E-4F91-43DF-AC8D-18D270EF497F} - C:\Program Files\Adobe\medonu.dll (file missing)

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: Radio Russia Toolbar - {cbf77fb5-006d-4814-b14f-247e293844b6} - C:\Program Files\Radio_Russia\tbRad1.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll