Помощь в лечении систем от нечисти

**Saule** · 27 декабря, 2006

Saule, такой вопрос: если сделать архив раздела свежеустановленной Windows,а потом из этого архива восстанавливать системные файлы на другом компе (или на этом-же, но после неприятностей), это возможно, или-же я просто систему догроблю? Может, есть вариант попроще?

Возможно. Только для каждой системы желательно иметь свой собственный, заранее сохраненный архив.

Попробуй почитать о резервном копировании и восстановлении данных вот тут:

Если после всё-таки останутся какие-либо вопросы, то не стесняйся.

**удачи-тебе** · 27 декабря, 2006

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {55B201FF-C057-E521-6D17-0489B6CF9930} - C:\WINDOWS\System32\yhqovpf.dll

O4 - HKLM\..\Run: [ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\App.exe" hide

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Перезагружаем компьютер. После чего, желательно снова повторить лог, т.к. всё еще не могу понять, что у вас за инфекция.

добрый день

отмеченные вами "пунктики" не нашел..их нет

вот новый лог..hijackthis.log

если это вам поможет могу перечислить "косяки" которые не дают спокойно жить))

не могу поставить нечего на рабочий стол ( из свойств)

жутко тормозит все открытия и закрытия окон

постоянно выскакивает при перезагрузке иконка ( там предлагают перегрузить систему или продолжить без перезагрузки)

hijackthis.log

**Kolya_Pusy_Lamer** · 27 декабря, 2006

Возможно. Только для каждой системы желательно иметь свой собственный, заранее сохраненный архив.

Всем удачи и с наступающим Новым годом!

В том-то и дело, что в нашем селе я вроде сисадмина: устанавливаю людям на компы системы, подключаю интернет, чищу от хлама и вирусов... Так-что делать образы систем для откатов у меня не получится. Да и обращаются ко мне (также как и к вам, Saule :) ) тогда, когда "дальше некуда".

Да и, насколько мне известно, "Восстановление системы" сохраняет лишь реестр и критические настройки Виндовса, а не системные и стратегические файлы.

Или я опять безбожно ламерствую ...???

**Saule** · 28 декабря, 2006

если это вам поможет могу перечислить "косяки" которые не дают спокойно жить))
не могу поставить нечего на рабочий стол ( из свойств)

жутко тормозит все открытия и закрытия окон

постоянно выскакивает при перезагрузке иконка ( там предлагают перегрузить систему или продолжить без перезагрузки)

Эта иконка, а точнее сообщение, принадлежит приложению настройки системы msconfig, и к вирусам никакого отношения не имеет. Чтобы его убрать, достаточно в следующий раз при загрузке системы, перед тем как нажимать на ОК, поставить галочку рядом с "Don't show this message..." ("не показывать этого сообщения..."):

Либо откройте HijackThis, нажмите на кнопку "Do a system scan only" и отметьте следующую строчку:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Затем на кнопку "Fix Checked".

И по поводу остального: у вас была установлена одна из Rogue Anti-Spyware программ (или говоря другими словами, аферист), которую вы уже удалили, но некоторые настройки в системе она всё же успела подпортить.

Для восстановления рабочего стола:

Скачиваем

AVZ

http://z-oleg.com/avz4.zip' rel="external nofollow">

.

Распаковываем, запускаем и нажимаем в его верхнем меню:

Файл > Восстановление системы

В появившемся приложении ставим галочку рядом с "Восстановление настроек рабочего стола и нажимаем на кнопку "Выполнить отмеченные операции":

И из лога HijackThis удалите следующее (это не вирусы, это ненужные записи):

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {BDFBFF27-0E27-F8A6-13C2-6A836E800FA8} - C:\WINDOWS\ftbrp1.dll (file missing)

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

**Saule** · 28 декабря, 2006

Да и, насколько мне известно, "Восстановление системы" сохраняет лишь реестр и критические настройки Виндовса, а не системные и стратегические файлы.
Или я опять безбожно ламерствую ...???

Вы путаете "Восстановление системы"(System Restore) с "Архивацией данных"(Backup)

Так как первая функция отслеживает все системные файлы (за очень небольшим исключением) с расширениями .exe, .dll, .sys, .com и .vxd. Единтсвенное, что она точно не сохраняет, это папка My Documents/Мои Документы; Favorites/Избранное, cookie, историю и другие временные файлы Интернета; Recycle Bin/Корзину; файл подкачки .swp (Windows Swap) и файлы, созданные пользователем (с расширениями .txt, .doc, .xls и т.д.).

В итоге при использовании восстанавливаются: реестр, локальные профили, база данных COM+, кэш (wfp.dll) системы защиты Windows File Protection (WFP), база данных Windows Management Instrumentation (WMI), метабаза Microsoft IIS + файлы, которые System Restore копирует по умолчанию в архив Restore (System Volume Information). При чем выделить тот или иной компонент нельзя - восстановлению подлежит либо всё, либо ничего.

А что касается второго способа, то там возможно самостоятельно выделить то, для чего хотелось бы сохранить резервную копию. Т.е. использовать настройки архивации, установленные по умолчанию, в любом случае не обязательно.

**удачи-тебе** · 28 декабря, 2006

Эта иконка, а точнее сообщение, принадлежит приложению настройки системы msconfig, и к вирусам никакого отношения не имеет. Чтобы его убрать, достаточно в следующий раз при загрузке системы, перед тем как нажимать на ОК, поставить галочку рядом с "Don't show this message..." ("не показывать этого сообщения..."):

большое спасибо за помощь))

рабочий стол"заработал"

то что "вылазило" уже не "вылазиет"..))))

ещё раз спасибо за помощь :)

а можно ещё вопросик?...возле часиков что в правом нижнем углу стола всегда была иконка для перевода языков(русс. англ.)

не могу понять куда она пропала :) ( чайник)

помогите в этом

Изменено 28 декабря, 2006 пользователем Saule

**Saule** · 28 декабря, 2006

рабочий стол"заработал"
то что "вылазило" уже не "вылазиет"..))))

ещё раз спасибо за помощь

а можно ещё вопросик?...возле часиков что в правом нижнем углу стола всегда была иконка для перевода языков(русс. англ.)

Нажимаем на: Start > Run (Пуск > Выполнить)

И просто копируем в строку следующее (одной строчкой от начала и до конца):

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmon.exe" /t REG_SZ /d "C:\WINDOWS\system32\ctfmon.exe" /f

Нажимаем ОК.

--------

Либо, как другой вариант, можно запустить .reg файл, который я прикрепила в этом архиве:

ctfmon.rar

На вопрос Windows "Are you sure you want to add this information... to registry?" (действительно ли вы желаете добавить эту информацию в реестр..) - отвечаем "Yes".

Это поможет (после перезагрузки компьютера) в том случае, если ctfmon.exe был только убран из автозапуска, а не удален.

ctfmon.rar

**Sanja** · 29 декабря, 2006

Помогите, как избавиться от этой ерунды? Это я наудалял в разных папках, но со всременем они снова там появляются.

**Saule** · 29 декабря, 2006

Это я наудалял в разных папках, но со всременем они снова там появляются.

В первую очередь удалить нужно то, что их создаёт.

Если есть желание - скачай HijackThis. Включи и нажми на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст свой лог, содержимое которого присоедини или просто скопируй в своё сообщение.

**удачи-тебе** · 29 декабря, 2006

Нажимаем на: Start > Run (Пуск > Выполнить)

И просто копируем в строку следующее (одной строчкой от начала и до конца):
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmon.exe" /t REG_SZ /d "C:\WINDOWS\system32\ctfmon.exe" /f
Нажимаем ОК.

--------

Либо, как другой вариант, можно запустить .reg файл, который я прикрепила в этом архиве:

ctfmon.rar

На вопрос Windows "Are you sure you want to add this information... to registry?" (действительно ли вы желаете добавить эту информацию в реестр..) - отвечаем "Yes".

Это поможет (после перезагрузки компьютера) в том случае, если ctfmon.exe был только убран из автозапуска, а не удален.

:) спасибо

помог "другой вариант"..

ещё раз большое спасибо...

с наступающим новым годом!!

удачи в нём :)

**Sanja** · 30 декабря, 2006

Saule

В первую очередь удалить нужно то, что их создаёт.

Если есть желание - скачай HijackThis. Включи и нажми на кнопку "Do a systemscan and save a logfile". После чего программа автоматически выдаст свой лог, содержимое которого присоедини или просто скопируй в своё сообщение.

Logfile of HijackThis v1.99.1

Scan saved at 13:13:03, on 30.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Winamp\winamp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\-\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/ac...mpaign=wdz0605a

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\en-us\msntb.dll

O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int476148.exe -auto

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [steam] C:\Program Files\Steam\\Steam.exe -silent

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://C:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://gw.tallinnlv.ee:11082/activex/AxisCamControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E12D1AFA-BEE1-420F-856E-A0E6F6CD9709}: NameServer = 212.7.9.34 212.7.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\system32\angelex.exe (file missing)

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

**Saule** · 30 декабря, 2006

Logfile of HijackThis v1.99.1

Знаешь, сам процесс лечения будет достаточно сложным. Поэтому если вдруг станет "страшно" от количества увиденных пунктов, то можно попробовать, хотя бы для начала, удалить всё обычным способом, т.е. с помощью антивируса.

Лучше, чем бесплатный Dr.WEB CureIt! для экспресс-лечения и проверки, я ничего в твоём случае посоветовать не могу. И тогда уже, если что-то останется, можно будет опять-таки дочистить по логу.

И собственно само лечение:

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://www.accoona.com/search_assistant/ac...mpaign=wdz0605a

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://www.accoona.com/search?q=%s

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int476148.exe -auto

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).
Скачиваем AVZ.
После чего закрываем все посторонние программы, чтобы больше сейчас ничего не мешало.

Распаковываем AVZ, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на arm32reg и удаляем эту строку (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с arm32reg и затем нажимаем на кнопку "X"). Если вдруг такой строчки (ссылающейся на arm32reg) там не окажется, то просто переходим к следующему пункту.
Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).
После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строчку:
```
C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
```
Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".
Снова перезагружаем компьютер.
Отключаем AVZ Guard (в верхнем меню AVZ):

AVZ Guard > Отключить AVZ Guard
Затем опять в верхнем меню AVZ:

Файл > Отложенное удаление файла

Копируем в появившееся окошко следующую строчку (на всякий случай обращаю внимание на то, что файл csrss.exe, который нужно удалить находится именно в папке WINDOWS, а не WINDOWS\system32):
```
C:\WINDOWS\csrss.exe
```
Нажимаем "ОК", выбираем "Удаление файлов" и снова "ОК".
Открываем любой текстовый редактор (напр., Notepad) и копируем туда следующее:
```
REGEDIT4[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
```
Сохраняем этот текстовый файл с расширением .reg (либо сохраняем и затем меняем расширение вручную - с .txt на .reg) и запускаем его. На вопрос Windows "Are you sure you want to add this information... to registry?" - отвечаем "Yes".
Перезагружаем компьютер.
После перезагрузки у тебя может "исчезнуть" рабочий стол (если всё будет ок, то просто переходим к следующему пункту).
В этом случае нажимаем на клавиши CRTL+ALT+DEL и в появившемся Диспетчере задач (Task Manager) в верхнем меню нажимаем:

File > New Task (Новая задача)

В открывшемся окне выбора файла находим и запускаем AVZ (файл avz.exe).

Далее в верхнем меню AVZ:

Файл > Восстановление системы

Отмечаем "Удаление отладчиков системных процессов" и нажимаем на "Выполнить отмеченные операции".

Снова перезагружаем компьютер (с помощью кнопки RESET).
После чего делаем полное сканирование системы с помощью антивируса (хотябы с помощью AVZ, т.к. он тоже достаточно многое знает) и удаляем все зараженные объекты + мусор, который тебе успели к этому времени накачать (имеются в виду файлы из твоего первого сообщения, которые ты пробовал удалить).
И, если еще останутся силы, то нажимаем:
Start > Run (Пуск > Выполнить)

Копируем в строку:
```
sc delete ISEXEng
```
Нажимаем ОК или клавишу ENTER.
Плюс (также, если останутся силы) открываем HijackThis, нажимаем на кнопку "Do a system scan only", отмечаем галочкой следующую строку (если такая будет присутствовать) и нажимаем на кнопку "Fix Checked":

O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

**pinmix** · 30 декабря, 2006

Saule: Посмотри пожалуйста, мне тут друг написал что у него AVZ при сканирновании нашла подозрение на рут кит вот по этому адресу:

programme\windows nt\zubehor\wordpad.exe

(он из германии винда у него немецкая)

он пытался удалить его с помощью avz - не удалось..

Вот лог из HijackThis:

Logfile of HijackThis v1.99.1Scan saved at 20:50:21, on 30.12.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.5730.0011)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\brsvc01a.exeC:\WINDOWS\system32\brss01a.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Brmfrmps.exeC:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exeC:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Programme\Norton AntiVirus\navapsvc.exeC:\Programme\Norton AntiVirus\SAVScan.exeC:\WINDOWS\system32\svchost.exeC:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exeC:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\Explorer.EXEC:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exeC:\WINDOWS\system32\ctfmon.exeC:\Programme\Windows Media Player\WMPNSCFG.exeC:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exeC:\WINDOWS\System32\svchost.exeC:\Programme\Opera\Opera.exeC:\Programme\ICQLite\ICQLite.exeC:\Programme\Brother\Brmfcmon\brmfcwnd.exeC:\Dokumente und Einstellungen\Yury\avz4\avz4\avz.exeC:\Programme\Internet Explorer\iexplore.exeC:\Dokumente und Einstellungen\Yury\1-1-4\HijackThis.exeC:\Programme\Messenger\msmsgs.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.yahoo.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu36\toolbaru.dllO2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu36\toolbaru.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dllO3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu36\toolbaru.dllO3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)O3 - Toolbar: (no name) - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [MAgent] C:\Programme\Mail.Ru\Agent\MAgent.exe -LMO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [sonic RecordNow!] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exeO4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exeO8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTMLO8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htmO8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Dokumente und Einstellungen\Yury\FlashGet\jc_all.htmO8 - Extra context menu item: Закачать при помощи FlashGet - C:\Dokumente und Einstellungen\Yury\FlashGet\jc_link.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\MAgent.exeO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htmO9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htmO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exeO9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)O11 - Options group: [iNTERNATIONAL] International*O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=Pavilion&pf=laptopO16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - http://pointa.autodesk.com/portal/lang/deu/InstFred.OcxO16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cabO16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cabO16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - http://pointa.autodesk.com/portal/lang/neutral/SysVerChk.ocxO16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2000i Deu\AcDcToday.ocxO16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - http://pointa.autodesk.com/portal/lang/deu/InstBanr.OcxO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://icqintl.oberon-media.com/online/online2/zuma/popcaploader_v5.cabO16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2000i Deu\AcPreview.ocxO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exeO23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exeO23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Посотри пожалуйста, что можно сделать, и есть ли опасность вообще..

**ser126** · 1 января, 2007

С НОВЫМ ГОДОМ! Здравствуйте, проясните для меня такой вопрос. Как только выхожу в нет начинаются атаки и попытки передачи udp пакетов с одних и тех же ip, которые либо н/а, либо заблокированы. Примерно такая же ситуация была месяц назад, кончилось плачевно.

Рухнула система. Из защиты стоял KIS6, который никак не реагировал. Сейчас стоит dr.web+kas antihacker.Первый ничего не находит, а второй регистрирует например попытку передать udpпакеты процессом spooler sub system app на удал адрес 127.255.255.255 порт38184. С этого адреса были последние атаки. На всякий случай вот отчет hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 13:40:20, on 01.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SERURU/SAOS03

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.neuroticmedia.net/getV1License....tting_Games.wma

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**Saule** · 2 января, 2007

Saule: Посмотри пожалуйста, мне тут друг написал что у него AVZ при сканирновании нашла подозрение на рут кит вот по этому адресу:
он пытался удалить его с помощью avz - не удалось..

По логу HijackThis удалить нужно следующее (ничего серьезного, скорее ненужный муссор):

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)

O3 - Toolbar: (no name) - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

А что касается основной проблемы, то в случае с руткитами лог HijackThis выкладывать бесполезно, т.к. он всё равно их не видит. Нужен хотя бы тот протокол AVZ, в котором было подозрение на маскировку. Но подозрительным уже может быть только то, что файл wordpad.exe не удаляется.

Плюс можно попробовать поиспользовать (только аккуратно) специализированные программы по этой части. Например:

Rootkit Unhooker

(последняя вкладка - Report, кнопка Scan)

Rootkit Revealer

GMER

http://www.gmer.net/files.php' rel="external nofollow">

**Saule** · 2 января, 2007

Рухнула система. Из защиты стоял KIS6, который никак не реагировал. Сейчас стоит dr.web+kas antihacker.Первый ничего не находит, а второй регистрирует например попытку передать udpпакеты процессом spooler sub system app на удал адрес 127.255.255.255 порт38184. С этого адреса были последние атаки. На всякий случай вот отчет hijackthis

Адреса из диапазона 127.0.0.1 - 127.255.255.255 используются для работы внутри вашего собственного компьютера (т.е. через этот адрес связываются программы, установленные у вас).

Spooler subsystem app - это приложение подсистемы очереди печати (Start > Printers and Faxes; Пуск > Принтеры и факсы).

Возможно, как-то связано с данной службой:

O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe

Так как Lexmark - одна из лидирующих компаний в области производства принтеров и решений печати.

Поэтому, вполне возможно, что вам просто нужно "найти общий язык" с антихакером и другими приложениями системы. То есть разобраться в их общей работе, чтобы в будущем не возникало конфликтов, из-за которых вы будете вынуждены делать переустановку системы.

В логе HijackThis также ничего подозрительного не заметила.

**pinmix** · 2 января, 2007

Saule:

вот лог avz:

avz.txt

лог Rootkit Unhooker:

report.txt

Вот, Rootkit Unhooker, явно находит рут кит..

Через avz - он не удаляется, через експлорер его не видно (все со слов друга, сам проверить не могу, он в германии живет)

Подскажи пожалуйста чем лечить?..

report.txt

avz.txt

Изменено 2 января, 2007 пользователем pinmix

**Saule** · 3 января, 2007

Вот, Rootkit Unhooker, явно находит рут кит..
Через avz - он не удаляется, через експлорер его не видно (все со слов друга, сам проверить не могу, он в германии живет)

Подскажи пожалуйста чем лечить?.. :)

Немного не понимаю, что именно он пробует удалять?

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! - дословный перевод: ВОЗМОЖНО обнаружена деятельность руткита.

Если в логе не нравится следующее:

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> DialogBoxIndirectParamA, Type: Inline at address 0x7E38C54B hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> DialogBoxIndirectParamW, Type: Inline at address 0x7E38C510 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> DialogBoxParamA, Type: Inline at address 0x7E38C4D5 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> DialogBoxParamW, Type: Inline at address 0x7E1F5415 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> MessageBoxExA, Type: Inline at address 0x7E38C413 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> MessageBoxExW, Type: Inline at address 0x7E38C3D9 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> MessageBoxIndirectA, Type: Inline at address 0x7E38C491 hook handler located in [iEFRAME.dll]

!!!!!!!!!!!Hook: iexplore.exe -> user32.dll -> MessageBoxIndirectW, Type: Inline at address 0x7E38C44D hook handler located in [iEFRAME.dll]

То это автозаполнение форм в Internet Explorer 7.

---------

Я вижу перехват лишь одной функции:

!!!!!!!!!!!Hooked service: NtConnectPort

Actual Address 0x8569F4D0

Hooked by: Unknown module filename

Только удалять некого.

Можно лишь пробовать блокировать перехват, но он может пренадлежать и "легальной" программе, т.к. сам по себе одна модификация еще не так и значительна.

Поэтому сначала желательно посмотреть на модули пространства ядра:

нужно сделать с помощью AVZ исследование системы (в верхнем меню: Файл > Исследование системы; галочку рядом с "Создать ZIP архив.." - ставить не нужно), после чего прикрепляем содержимое протокола

Плюс обратила внимание на фразу "через експлорер его не видно", из-за чего подумала, что нужно сказать пару слов о самом понятии руткита.

Експлорер (в том числе антивирус, HijackThis и т.п.) его и не должен видеть. Поэтому это и называется технологиями руткита.

Т.е. перехват системных функций в первую очередь позволяет программе достаточно качественно себя маскировать (а также защищать от обнаружения любые, описанные в её конфигурации, процессы, папки, файлы, разделы реестра, открытые порты TCP/UDP и т.д.).

Например, перехват функции поиска файла на диске позволяет просто исключить из результатов поиска необходимые файлы...

Вообщем, это так, просто для справки. Прекрасно понимаю, что в жизни есть и более интересные вещи :)

3 января, 2007

Saule, поздравляю Вас с Новым 2007 Годом!

У меня после обновления Windows и установки игр(сейчас удалил некоторые), стала острая нехватка "памяти" (подкачка). Что я не делал для ее увеличения, ничего не помогает. :)

Вот мой свежий отчет, что скажите:

Logfile of HijackThis v1.99.1

Scan saved at 13:03:39, on 03.01.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\Program Files\SiteAdvisor\4608\SAService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\WINDOWS\system32\s3hotkey.exe

C:\WINDOWS\system32\00THotkey.exe

C:\WINDOWS\system32\TFncky.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Software602\Print2PDF\PrnPack.exe

C:\Program Files\TranslateIt! 4.0\Translateit.exe

C:\Program Files\SiteAdvisor\4608\SiteAdv.exe

C:\WINDOWS\system32\S3tray.exe

C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Memturbo 4\MemTurbo.exe

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Opera 9\Opera.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\AAD\LOCALS~1\Temp\Rar$EX01.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mail.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: MyRadioRU Toolbar - {67984beb-075d-49ae-a50b-352e145faab8} - C:\Program Files\MyRadioRU\tbMyR0.dll

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4608\SiteAdv.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: MyRadioRU Toolbar - {67984beb-075d-49ae-a50b-352e145faab8} - C:\Program Files\MyRadioRU\tbMyR0.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4608\SiteAdv.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [s3Hotkey] s3hotkey.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe

O4 - HKLM\..\Run: [TFncky] TFncky.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup

O4 - HKLM\..\Run: [PrintPack dispatcher] "C:\Program Files\Software602\Print2PDF\PrnPack.exe" /server

O4 - HKLM\..\Run: [Translate It!] C:\Program Files\TranslateIt! 4.0\Translateit.exe

O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\4608\SiteAdv.exe

O4 - HKLM\..\Run: [s3TRAY] S3tray.exe

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: MemTurbo.lnk = C:\Program Files\Memturbo 4\MemTurbo.exe

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\AAD\Мои документы\RapGet v.1.26\rapget.htm

O8 - Extra context menu item: Автоматическое определение шаблона тематики - C:\Program Files\PRMT6\PRMTIE\aot.htm

O8 - Extra context menu item: Настройка параметров перевода - C:\Program Files\PRMT6\PRMTIE\options.htm

O8 - Extra context menu item: Перевести - C:\Program Files\PRMT6\PRMTIE\translat.htm

O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT6\PRMTIE\page.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra 'Tools' menuitem: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1159992438076

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C76D3F7B-50C3-4EB5-99FB-429EE70EE3BC}: NameServer = 192.168.0.100,81.222.223.118

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4608\SiteAdv.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program Files\SiteAdvisor\4608\SAService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Заранее Вам спасибо!

**Saule** · 3 января, 2007

Saule, поздравляю Вас с Новым 2007 Годом!

Спасибо, вас также :)

К сожалению, я тоже навряд ли смогу вам помочь.

По логу удалить можно следующее:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

С остальным - можете решить только вы сами. Я бы на вашем месте для начала кое-что убрала из автозагрузки (т.к. не думаю, что всему этому обязательно нужно присутствовать в памяти постоянно; можно включить эти программы тогда, когда вам действительно что-то из них вдруг понадобиться; но повторю, только вы можете знать, что из этого вам необходимо и чем вы на самом деле пользуетесь не часто). В первую очередь следующее: