Помощь в лечении систем от нечисти

[Nita]

Спасибо за советы. То что советовал ser208 я уже давно пробовала ничего не помагало. По вашему совету, Saule скопировала и внесла в реестр файл wallpaper.rar Перезагрузила, результата не было никакого.

Logfile of HijackThis v1.99.1

Scan saved at 0:37:49, on 12.04.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\atiptaxx.exe

D:\Programs\ABBYY Lingvo 10 English-Russian Dictionary\Lvagent.exe

D:\Programs\ABBYY Lingvo 10 English-Russian Dictionary\Tutor.exe

D:\Programs\Winamp\winampa.exe

D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ATI Multimedia\main\launchpd.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\НАТАША\Рабочий стол\KS_Balance.exe

D:\Program Files\Download Master\dmaster.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\ATI Multimedia\MAIN\ATIMMC.EXE

C:\WINDOWS\System32\wuauclt.exe

D:\Новая папка\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rus.slo.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Programs\ABBYY Lingvo 10 English-Russian Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "D:\Programs\ABBYY Lingvo 10 English-Russian Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [WinampAgent] D:\Programs\Winamp\winampa.exe

O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [123Tray_KievNet] C:\Documents and Settings\НАТАША\Рабочий стол\KS_Balance.exe

O4 - HKCU\..\Run: [Download Master] D:\Program Files\Download Master\dmaster.exe -autorun

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with Lingvo - res://D:\Programs\ABBYY Lingvo 10 English-Russian Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

:)

[ser208]

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Не настраивали ли Вы Рабочий стол как Веб?

Зайдите в свойства--рабочий стол--настройка рабочего стола--веб--убрать галочку "закрепить элементы рабочего стола".

А заодно и саму страницу удалить (не точно).

Изменено 12 апреля, 2007 пользователем ser208

[Saule]

Заношу в "Доверенную зону" одно

а там оказывается другое

А не может эта dll-ка принадлежать этому приложению?

То что советовал ser208 я уже давно пробовала ничего не помагало. По вашему совету, Saule скопировала и внесла в реестр файл wallpaper.rar Перезагрузила, результата не было никакого.

Эти изменения не могут быть связаны с вашим подключением к интернету? (там для работы нужно держать открытым страницу статистики и один из возможных вариантов, это открытие этой страницы как 'Active Desktop' - вы используете этот вариант?)

И как именно сместился рабочий стол? Не могли бы вы сделать скриншот и присоединить его к сообщению?

Как сделать скриншот:

При виде своего рабочего стола, нажмите на клавиатуре клавишу

Print Screen (Prt Scr)

(как правило, она находится сразу же за клавишей F12, но в зависимости от ваше клавиатуры местоположение может и отличатся).

Затем откройте программу

Paint

и нажмие в её верхнем меню:

Правка > Вставить (Edit > Paste)

После чего в меню

Файл (File)

выберите

Сохранить как..(Save as...)

Введите какое-нибудь название для картинки и сохраните (желательно в формате

JPEG/JPG

, так как в нём изображение занимает меньше места, чем предлагаемый по умолчанию формат

BMP

).

[Nita]

Я скопировала картинку рабочего стола как вы просили. После подключения к интернету все было нормально. Я вспомнила что недели две назад NOD32 показал что уменя вирусы, но мне на вашем форуме сказали что они успешно были удалены. После этих сообщений я сканировала диски никаких вирусов не было.

[Saule]

Я скопировала картинку рабочего стола как вы просили. После подключения к интернету все было нормально. Я вспомнила что недели две назад NOD32 показал что уменя вирусы, но мне на вашем форуме сказали что они успешно были удалены. После этих сообщений я сканировала диски никаких вирусов не было.

В этом случае всё-таки желательно скачать AVZ.

Затем включаем и нажимаем в верхнем меню:

Файл > Восстановление системы

В открывшемся приложении отмечаем галочкой пункты:

• Восстановление настроек рабочего стола

• Удаление всех Policies (ограничений) текущего пользователя

И нажимаем на кнопку "Выполнить отмеченные операции":

Затем перезагрузите компьютер и после этого в случае необходимости повторите ту операцию с файлом wallpaper.reg

[Nita]

Я скачала и запустила программу AVZ. Когда я нажала Файл/Востановить систему появилось пустое окошко

[Nita]

Спасибо большое у меня все получилось и программа AVZ запустилась, а я еще скопировала файл в реестр. Обои на рабочем столе стали нормальные. Огромное спасибо за потраченое время :)

[xirx]

У меня dll-овские файлы заражены следующим:

C:\WINDOWS\SYSTEM32\msjidpmo.dll-worm/stration.Gen

C:\WINDOWS\SYSTEM32\scrilprh.dll-worm/stration.Gen

помогите ибо в доступе отказывают и ничего сделать не могу

[Saule]

У меня dll-овские файлы заражены следующим:

C:\WINDOWS\SYSTEM32\msjidpmo.dll-worm/stration.Gen

C:\WINDOWS\SYSTEM32\scrilprh.dll-worm/stration.Gen

помогите ибо в доступе отказывают и ничего сделать не могу

1) Закрываем все посторонние программы и приложения, чтобы ничего не мешало.

2) Скачиваем AVZ.

Распаковываем, запускаем и нажимаем в его верхнем меню:

AVZ Guard > Включить AVZ Guard

В появившемся окошке нажимаем ОК.

Далее снова в верхнем меню AVZ:

Сервис > Менеджер автозапуска

В появившемся приложении в левом меню нажимаем на AppInit_DLLs, находим строчку напротив, которая будет ссылатся на файл msjidpmo.dll и удаляем её (удаление производится следующим образом: галочки нигде снимать не нужно, просто кликаем правой кнопкой мыши на строчку с msjidpmo.dll и затем нажимаем на кнопку "X").

То же самое делаем и со строчкой, ссылающейся на файл scrilprh.dll.

Если вдруг таких строчек вы там обнаружить не сможете, то просто переходим к следующему пункту.

3) Перезагружаем компьютер, но делаем это, не выключая AVZ Guard и не выходя их AVZ (это важно!).

4) После перезагрузки снова в верхнем меню AVZ выбираем:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\WINDOWS\SYSTEM32\msjidpmo.dll

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

То же самое повторяем и для файла:

C:\WINDOWS\SYSTEM32\scrilprh.dll

5) И снова перезагружаем компьютер.

Если какие-либо проблемы в системе после этого всё-равно вдруг останутся, то желательно приложить к своему сообщению либо лог HijackThis, либо отчет AVZ (подробнее описано в первом посте этого топика).

[Marchello88]

Здравствуйте ,вам Всем!!!!! НЕ ЗА ЧТО НЕ НАПИСАЛ БЫ ЕСЛИ БЫ НЕ ЭТО НАПАСТЬ, У МЕНЯ ТРОЯН НЕ МОГУ ВЫВЕСТИ, ЧТО ТОЛЬКО НЕ ПРОБОВАЛ.НЕТ СИЛ МОИХ БОЛЬШЕ ,ПОМОГИТЕ ПОЖАЛУЙСТА.......(если будет время конечно)

Мой лог:

Logfile of HijackThis v1.99.1

Scan saved at 14:12:35, on 07.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\aps\aps.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Program Files\Eset\nod32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Архивы\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

O4 - HKLM\..\Run: [APS] C:\Program Files\aps\aps.exe

O4 - HKLM\..\Run: [ulead Photo Express Calendar Checker] C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Окно состояния Canon LBP-810.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1174854979567

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1174854911269

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A4E12A5-6B3E-4019-990C-0D5ADDAC4A61}: NameServer = 81.22.200.12 81.22.204.35

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

и ещё в папке Temp находяться два файла которые не могу удалить

~DF82B7.tmp

~DF82AE.tmp

~DFE794.tmp

заранее спасибо

[Saule]

Здравствуйте ,вам Всем!!!!! НЕ ЗА ЧТО НЕ НАПИСАЛ БЫ ЕСЛИ БЫ НЕ ЭТО НАПАСТЬ, У МЕНЯ ТРОЯН НЕ МОГУ ВЫВЕСТИ, ЧТО ТОЛЬКО НЕ ПРОБОВАЛ.НЕТ СИЛ МОИХ БОЛЬШЕ ,ПОМОГИТЕ ПОЖАЛУЙСТА

По каким признакам вы определили, что у вас в системе троян?

Если вас беспокоит строка, которую в логе выделена красным цветом, то это всего лишь запись о вашем DNS, хранящаяся в ключе реестра:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DNS

(Domain Name System - система доменных имен) - это система, позволяющая преобразовывать символьные имена доменов в IP-адреса (и наоборот) в сетях TCP/IP.

Причем этот DNS не является вредоносным: 81.22.200.12.

------------

Что касается неудаляемых временных файлов, то в этом нет ничего страшного.

Просто на тот момент, когда вы их пытаетесь удалить, они нужны вашей системе (таким образом она поддерживает некоторые действия, которые вы совершаете во время своей работы). Если вы закроете все активные программы, то они удалятся (но как только вы снова включите что-либо, для чего будут требоваться какие-либо временные файлы, они будут созданы вновь).

[propt]

Уважаемые господа,

Я довольно много лазил по форум и прочитал faq' по борьбе с вирусами, но от своей проблемы избавиться не могу. Вот лог из avz:

Протокол антивирусной утилиты AVZ версии 4.24

Сканирование запущено в 17.04.2007 3:37:21

Загружена база: 101221 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.04.2007 13:01

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58213

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004C66A]

Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004C642]

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004C966]

Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004C93E]

Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004C61A]

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004C916]

Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004C8EE]

Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004C70A]

Функция ntdll.dll:NtResumeProcess (296) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]

Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]

Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004C732]

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]

Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004C822]

Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]

Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004C872]

Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004C89E]

Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004C70A]

Функция ntdll.dll:ZwResumeProcess (1105) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]

Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]

Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004C732]

Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]

Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004C822]

Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]

Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004C872]

Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004C89E]

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004CD26]

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004C52A]

Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004C502]

Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004CCFE]

Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004CCD6]

Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004CCAE]

Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004CC86]

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004C9B6]

Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004CA56]

Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004CACE]

Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004CAA6]

Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004CBBE]

Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004CB96]

Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004CA7E]

Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004CC5E]

Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004CB1E]

Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004CAF6]

Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004CB6E]

Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004CB46]

Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004CC36]

Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004CC0E]

Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004CBE6]

Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004CA2E]

Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004C98E]

Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004C9DE]

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004CD76]

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004CD4E]

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->F5AAB8B0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtClose (19) перехвачена (805675D9->F5A9DBE0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateFile (25) перехвачена (8057164C->F5A9B1E0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateKey (29) перехвачена (8056F063->F5AA1FB0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateProcess (2F) перехвачена (805B3543->F5AA9120), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateProcessEx (30) перехвачена (805885D3->F5AA97F0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSection (32) перехвачена (80564B1B->F5A9A4A0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F5AA1DB0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateThread (35) перехвачена (8057F262->F5B5AFA0), перехватчик C:\Program Files\Outpost Firewall\kernel\FILTNT.SYS

Функция NtDeleteFile (3E) перехвачена (805D8CF7->F5AA0F80), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteKey (3F) перехвачена (8059D6BD->F5AA3200), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteValueKey (41) перехвачена (80597430->F5AA7570), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtLoadDriver (61) перехвачена (805A6B26->F5AA7F20), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->F5AA1700), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenFile (74) перехвачена (805715E7->F5A9CAD0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenKey (77) перехвачена (805684D5->F5AA2BE0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenProcess (7A) перехвачена (8057459E->F5AA9ED0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenSection (7D) перехвачена (805766CC->F5A9ABA0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtProtectVirtualMemory (89) перехвачена (8057494D->F5AAC670), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F5A9E010), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryKey (A0) перехвачена (8056F473->F5AA3B90), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F5AA41F0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtReplaceKey (C1) перехвачена (8064D892->F5AA52C0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtRestoreKey (CC) перехвачена (8064C3B0->F5AA6F00), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKey (CF) перехвачена (8064C457->F5AA6230), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->F5AA6890), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetInformationFile (E0) перехвачена (80579E7E->F5A9F1A0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetValueKey (F7) перехвачена (80575527->F5AA4870), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtTerminateProcess (101) перехвачена (8058AE1E->F5B5B910), перехватчик C:\Program Files\Outpost Firewall\kernel\FILTNT.SYS

Функция NtTerminateThread (102) перехвачена (8057E97C->F5AAB0B0), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtUnloadDriver (106) перехвачена (80618B6E->F5AA8460), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F5AABF00), перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS

Проверено функций: 284, перехвачено: 32, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Видимый процесс с PID=1852, имя = "\Device\HarddiskVolume1\PROGRA~1\DrWeb\spidernt.exe"

>> обнаружена подмена имени, новое имя = "c:\program files\drweb\spidernt.exe"

Поиск маскировки процессов и драйверов завершен

2. Проверка памяти

Количество найденных процессов: 22

Количество загруженных модулей: 241

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 263, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 17.04.2007 3:37:43

Сканирование длилось 00:00:24

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Что такое APICodeHijack.JmpTo и перехватчик C:\Program Files\Outpost Firewall\kernel\Sandbox.SYS и как это вылечить ???

Я пробовал: из обычного режима и из safe mode прогонял AVZ,drweb, cure it, ewido_micro, через AVZ делал восстановление системы.

Очень прошу помочь.

[Saule]

Я пробовал: из обычного режима и из safe mode прогонял AVZ,drweb, cure it, ewido_micro, через AVZ делал восстановление системы.

Очень прошу помочь.

Приложите, пожалуйста, к своему сообщению протокол исследования системы (в верхнем меню AVZ: Файл > Исследование системы).

[Гость avb_constructor]

Что-то подозрительное творится с моим компом: у Adobe Иллюстратора файлы стали весить слишком много. Даже бывает такое, что я какую-нибудь картинку выдеру из одного файла, она весит больше метра, а сам файл, из которого я ее выдрал - около сотни Кб.

Лог прикладываю:

[ser208]

Что-то подозрительное творится с моим компом: у Adobe Иллюстратора файлы стали весить слишком много. Даже бывает такое, что я какую-нибудь картинку выдеру из одного файла, она весит больше метра, а сам файл, из которого я ее выдрал - около сотни Кб.

Лог прикладываю:

Если выдергиваемую картинку сохранять в *.bmp, как это по умолчанию делает Paint, то естественно она будет тяжелее.

Ты сохраняй сразу в *.jpeg

Изменено 17 апреля, 2007 пользователем ser208

[Гость avb_constructor]

Если выдергиваемую картинку сохранять в *.bmp, как это по умолчанию делает Paint, то естественно она будет тяжелее.

Ты сохраняй сразу в *.jpeg

Так я имел в виду векторное изображение, а не растр. У меня в первоначальном файле были нарисованы все фотошаблоны (где-то шесть-семь штук), я один из них перенес в другой файл. А этот фотошаблон - совсем простой: один залитый контур в виде прямоугольника со скругленными углами, надпись, преобразованная в кривые, и два крестика в виде линии обводки. Но почему-то он весит в десять раз больше, чем семь фотошаблонов, которые гораздо сложнее по графике и по идее должны весить больше, чем один фотошаблон. Кстати, если все равно не понятно, то я уже не смогу вам объяснить, т.к. я не могу выложить картинки с этими самыми фотошаблонами (пардон, это коммерческая тайна).

[ser208]

(пардон, это коммерческая тайна).

Да они мне даром не нужны. Просто проверь расширения и все. И наврядли есть такая зараза (т.е. вирусы), которые дабы узнать Вашу тайну, будут увеличивать размеры векторной графики.

Изменено 17 апреля, 2007 пользователем ser208

[Гость avb_constructor]

Расширение у них одно - ai, и версия одна - CS2. Но почему такая разница, непонятно. И это один из примеров. А вообще меня стало удивлять, что любой файл Иллюстратора, не сильно загруженный графикой стал весить больше 1 метра (до недавнего времени типичный размер таких файлов был 200-300 Кб, 500 Кб - это уже самый максимум).

[propt]

Приложите, пожалуйста, к своему сообщению протокол исследования системы (в верхнем меню AVZ: Файл > Исследование системы).

Прикладываю! Спасибо.

avz_sysinfo.htm

avz_sysinfo.htm

[Saule]

Прикладываю! Спасибо.

1. Нажимаем в верхнем меню AVZ:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\WINDOWS\system32\msdndr.sys

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

2. Затем то же самое поочередно повторяем для файлов:

c:\windows\system32\dlchjdbq.pif

c:\windows\system32\kvxidtbq.pif

c:\windows\system32\lfgfzbjy.pif

C:\WINDOWS\system32\msdndr.pif

c:\windows\system32\pxibufzi.pif

c:\windows\system32\wsoigabd.pif

3. Теперь перезагружаем компьютер, после чего желательно повторить лог AVZ (Исследование системы).

[Saule]

Что-то подозрительное творится с моим компом: у Adobe Иллюстратора файлы стали весить слишком много. Даже бывает такое, что я какую-нибудь картинку выдеру из одного файла, она весит больше метра, а сам файл, из которого я ее выдрал - около сотни Кб.

Лог прикладываю:

В логе ничего подозрительного не вижу. Но тому, что файлы .ai начали весить больше, наверняка, есть разумное объяснение. Может какие-нибудь новые плагины устанавливались или менялись настройки программы? Нужно немного подумать.

[Гость avb_constructor]

В логе ничего подозрительного не вижу. Но тому, что файлы .ai начали весить больше, наверняка, есть разумное объяснение. Может какие-нибудь новые плагины устанавливались или менялись настройки программы? Нужно немного подумать.

Но ничего нового в Иллюстратор я не добавлял (никаких плагинов). И настройки такие же, как обычно.

[Saule]

Но ничего нового в Иллюстратор я не добавлял (никаких плагинов). И настройки такие же, как обычно.

Попробуй почитать, может это то самое:

Описание проблемы: любой файл, даже пустой!, сохраненный в формате Иллюстратора «*.ai», либо «*.eps» имеет размер ~390-450 Кб

Очистка файлов EPS и AI от всяческого мусора и лишней информации

Большой размер пустого файла *.ai

Размер файла AI CS

http://forum.rudtp.ru/archive/index.php/t-6588.html' rel="external nofollow">

[propt]

1. Нажимаем в верхнем меню AVZ:

Файл > Отложенное удаление файла

И копируем в появившееся окошко следующую строку:

C:\WINDOWS\system32\msdndr.sys

Затем нажимаем "ОК", выбираем "Удаление файлов и эвристическая чистка ссылок на них в системе" и снова "ОК".

2. Затем то же самое поочередно повторяем для файлов:

c:\windows\system32\dlchjdbq.pif

c:\windows\system32\kvxidtbq.pif

c:\windows\system32\lfgfzbjy.pif

C:\WINDOWS\system32\msdndr.pif

c:\windows\system32\pxibufzi.pif

c:\windows\system32\wsoigabd.pif

3. Теперь перезагружаем компьютер, после чего желательно повторить лог AVZ (Исследование системы).

Спасибо ! эти файлы, удалились, прилагаю лог.

Но перехватчики остались. Если выполнить в AVZ скрипт по нейтрализации руткит, то он их восстановит, но после перезагрузки они появляются опять.

Может быть стоит снести outpost и drweb и установить их снова?

avz_sysinfo2.htm

avz_sysinfo2.htm

[ui lt]

Подскажите пожалуйста :

Как правильно распокавать HijackThis, пишит нет файла для распаковки.

АVZ распаковала, а что дальше ???