Saule Опубликовано 12 января, 2007 Жалоба Поделиться Опубликовано 12 января, 2007 поэтому сейчас сижу и жду - выползут снова или нет, пофиксено или нет.. Для того, чтобы svcchost.exe больше не появлялся, желательно закрыть те дырки в системе, через которые он пролез изначально. В первую очередь это будут следующие заплатки: Microsoft Security Bulletin MS06-040 Microsoft Security Bulletin MS05-039 Microsoft Security Bulletin MS04-011 Microsoft Security Bulletin MS03-043 http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx' rel="external nofollow">В логе HijackThis пофиксите следующее: O4 - HKLM\..\Run: [msci] C:\WINDOWS\Temp\2007112201312_mcinfo.exe /insfin какой-то процесс назвав себя SYSTEM сидит в инете по протоколу gre. Что это? Любая активность, которую нельзя связать ни с одним конкретным приложением, в Outpost Firewall отображается как SYSTEM Т.е. это может быть соединение на порты, открытые системным драйвером или же сетевая активность по протоколам, где привязка к приложению просто напросто невозможна (GRE и ICMP - как раз являются подобными протоколами). Поэтому отключать ничего там не нужно ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 12 января, 2007 Жалоба Поделиться Опубликовано 12 января, 2007 ;) Друг по моей же просьбе в принципе ставил.. только там какие-то глюки с доступом были, короче, всё равно ничего он не поадминит по своей повременке :sm(100):)) А другим я пробовала - mcafee, так блин.. у меня outpost повис при проверке почты - ему видите ли надо в инет когда я почту проверяю, потом вообще всё повисло. Потом этот svcchost выполз, mcafee проверяет процессы, в упор его не видит.. к чертям такой антивирус! (хотя хвалили, и знакомые, и в инете). у меня spyware doctor сейчас, вроде работает, но смутно. уже выползший вирь видит, кричит "сейчас мы его убьём!!" а потом снова всё выползало. system в outpost не нашла как отключать. там вообще непонятно откуда у него ноги растут.. где exeшник. тьфу-тьфу, пока тихо. спасибо этому форуму ;) Нагромождение защиты--не есть хорошо. Я McAfee не упоминал вообще. Spyware Doctor не антивирус, что видно даже из названия. Не обязательно оставлять антивирус после проверки всей системы. Можно его потом удалить, если не нравится (я на счет Касперского и Веба). Даже лучше вообще проверить с какого нибудь LiveCD (но при этом не будет проверены процессы, подгружаемые с системой). Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 12 января, 2007 Жалоба Поделиться Опубликовано 12 января, 2007 Поэтому отключать ничего там не нужно ;) Ну тогда отменю запрет. ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
Giacint Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 Извини, что влез. Ты ведь к Saule обращался. :) Да ничего страшного.. Думаю, она на нас с тобой не обидится :) Что за IP-адреса, можешь посмотреть командой whois. Во, как раз очередной раз вылезло :) Исходящий UDP-ракет, в "Параметрах содинения": [b]Описание:[/b]Generic Host Process for Win32 Services[b]Соединение:[/b]Направление: ИсходящееПротокол: UDPУдаленный IP-адрес: 10.64.165.57Удаленный порт: 1194Локальный порт: 1900[b]Информация о процессе:[/b]Имя процесса: svchost.exeID процесса: 1412Файл приложения: C:\WINDOWS\system32\svchost.exeКомандная строка: -K LOCALSERVICE[b]Информация о производителе:[/b]Производитель: Microsoft CorporationВерсия приложения: 5.1.2600.2180Версия файла: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Смотрим хуиз: OrgName: Internet Assigned Numbers Authority OrgID: IANAAddress: 4676 Admiralty Way, Suite 330City: Marina del ReyStateProv: CAPostalCode: 90292-6695Country: USNetRange: 10.0.0.0 - 10.255.255.255 CIDR: 10.0.0.0/8 NetName: RESERVED-10NetHandle: NET-10-0-0-0-1Parent: NetType: IANA Special UseNameServer: BLACKHOLE-1.IANA.ORGNameServer: BLACKHOLE-2.IANA.ORG Я просто не понимаю, что это.. Правда, IP провайдера 10.8.0.8, но имеет ли это сюда отношение? Количество процессов svchost.exe приемлимое, если они все из папки system32 (так оно и есть). Ну, за этим я слежу :) AVP-это процесс Касперского. Он обновляется. А еще если включен Веб-мониторинг, то трафик проходит через монитор Касперского, но показывается, как будто это его трафик. Вся фигня в том, что последнюю неделю, что я мониторю сеть, АВП там не висел! Ни разу. Только последние два дня. Значит, что-то изменилось? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 (изменено) Исходящий с порта 1900. Этот порт по умолчанию занимает служба UPnP. Можно ее вообще отключить, если таковых "универсальных" устройств у тебя не наблюдается. :):):) AVP будет висеть, если веб-трафик мониторится самим Касперским. У меня не стоит KIS, но у тебя же включен Веб-антивирус? Тут я могу ошибаться, потому как KISa у меня не было никогда. :) Да ничего страшного.. Думаю, она на нас с тобой не обидится :) Врядли обидится. Посмеяться над нами--может. :):):) . Профи! Изменено 13 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 Вот и мой случай. Винда недавно поставлена, толком не настроена.Лог у вас чистый.напрягает количество процессов svchost.exe - до семи штук доходит. Оно надо? Svchost.exe (папка WINDOWS\system32) - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL). И несколько экземпляров svchost.exe при просмотре активных процессов - это на самом деле нормально. Каждый из них представляет собой определенную системную службу или же группу служб, что определяется в следующем разделе реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, сделайте следующее: Start > Run (Пуск > Выполнить) Вписываем: CMD Нажимаем ОК или клавишу ENTER. В появившемся приложении вводим команду: tasklist /SVC И нажимаем на клавишу ENTER. Для примера: На скрине видно 5 экземпляров svchost.exe. Первый из которых содержит службы: DCOM Server Process Launcher и Terminal Services. Второй: Remote Procedure Call (RPC). Третий: Windows Audio, Cryptographic Services, DHCP Client, Logical Disk Manager, System Event Notification, Workstation, Network Connections, Network Location Awareness (NLA), Remote Access Connection Manager, Task Scheduler, Secondary Logon, System Event Notification, Internet Connection Firewall/Internet Connection Sharing, Shell Hardware Detection, System Restore Service, Telephony, Themes, Distributed Link Tracking Client, Windows Time, Windows Management Instrumentation, Automatic Updates, Wireless Zero Configuration. Четвертый: DNS Client. Пятый: TCP/IP NetBIOS Helper Service, SSDP Discovery Service и WebClient. И на самом деле чуть ниже было еще 2 штуки svchost.exe (т.е. всего тоже 7): шестой - Bluetooth Support Service и седьмой - Windows Image Acquisition (WIA). КИС от Касперского периодически отлавливает странные исходящие UDP-соединения на странные айпишники (чаще всего на 10.64.165.75 по порту 1900). Адреса из диапазона 10.0.0.0 - 10.255.255.255 используются исключительно для работы во внутренних сетях (ваш провайдер) и не могут быть в Интернете, поэтому не волнуйтесь Попробуйте отключить службу SSDP Discovery Service (в русской Windows: Служба обнаружения SSDP), при условии, что она вам не нужна, так как порт 1900 используется именно ею (основные функции: обнаружение в домашней сети UPnP-устройств для использования цифрового мультимедиа, например в Windows Media Player): Start > Run Вписываем: services.msc Нажимаем ОК или клавишу ENTER. Находим в списке служб: SSDP Discovery Service Кликаем по ней двойным кликом и в открывшемся приложении изменяем StartUp Type на положение Disabled + если возможно, нажимаем на кнопку Stop. Сохраняем изменения (Apply и ОК). А последние пару дней Мониторинг сети от Анти-Хакера Касперского показывает, что висит два соединения avp.exe - одно входящее, другое исходящее. Суточный траф небольшой, но напрягает, ибо не понимаю - зачем? Раньше ведь не было..Это, видимо, связано с тем, что Касперский 6, пропуская через себя весь интернет-трафик, работает в режиме прокси сервера.В любом случае с этим вопросом будет лучше обратиться в топик по этому антивирусу - Kaspersky Anti-Virus. Ссылка на комментарий Поделиться на другие сайты Поделиться
bamby Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 Saule, спасибо, заплатки поставила, тот процесс прибила... прогнала nod32, нашёл несколько троянов в c:/System Volume Information, прибил. прогнала AVZ, он тоже нашел троян там же, прибил. хочется вообще эту папку удалить, но она не удаляется. и всё бы хорошо.. но... сижу читаю форум, никаких процессов подозрительных в outpost не вижу, бац внизу строка поиска всплывает (в firefox) и там набивается testtesttesttest.. пипец. то ли кто развлекается хорошо, то ли мне в больницу пора уже... ser208, почему-то O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) не фиксится. два раза пробовала, с перезагрузками, потом запускаю hijackthis - запись как была так и осталась. и файл не отсутствует, он лежит по этому пути. логи hijackthis и AVZ прилагаются. hijackthis.log avz_log.txt hijackthis.log avz_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 (изменено) . и файл не отсутствует, он лежит по этому пути. логи hijackthis и AVZ прилагаются. Это серверная часть Radmin. Ее достаточно вручную удалить. Изменено 13 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
bamby Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 ок. теперь посмотрим, не возникнет ли этот файл снова. (помнится, ведь я уже удаляла его...) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 (изменено) ок. теперь посмотрим, не возникнет ли этот файл снова. (помнится, ведь я уже удаляла его...) http://www.freedrweb.com/cureit/?lng=ru Скачай мобильный сканер отсюда, если не хочешь ставить полный DrWeb. Пройдись им. SP2 желательно поставить. Изменено 13 января, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 13 января, 2007 Жалоба Поделиться Опубликовано 13 января, 2007 прогнала nod32, нашёл несколько троянов в c:/System Volume Information, прибил.прогнала AVZ, он тоже нашел троян там же, прибил. хочется вообще эту папку удалить, но она не удаляется. Для того, чтобы отчистить папки System Volume Information нужно кликнуть правой кнопкой мыши на "My Computer"/"Мой Компьютер" и зайти в "Properties"/"Свойства". Находим закладку "System Restore"/"Восстановление Системы" и ставим галочку напротив "Turn off System Restore on all drives"/"Запpетить Восстановление Системных файлов на всех дисках". Затем на "Apply"/"Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК". Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше: My Computer > Properties > System Restore И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives). После этого папки System Volume Information будут чистыми. ser208, почему-то O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) не фиксится. два раза пробовала, с перезагрузками, потом запускаю hijackthis - запись как была так и осталась. и файл не отсутствует, он лежит по этому пути. На самом деле в вашем случае так и должно быть (имеется в виду как запись "file missing" при неотсутствующем файле, так и то, что эту строчку не удается удалить). Коментарий "file missing" в вашем логе свидетельствует лишь о том, что тип запуска службы Remote Administrator Service является не автоматическим, а "вручную". И что касается удаления службы с помощью HijackThis, то это таким образом просто не возможно. Максимум что может сделать Джек с пунктом O23 - это остановка службы на текущий момент и изменение типа её запуска (StartUp Type) на "Отключено" (Disabled). Если же есть желание удалить службу, то это осуществляется другими способами: Либо используя раздел инструментов в HijackThis: Open the Misc Tools selection > Delete an NT service Либо с помощью командной строки: Start > Run Вписываем: sc delete Remote Administrator Service Нажимаем на ОК или клавишу ENTER. Либо через реестр и следующие разделы: HKLM\SYSTEM\CurrentControlSet\Services HKLM\SYSTEM\ControlSet001\Services HKLM\SYSTEM\ControlSet002\Services HKLM\SYSTEM\ControlSet003\Services HKLM\SYSTEM\ControlSet004\Services HKLM\SYSTEM\ControlSet005\Services Но он вам никак в данный момент не мешает. но... сижу читаю форум, никаких процессов подозрительных в outpost не вижу, бац внизу строка поиска всплывает (в firefox) и там набивается testtesttesttest.. пипец. то ли кто развлекается хорошо, то ли мне в больницу пора уже... Желательно аккуратно просканировать систему программой, которая специализируется именно на руткитах: Rootkit Unhooker (последняя вкладка - Report, кнопка Scan) Rootkit Revealer GMER А также др. из этого поста. Антивирусы вам тут не помогут Ссылка на комментарий Поделиться на другие сайты Поделиться
bamby Опубликовано 15 января, 2007 Жалоба Поделиться Опубликовано 15 января, 2007 Спасибо... пока всё тихо. руткитов особо не нашлось. даже если бы нашлось - я в логах путём не разберусь... Ссылка на комментарий Поделиться на другие сайты Поделиться
Bilder Опубликовано 15 января, 2007 Жалоба Поделиться Опубликовано 15 января, 2007 C:\WINDOWS\uninst.exe - Email-Worm.Win32.MTX C:\WINDOWS\unin0419.exe - Email-Worm.Win32.MTX C:\WINDOWS\System32\svchost.exe - Trojan-Downloader.Win32.Agent.bca C:\WINDOWS\System32\sporder.dll - not-a-virus:AdWare.NewDotNet C:\WINDOWS\System32\mshearts.exe - P2P-Worm.Win32.Polip.a C:\WINDOWS\System32\clspack.exe Email-Worm.Win32.MTX C:\WINDOWS\\NDNuninstall7_22.exe - not-a-virus:AdWare.Win32.NewDotNet.e C:\RECYCER\............\Webshots\Webdog.exe - Backdoor.Win32.CCInvaled.20 C:\Documents and Settings\Администратор\Рабочий стол\home\system32\sporder.dll - not-avirus:AdWare.NewDotNet C:\WINDOWS\System32\svchost.exe - Trojan-Downloader.Win32.Agent.bca Подскажите плз. как избавиться от этого букета (нашёл с помощью Antiy Ghostbusters 5 Professional но ни чего не удалил), может есть кое нить универсальное средство? Винду переустанавливать не хотса. Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchosts.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\r_server.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\ICQLite\ICQLite.exe C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe C:\Program Files\10-Strike LANState\LANState.exe C:\Program Files\UserGate\UserGate.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE C:\Program Files\Antiy Labs\Alive\ALiveCenter_.exe C:\Program Files\Antiy Labs\AGB5\Agb5_.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Администратор\Local Settings\Temp\Временная папка 1 для hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forum.mista.ru/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Привет R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: 67.15.57.172 auto.search.msn.com #NETVISION O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file) O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [{4CCE045B-095A-1049-0628-040320030007}] "C:\Program Files\Common Files\{4CCE045B-095A-1049-0628-040320030007}\Update.exe" te-110-12-0000046 O4 - HKLM\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [{4CCE045B-095B-1049-0628-040320030007}] "C:\Program Files\Common Files\{4CCE045B-095B-1049-0628-040320030007}\Update.exe" te-110-12-0000046 O4 - HKLM\..\Run: [Antiy Auto Update] C:\Program Files\Antiy Labs\Alive\ALiveCenter.exe O4 - HKLM\..\Run: [AGB5Monitor] C:\Program Files\Antiy Labs\AGuard\AGuard.exe /AutoRun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [bun] c:\windows\system32\crack.exe O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Startup: LANState.lnk = C:\Program Files\10-Strike LANState\LANState.exe O4 - Startup: UserGate.lnk = C:\Program Files\UserGate\UserGate.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam1.net.kht.ru/activex/AxisCamControl.cab O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.easyaccesssite.com/11395-69.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACE6D2B-B48B-4DE5-B5B9-18708F719787}: NameServer = 213.59.136.245 194.85.113.244 O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000046 (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Speed Disk service - Unknown owner - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE (file missing) O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 15 января, 2007 Жалоба Поделиться Опубликовано 15 января, 2007 пока всё тихо. руткитов особо не нашлось.даже если бы нашлось - я в логах путём не разберусь... Мне бы вас очень не хотелось пугать, но дело в том, что на руткит в вашей системе уже указал AVZ (но информации из его лога, к сожалению, не достаточно) + когда в строке FireFox'a (вообще в любой строке) начинает выбиватся "testtesttest...", то это слишком похоже на мониторинг за вами "вслепую". Если вас это не смущает, то это, конечно, целиком и полностью ваше дело. Мне важно лишь предупредить Подскажите плз. как избавиться от этого букета (нашёл с помощью Antiy Ghostbusters 5 Professional но ни чего не удалил), может есть кое нить универсальное средство? Винду переустанавливать не хотса. В вашем случае универсальным средством может стать CureIt от Dr.WEB. Так как если у вас на самом деле живет P2P-Worm.Win32.Polip.a, как говорит та программа, то к этому времени могут быть заражены и многие системные .ехе-файлы, а их нужно на самом деле лечить, а не удалять (и CureIt это умеет) + по логу HijackThis этот вирус никак не даёт о себе знать. Хотя что касается Antiy Ghostbusters, то я ни разу с данной программой никак не встречалась, поэтому не могу судить, насколько её детектирование может быть достоверным. В любом случае проверка, чистка и лечение от Dr.WEB вам сейчас пойдет только на пользу. + по логу HijackThis пофиксите следующее (пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"): R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: 67.15.57.172 auto.search.msn.com #NETVISION O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file) O4 - HKLM\..\Run: [{4CCE045B-095A-1049-0628-040320030007}] "C:\Program Files\Common Files\{4CCE045B-095A-1049-0628-040320030007}\Update.exe" te-110-12-0000046 O4 - HKLM\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKLM\..\Run: [{4CCE045B-095B-1049-0628-040320030007}] "C:\Program Files\Common Files\{4CCE045B-095B-1049-0628-040320030007}\Update.exe" te-110-12-0000046 O4 - HKCU\..\Run: [bun] c:\windows\system32\crack.exe O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.easyaccesssite.com/11395-69.exe http://deposito.easyaccesssite.com/11395-69.exe' rel="external nofollow">Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). + если следующие ограничения и изменения были сделаны без вашего ведома или не вами, то точно также пофиксите и следующие строчки (первое - это изменение в окне браузера: вместо Microsoft Internet Explorer написано Привет; второе - это запрет(-ты) на доступ к каким-либо настройкам системы): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Привет O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Затем: Start > Run (Пуск > Выполнить) Вписываем: services.msc Находим в списке служб следующую: COM+ Messages Кликаем по ней двойным кликом и в открывшемся приложении изменяем её StartUp Type на положение Disabled + нажимаем на кнопку Stop. Сохраняем изменения (Apply и ОК). После этого: Start > Run (Пуск > Выполнить) Копируем в строку: sc delete COM+ Messages Нажимаем ОК или клавишу ENTER. И удаляем файл: C:\WINDOWS\System32\svchosts.exe (только не перепутайте с системным svchost.exe, у вируса обязательно должно быть "s" на конце). Ссылка на комментарий Поделиться на другие сайты Поделиться
Bilder Опубликовано 16 января, 2007 Жалоба Поделиться Опубликовано 16 января, 2007 (изменено) 1)C:\WINDOWS\uninst.exe - Email-Worm.Win32.MTX 2)C:\WINDOWS\unin0419.exe - Email-Worm.Win32.MTX 3)C:\WINDOWS\System32\sporder.dll - not-a-virus:AdWare.NewDotNet 4)C:\WINDOWS\System32\dllcach\mshearts.exe - P2P-Worm.Win32.Polip.a 5)C:\WINDOWS\System32\clspack.exe Email-Worm.Win32.MTX 6)C:\RECYCER\............\Webshots\Webdog.exe - Backdoor.Win32.CCInvaled.20 7)C:\Documents and Settings\Администратор\Рабочий стол\home\system32\sporder.dll - not-avirus:AdWare.NewDotNet Почистил всё Dr. Web-ом, при повторном сканировании ничего не находит, а Antiy Ghostbusters показывает (лог выше). Может из за того что Ghostbusters без ключа? Пропал svchosts.exe, и C:\WINDOWS\NDNuninstall7_22.exe not-a-virus:AdWare.Win32.NewDotNet.e Title изменился и кнопки управления стали активными..... Есть коенить проверенное средство на каждый день, по обнаружению Spyware? Изменено 16 января, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 16 января, 2007 Жалоба Поделиться Опубликовано 16 января, 2007 Почистил всё Dr. Web-ом, при повторном сканировании ничего не находит, а Antiy Ghostbusters показывает (лог выше). Может из за того что Ghostbusters без ключа? Это можно смело удалить прямо вручную: C:\WINDOWS\ uninst.exe C:\WINDOWS\ unin0419.exe C:\WINDOWS\System32\dllcach\ mshearts.exe C:\Documents and Settings\Администратор\Рабочий стол\home\system32\ sporder.dll Файл: C:\WINDOWS\System32\ sporder.dll Можно заменить, скачав незараженный отсюда: http://www.bleepingcomputer.com/files/sporder.php Этот: C:\WINDOWS\System32\ clspack.exe вообще-то системный (Class Package Export Tool), но его удаление не критично. Плюс очистите мусорную корзину. Есть коенить проверенное средство на каждый день, по обнаружению Spyware? Попробуйте обратиться к топикам: Важно знать Anti Spyware Ссылка на комментарий Поделиться на другие сайты Поделиться
Черемуха Опубликовано 16 января, 2007 Жалоба Поделиться Опубликовано 16 января, 2007 winsys2f.dll у меня нашелся... а tmp_4t.dll нет.... еще раз мой новый лог... Logfile of HijackThis v1.99.1 Scan saved at 14:17:54, on 16.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\explorer.exe C:\Program Files\Winamp\Winamp.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Microsoft Office\Office10\EXCEL.EXE C:\Program Files\QIP\qip.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Myname\Мои документы\Проги\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: BlueSoleil.lnk = ? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_39.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{66071156-21EE-4C53-AE21-C2E62DB86650}: NameServer = 212.109.32.5,212.109.32.9 O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing) O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_4t.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cGM3\command.exe (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Большое спасибо Saule за ответы :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Bilder Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 Это можно смело удалить прямо вручную: C:\WINDOWS\ uninst.exe C:\WINDOWS\ unin0419.exe C:\WINDOWS\System32\dllcach\ mshearts.exe C:\Documents and Settings\Администратор\Рабочий стол\home\system32\ sporder.dll Файл: C:\WINDOWS\System32\ sporder.dll Можно заменить, скачав незараженный отсюда: http://www.bleepingcomputer.com/files/sporder.php Этот: C:\WINDOWS\System32\ clspack.exe вообще-то системный (Class Package Export Tool), но его удаление не критично. Плюс очистите мусорную корзину. Попробуйте обратиться к топикам: Важно знать Anti Spyware Чем можно удалить P2P-Worm.Win32.Polip.a? От всего остального вроде избавился. В ручную удаляю, он опять появляется. C:\WINDOWS\System32\dllcach\mshearts.exe - P2P-Worm.Win32.Polip.a C:\WINDOWS\System32\mshearts.exe - P2P-Worm.Win32.Polip.a hijackthis.log hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Long Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 Да, ставил сам Спасибо что обратили внимание ) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 winsys2f.dll у меня нашелся... а tmp_4t.dll нет.... А почему вы его в тот раз не удалили? Теперь лучше будет сделать следующим образом: Закрываем все посторонние программы и приложения, чтобы ничего не мешало. Скачиваем AVZ.Распаковываем, запускаем и нажимаем в его верхнем меню: AVZ Guard > Включить AVZ Guard В появившемся окошке нажимаем ОК. Далее снова в верхнем меню AVZ: Сервис > Менеджер автозапуска В появившемся приложении в левом меню нажимаем на Winlogon, находим строчку напротив, которая ссылается на winsys2freg и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с winsys2freg и затем нажимаем на кнопку "X"). Если вдруг такой строчки там не окажется, то просто переходим к следующему пункту. Также в левом меню нажимаем на AppInit_DLLs, находим строчку напротив, которая ссылается на файл tmp_4t.dll и удаляем её (аналогично предыдущему пояснению). Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!). После перезагрузки снова в верхнем меню AVZ выбираем:Файл > Отложенное удаление файла И копируем в появившееся окошко следующую строку: C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК". Сразу копируем следующую: C:\WINDOWS\System32\tmp_4t.dll Снова "ОК" > "Удаление файлов и эвристическая чистка ссылок на них в системе" и "ОК". Еще раз перезагружаем компьютер. Отключаем AVZ Guard (в верхнем меню AVZ): AVZ Guard > Отключить AVZ Guard ____________ И если есть желание избавиться от записей удаленных вредоносных служб, то делаем следующее: Start > Run (Пуск > Выполнить) Копируем в строку: sc delete Command Service Нажимаем ОК или клавишу ENTER. + Start > Run (Пуск > Выполнить) Копируем в строку: sc delete Network Monitor Нажимаем ОК или клавишу ENTER. Ссылка на комментарий Поделиться на другие сайты Поделиться
Long Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 Огроменное Вам спасибо! Проблема с троянами ушла Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 Чем можно удалить P2P-Worm.Win32.Polip.a? От всего остального вроде избавился. В ручную удаляю, он опять появляется. Тут дело не в каком-либо вирусе, а в самой Windows (системный файл (mshearts.exe - это карточная игра Windows), который автоматически восстанавливается). И для того, чтобы его можно было удалить на совсем, предварительно нужно сделать следующее: Start/Пуск > Settings/Настройки > Control Panel/Панель Управления > Add or Remove Programs/Установка и удаление программ > вкладка сбоку "Add/Remove Windows Components"/"Установка и удаление компонентов Windows" > кнопка Details/Состав (когда выделена первая строчка: Accessories and Utilities) > нажимаем на "Games/Игры" и снова кнопка Details/Состав > убираем галочку рядом с "Hearts". _______________ И пофиксите строчки в логе HijackThis (т.е. откройте HijackThis, нажмите на кнопку "Do a system scan only", отметьте галочкой следующее и затем нажмите на кнопку "Fix Checked"): O4 - HKLM\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.easyaccesssite.com/11395-69.exe http://deposito.easyaccesssite.com/11395-69.exe' rel="external nofollow"> Ссылка на комментарий Поделиться на другие сайты Поделиться
no_one Опубликовано 17 января, 2007 Жалоба Поделиться Опубликовано 17 января, 2007 Подскажите пожалуйста. Подхватил какую-то заразу в инете, теперь сижу мучаюсь....очень большой исходящий и входящий траффик. Пробовал лечиться DRWEB, Касперским, AVZ. Касперский не нашел ничего, так как давно не обновлялся....DRWEB несколько троянов....удалил, AVZ тоже обнаружил пару бяк..........вроде тоже удалил. К сожалению не помогло.......трафик по прежнему большой .......использую IEXPLORER. Пробовал чистить реестр.....наверно как-то коряво почистил, потому что перестала открываться справка в меню пуск и пропал поиск для Windows. И еще в IEXPLORER перестали отображаться гостевые книги на fastbb.ru. Помогите разобраться в этом во всем пожалуйста. А вот и лог..... Logfile of HijackThis v1.99.1 Scan saved at 17:33:39, on 17.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\CNAB4RPK.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\HHVcdV5Sys\VC5SecS.exe C:\Documents and Settings\ВИП\Рабочий стол\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.oreltv.ru/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file) O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file) O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file) O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no file) O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file) O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing) O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing) O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing) O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing) O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Researcher - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROProj.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Tamara Опубликовано 18 января, 2007 Жалоба Поделиться Опубликовано 18 января, 2007 Здравствуйте! Мне нужна помощь по компу: что и куда здесь на удаление!! Спасибки!! вот лог HijackThis Logfile of HijackThis v1.99.1 Scan saved at 0:29:59, on 18.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\svchost.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Elina1\Application Data\Mail.Ru\Agent\MAgent.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\RegCleaner\RegCleanr.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Elina1\Local Settings\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.bt.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Elina1\Application Data\Mail.Ru\Agent\MAgent.exe -CU O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Elina1\Application Data\Mail.Ru\Agent\MAgent.exe (HKCU) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing) O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing) O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing) O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing) Ссылка на комментарий Поделиться на другие сайты Поделиться
VanGog Опубликовано 18 января, 2007 Жалоба Поделиться Опубликовано 18 января, 2007 Подхватил какую-то заразу в инете, теперь сижу мучаюсь....очень большой исходящий и входящий траффик. Поставь файерволл и посмотри что у тебя лезет в инет. А вообще что то я ничего подозрительного не вижу в двух последних логах... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения