ser208 Опубликовано 29 мая, 2007 Жалоба Поделиться Опубликовано 29 мая, 2007 (изменено) s1ngl0 Перезагрузок было всего 2,меня больше удивляет отключение компа - он потом не включается минут 5. Проверь температуры программой Everest или Speedfan (проверяй под нагрузкой). Лучше всего это делать с помощью программы S&M. Включи S&M и запусти тест. А в Everest или Speedfan отслеживай температуры. .:KAIN:. Исче 2 вопроса-када мышку глючитЪ(то есть стрелка мышки на екране вылетает резко вверх,а в Call of Duty камера наводиться вверх и вертиться пока мышкой не шевельнешь) ето от вирусов или в настройках покапаться надо? Используй поверхность для мышки без резкого перехода цветов. P.S. Может обойдешься в следующий раз без этого идиотского сленга? Изменено 29 мая, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
.:KAIN:. Опубликовано 30 мая, 2007 Жалоба Поделиться Опубликовано 30 мая, 2007 Нажал исследование системы,сис инфо поставил куда сохранить,нажал пуск-AVZ не отвечает Ссылка на комментарий Поделиться на другие сайты Поделиться
.:KAIN:. Опубликовано 30 мая, 2007 Жалоба Поделиться Опубликовано 30 мая, 2007 Исследовал-вот файл avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 30 мая, 2007 Жалоба Поделиться Опубликовано 30 мая, 2007 .:KAIN:.: Выложи еще лог HijackThis Похоже у тебя червь Случаем не получал из контакта в аське сообщение с ссылкой типа, Check this, My photo и т.д. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 30 мая, 2007 Жалоба Поделиться Опубликовано 30 мая, 2007 Исследовал-вот файл Newdotnet в данном случае - это лишь безобидная мелочь, по сравнению со всем остальным. Поэтому легче будет удалить всю заразу с помощью функции выполнения скриптов в AVZ (если что-то вдруг будет вам не понятно, то спрашивайте). 1. В верхнем меню AVZ нажимаем: Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('D:\WINDOWS1\System32\confmms.dll');DeleteFile('D:\WINDOWS1\System32\confjfg.dll');DeleteFile('D:\WINDOWS1\System32\confnxs.dll');DeleteFile('D:\WINDOWS1\System32\confxxn.dll');DeleteFile('D:\WINDOWS1\System32\diagisr.dll');DeleteFile('D:\WINDOWS1\System32\e1.dll');DeleteFile('D:\WINDOWS1\system32\instcat.dll');DeleteFile('D:\WINDOWS1\system32\jpgmgr32.dll');DeleteFile('D:\WINDOWS1\system32\jpgstat.dll');DeleteFile('D:\WINDOWS1\system32\jfgmgr32.dll');DeleteFile('D:\WINDOWS1\system32\jfgstat.dll');DeleteFile('D:\WINDOWS1\system32\mmsmgr32.dll');DeleteFile('D:\WINDOWS1\system32\mmsstat.dll');DeleteFile('D:\WINDOWS1\system32\mqqmdisp.dll');DeleteFile('D:\WINDOWS1\system32\slbipsch.dll');DeleteFile('D:\WINDOWS1\system32\brwmgr32.dll');DeleteFile('D:\WINDOWS1\system32\confnss.dll');DeleteFile('D:\WINDOWS1\system32\wmvmgr32.dll');DeleteFile('D:\Program Files\NewDotNet\newdotnet7_48.dll');DeleteFile('D:\WINDOWS1\system32\svhst32.exe');DeleteFile('D:\WINDOWS1\c.5.0.exe');DeleteFile('D:\WINDOWS1\fdd.exe');DeleteFile('D:\WINDOWS1\system32\brwconf.exe');DeleteFile('D:\WINDOWS1\system32\c.6.0.exe');DeleteFile('D:\WINDOWS1\system32\c.8.0.exe');DeleteFile('D:\WINDOWS1\system32\jfgconf.exe');DeleteFile('D:\WINDOWS1\system32\jpgconf.exe');DeleteFile('D:\WINDOWS1\system32\mmsconf.exe');DeleteFile('D:\WINDOWS1\system32\wmvconf.exe');DeleteFile('D:\WINDOWS1\system32:lzx32.sys:$DATA');DeleteFile('D:\WINDOWS1\system32:lzx32.sys');DeleteFile('D:\WINDOWS1\System32\drivers\runtime.sys');DeleteFile('D:\WINDOWS1\System32\drivers\runtime2.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('PE386');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_LogFile(GetAVZDirectory + 'boot_clr.log');BC_Activate;RebootWindows(true);end. Запускаем с помощью соответствующей кнопки. Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить. Плюс предварительно, на всякий случай, скачайте LSPfix, чтобы в случае проблем с интернетом после чистки системы, это можно было бы починить (также, как вы делали это раньше - т.е. он сам вам покажет ошибку, если она будет иметь место в системе). 2. Затем желательно повторить лог исследования системы с помощью AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
.:KAIN:. Опубликовано 31 мая, 2007 Жалоба Поделиться Опубликовано 31 мая, 2007 LSP сказал No Problems founded вот лог Спасибо огромное-интернет теперь не тормозит,но ошибку newdotnet7_48.dll все-равно выдает avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 31 мая, 2007 Жалоба Поделиться Опубликовано 31 мая, 2007 .:KAIN:.: Скинь лог HijackThis Ссылка на комментарий Поделиться на другие сайты Поделиться
.:KAIN:. Опубликовано 1 июня, 2007 Жалоба Поделиться Опубликовано 1 июня, 2007 y M9 HETy Hijack'a Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 1 июня, 2007 Жалоба Поделиться Опубликовано 1 июня, 2007 y M9 HETy Hijack'a В шапке ссылка и инструктаж. Ссылка на комментарий Поделиться на другие сайты Поделиться
Serg-is-Saynogorska Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 Здравствуйте! На компьютере для защиты установлен NOD32, Outpost с последними базами, а почитал тему и теперь появились сомнения. Значит получаеться нужно ещё устанавливать программы. Посоветуйте, чего не хватает? И ещё, если не затруднит посмотрите мой лог. Заранее благодарен! Logfile of HijackThis v1.99.1 Scan saved at 14:57:38, on 02.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\PureSoft\Hide Folder 3.0\HF30Service.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe C:\Program Files\Punto Switcher\Punto Switcher\ps.exe C:\Program Files\processkiller\prkiller.exe C:\Program Files\SBRunScr\SBRunScr.exe C:\Program Files\Time Sync Pro\timesync.exe C:\Program Files\Часы\apClock.exe C:\Program Files\PowerOff53-22betaR\PowerOff53-22betaR.exe C:\Program Files\SpeedFan\speedfan.exe C:\taskmgr.exe C:\progra~1\statistxp\StatistXP.exe C:\Program Files\Totalcmd 7.0RC3\TOTALCMD.EXE C:\Program Files\QIP\qip.exe C:\Program Files\TrafficCompressor\TCompres.exe C:\Program Files\Agnitum\Outpost Firewall Pro\op_viewer.exe C:\Program Files\Opera\Opera.exe C:\Program Files\FlashGet\flashget.exe C:\Program Files\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe /startup O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\Punto Switcher\ps.exe O4 - HKCU\..\Run: [prkiller] C:\Program Files\processkiller\prkiller.exe O4 - HKCU\..\Run: [sBRunScr] C:\Program Files\SBRunScr\SBRunScr.exe O4 - Startup: Clock.lnk = ? O4 - Startup: PowerOff.lnk = C:\Program Files\PowerOff53-22betaR\PowerOff53-22betaR.exe O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe O4 - Startup: StatistXP.lnk = C:\Program Files\StatistXP\run_statistxp.cmd O4 - Startup: taskmgr.lnk = C:\taskmgr.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0D1B7B66-4721-44BE-AB32-5E92FD7DDBF8}: NameServer = 10.10.30.3 10.10.30.4 O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: HF30Service - Unknown owner - C:\Program Files\PureSoft\Hide Folder 3.0\HF30Service.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 (изменено) C:\taskmgr.exe Ты сам устанавливал? Это подчисть O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file) O4 - Startup: Clock.lnk = ? Изменено 2 июня, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Serg-is-Saynogorska Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 C:\taskmgr.exe Ты сам устанавливал? Да сам. Это подчисть O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file) O4 - Startup: Clock.lnk = ? Clock.lnk -тоже сам (часики) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 Clock.lnk -тоже сам (часики) Если не считать разные часики-сменялки обоев само по себе заразой -- то все вроде нормально. Ссылка на комментарий Поделиться на другие сайты Поделиться
Serg-is-Saynogorska Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 А анти-троян посоветуйте. Пробовал Agnitum tauscan1.7build1414, так он ни чего по-моему не ловит. И ещё вопрос: обновлять страницу на форуме лучше через какой промежуток(я первый раз и у меня дорогущий GPRS). Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 2. Скачай триал-версию Ewido Security Suite http://www.ewido.net/en/download/ Инсталируй и сразу сделай его update. ... Сделай полное сканирование системы с помощью Ewido Security Suite. Он найдет всё, что не отображаеться в логе HijackThis и находиться в скрытых папках системы. Когда он закончит, сохрани его лог (кнопка Save report, которая в конце покажеться внизу его окошка). А кроме ESS что еще может найти "...все, что не отображаетЬся в логе HijackThis и находитЬся в скрытых папках системы."? Что-нибудь из бесплатных (freeware) делает ЭТО? Сенкс! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 (изменено) Спасибо огромное-интернет теперь не тормозит,но ошибку newdotnet7_48.dll все-равно выдает NewDotNet можно попробовать удалить обычным способом (это будет самое правильное): 1. Через Start > Control Panel > Add or Remove Programs (Пуск > Панель управления > Установка и удаление программ). Найдите что-то похожее на 'New.net' и деинсталлируйте. 2. Если по каким-то причинам удалить таким образом не удается, то можно использовать специальный деинсталлятор - NNuninstall (не смотря на то, что антивирусы детектируют adware и в деинсталляторе - это не вирус). Что касается остального, то желательно всё же скачать HijackThis :) - для того, чтобы немного дочистить реестр (удалить с его помощью записи, ранее принадлежавшие вирусам). Сами по себе эти записи уже не опасны, но тем не менее (т.е. это на ваше личное усмотрение). Итак, нужно будет нажать на кнопку "Do a system scan only" и отметить галочкой следующее, если это еще будет присутствовать в логе: O4 - HKLM\..\Run: [startdrv] D:\WINDOWS1\Temp\startdrv.exe O4 - HKCU\..\Run: [WinFixer2005] "D:\Program Files\WinFixer 2005\uwfx5.exe" O20 - AppInit_DLLs: confnss.dll jpgstat.dll jfgstat.dll mmsstat.dll e1.dll diagisr.dll confxxn.dll confnxs.dll confmms.dll confjfg.dll O20 - Winlogon Notify: brwmgr - D:\WINDOWS1\System32\brwmgr32.dll (file missing) O20 - Winlogon Notify: instcat - D:\WINDOWS1\System32\instcat.dll (file missing) O20 - Winlogon Notify: jfgmgr - D:\WINDOWS1\System32\jfgmgr32.dll (file missing) O20 - Winlogon Notify: jpgmgr - D:\WINDOWS1\System32\jpgmgr32.dll (file missing) O20 - Winlogon Notify: mmsmgr - D:\WINDOWS1\System32\mmsmgr32.dll (file missing) O20 - Winlogon Notify: wmvmgr - D:\WINDOWS1\System32\wmvmgr32.dll (file missing) Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть). Изменено 2 июня, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 июня, 2007 Жалоба Поделиться Опубликовано 2 июня, 2007 А кроме ESS что еще может найти "...все, что не отображаеться в логе HijackThis и находиться в скрытых папках системы."?Что-нибудь из бесплатных (freeware) делает ЭТО? Что касается Ewido и скрытых папок системы, то речь в той ситуации шла о конкретном случае заражения (rogue anti-spyware и приложения с ними связанные). Поэтому ваш вопрос некорректный + находится совсем не в том месте (т.к. эта тема рассматривает конкретные случаи и по сути не может подразумевать общих рекомендаций). Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 Что касается Ewido и скрытых папок системы, то речь в той ситуации шла о конкретном случае заражения (rogue anti-spyware и приложения с ними связанные). Поэтому ваш вопрос некорректный + находится совсем не в том месте (т.к. эта тема рассматривает конкретные случаи и по сути не может подразумевать общих рекомендаций). Простите если вопрос показался Вам некорректным... Тогда я подойду с другой стороны: Выходит из Ваших слов что HijackThis по большому счету видит не все - скрытые папки и файлы например нет - так получается? Следовательно нужны иные софтины - понятно что для каждого случая разные, но... НО тогда как догадаться какие - Ewido Или AVZ например... Какие мануалы тогда почитать в первую очередь (в какой ветке форума)? Будьте снисходительны плиз если Вы считаете что я опять не в это ветке спросил... Думаю Ваш ответ будет полезен многим посетителям и этой ветки форума (надеюсь!)! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 Выходит из Ваших слов что HijackThis по большому счету видит не все -скрытые папки и файлы например нет - так получается? Да, HijackThis всего видеть не может. И даже больше - его основные возможности сводятся только к тому, что он может показывать обычные изменения в настройках наиболее уязвимых областей операционной системы. И при этом ему абсолютно не важно, какая конкретно программа эти изменения сделала - "нормальное" приложение пользователя или действительно вирус. Тем более ни о каких скрытых папках и файлах там и речи быть даже не может, т.к. у HijackThis совсем другие задачи. На основе выданной им информации, как правило, можно сделать определенные выводы относительно общего состояния Windows + выявить большую часть активных на тот момент вредоносных программ. Ведь для того, чтобы программа начала выполняться, она должна запуститься (в противном случае толку для неё нет никакого, пусть она даже и "нашла себе скрытую папку"). К тому же HijackThis очень удобно использовать в ситуациях, когда человеку нужна помощь именно такого характера (через форум, когда нет возможности вдаваться в детали происходящего на компьютере, но без деталей - зачастую рекомендаций не дать). Тем не менее здесь есть несколько НО, наиболее значимые из которых: во-первых, HijackThis 1.99.1 был выпущен еще в феврале 2005 года (в Trend Micro HijackThis 2 кардинальных изменений также, к сожалению, не внесли). И было бы очень наивно полагать, что за это время методы автозапуска вирусов никак не изменялись. во-вторых, от HijackThis довольно просто маскироваться (например, можно запускаться и под видом абсолютно "нормальной" программы, на которую никто, кроме, самого пользователя внимания в логе никогда не обратит - т.к. посторонний человек не может знать о том, что вы, к примеру, никогда не устанавливали ICQ5; либо программа может умышленно занести себя в список исключений HijackThis: Config... > Ignorelist и т.п.). в-третьих, вирусы, которые живут исключительно благодаря заражению исполняемых файлов системы, с помощью HijackThis также вполне могут не детектироваться (если первый запуск был сделан из такого же зараженного exe-файла, без создания каких-то опреденных ключей). Соответственно важно также знать следующее: время от времени (т.е. по мере необходимости) обязательно нужно использовать программы для детектирования руткитов (кратко о руткитах), так как в последнее время они всё чаще и чаще встречаются на компьютерах обычных пользователей.Здесь можно использовать AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis). не стесняйтесь обращать внимание, спрашивать или уточнять, если какие-то строки в логе вас по каким-то причинам смущают или кажутся подозрительными.Плюс чем подробнее вы расскажете о проблеме, тем больше шансов будет от этой проблемы избавиться. перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan; анти-троян: Ewido anti-spyware. По поводу остального ("иного софта") - ничего конкретного сказать не могу, так как либо вам нужно задавать вопросы более конкретно, либо мне придется отвечать слишком расплывчато. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 Saule: Отличный ответ... + Не один антивирус не может дать 100% гарантию того, что он найдет и удалит вирус из системы, лично на себе проверял=) Так же может возникнуть вопрос, а зачем вообще тогда лог HijackThis, если можно сделать исследование системы AVZ? Ответ прост, некоторые вирусы оставляют за собой мусор, иногда безобидный, а иногда нет. Например вирус оставил себя в строке автозагрузки и (или) в каком-нибудь контекстном меню. Ссылка на комментарий Поделиться на другие сайты Поделиться
Speed Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 сегодня сканировал систему , и нашёл вот такое C:\VundoFix Backups\aciarhrc.dll.bad - a variant of Win32/BHO.G trojan чё ж такое , одной прого удаляю гадость , ею же себе новую и приношу ... :( у вас прочитал про этот вундофикс ..чё они там с этой прожкой мутят ... скажите ! логг Logfile of HijackThis v1.99.1 Scan saved at 21:31:08, on 03.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS1\System32\smss.exe C:\WINDOWS1\system32\winlogon.exe C:\WINDOWS1\system32\services.exe C:\WINDOWS1\system32\lsass.exe C:\WINDOWS1\system32\Ati2evxx.exe C:\WINDOWS1\system32\svchost.exe C:\WINDOWS1\System32\svchost.exe C:\WINDOWS1\system32\Ati2evxx.exe C:\WINDOWS1\Explorer.EXE C:\WINDOWS1\system32\spoolsv.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS1\system32\ctfmon.exe C:\Program Files\KillSoft\KillWatcher\kwatch.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS1\system32\HPZipm12.exe C:\WINDOWS1\system32\svchost.exe C:\WINDOWS1\system32\wuauclt.exe C:\WINDOWS1\system32\WISPTIS.EXE C:\Program Files\Eset\nod32.exe C:\Program Files\Opera\Opera.exe C:\Program Files\QIP\qip.exe C:\Documents and Settings\1.Adam.ADAM\Рабочий стол\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.videoediting.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe O4 - HKCU\..\Run: [KillWatcher] C:\Program Files\KillSoft\KillWatcher\kwatch.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{312709CB-2E86-40D6-8AA0-822546FE9547}: NameServer = 192.168.0.1 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C94771-C042-4094-BF4E-54AEAB67E5D1}: NameServer = 195.5.11.210,195.5.6.10 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS1\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS1\system32\ati2sgag.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS1\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS1\system32\mnmsrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS1\system32\HPZipm12.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS1\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS1\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS1\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS1\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS1\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 сегодня сканировал систему , и нашёл вот такое C:\VundoFix Backups\aciarhrc.dll.bad - a variant of Win32/BHO.G trojan чё ж такое , одной прого удаляю гадость , ею же себе новую и приношу ... :( у вас прочитал про этот вундофикс ..чё они там с этой прожкой мутят ... скажите ! Backups - папка, в которую автоматически сохраняются любые удаленные программой файлы (в данном случае речь идет о программе - VundoFix). Это необходимо для того, чтобы кто-нибудь вот также не сказал - ...а с какой стати эта прожка удалила из моей системы dll-ки..? Другими словами, это стандартный механизм в подобных ситуациях (резервная копия на тот случай, если пользователь по каким-либо причинам захочет восстановить удаленное). Если вы что-то пробовали удалять с помощью HijackThis, то обратите внимание - в его папке тоже будет автоматически создана новая директория backups. Просто удалите папку VundoFix Backups со всем её содержимым + программой должен был создаться лог, также в корне системного диска: C:\VundoFix.txt Его тоже удалите. И в любом случае вредоносный файл опасным для вас не был, так как при всем его желании запуститься он не мог по той простой причине, что VundoFix изменил его расширение (с .dll на .dll.bad; bad = плохой). 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Speed Опубликовано 3 июня, 2007 Жалоба Поделиться Опубликовано 3 июня, 2007 спасибо ..глупый был вопрос учитывая папку где они лежали ) вот лог из авз помогите ..тачка живёт , но уверненности нет ..аутпост не хочет ключи жрать , и сессия , некогда виндой заяться ( Имя файла PID Описание Copyright MD5 Информация c:\windows1\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC 1312 Application Layer Gateway Service © Microsoft Corporation. All rights reserved. ?? 43.50 кб, rsAh, создан: 14.04.2007 20:14:33, изменен: 17.08.2004 16:04:38 Командная строка: C:\WINDOWS1\System32\alg.exe c:\windows1\explorer.exe Скрипт: Kарантин, Удалить, Удалить через BC 1468 Проводник © Корпорация Майкрософт. Все права защищены. ?? 1008.50 кб, rsAh, создан: 14.04.2007 20:14:46, изменен: 17.08.2004 16:04:48 Командная строка: C:\WINDOWS1\Explorer.EXE c:\program files\java\jre1.6.0_01\bin\jusched.exe Скрипт: Kарантин, Удалить, Удалить через BC 1624 Java Platform SE binary Copyright © 2004 ?? 81.65 кб, rsAh, создан: 16.05.2007 20:22:46, изменен: 14.03.2007 3:43:44 Командная строка: "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" c:\program files\killsoft\killwatcher\kwatch.exe Скрипт: Kарантин, Удалить, Удалить через BC 1660 Killer{R} ?? 947.00 кб, rsAh, создан: 23.04.2007 20:50:14, изменен: 16.05.2004 8:45:40 Командная строка: "C:\Program Files\KillSoft\KillWatcher\kwatch.exe" c:\windows1\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC 732 LSA Shell (Export Version) © Microsoft Corporation. All rights reserved. ?? 13.00 кб, rsAh, создан: 14.04.2007 20:14:52, изменен: 17.08.2004 16:04:52 Командная строка: C:\WINDOWS1\system32\lsass.exe c:\program files\eset\nod32krn.exe Скрипт: Kарантин, Удалить, Удалить через BC 1948 NOD32 Kernel Service Copyright © 1992-2005 Eset ?? 539.13 кб, rsAh, создан: 22.05.2007 23:52:54, изменен: 22.05.2007 23:52:40 Командная строка: "C:\Program Files\Eset\nod32krn.exe" c:\program files\eset\nod32kui.exe Скрипт: Kарантин, Удалить, Удалить через BC 1632 NOD32 Control Center GUI Copyright © 1992-2005 Eset ?? 927.13 кб, rsAh, создан: 22.05.2007 23:52:54, изменен: 22.05.2007 23:52:40 Командная строка: "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE c:\program files\qip\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC 2892 Quiet Internet Pager ?? 3183.00 кб, rsAh, создан: 21.04.2007 20:35:12, изменен: 21.04.2007 20:35:12 Командная строка: "C:\Program Files\QIP\qip.exe" c:\windows1\system32\spoolsv.exe Скрипт: Kарантин, Удалить, Удалить через BC 1544 Spooler SubSystem App © Microsoft Corporation. All rights reserved. ?? 56.50 кб, rsAh, создан: 14.04.2007 20:15:08, изменен: 17.08.2004 16:05:08 Командная строка: C:\WINDOWS1\system32\spoolsv.exe c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1044 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh, создан: 14.04.2007 20:15:08, изменен: 17.08.2004 16:05:08 Командная строка: C:\WINDOWS1\System32\svchost.exe -k netsvcs c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1092 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh, создан: 14.04.2007 20:15:08, изменен: 17.08.2004 16:05:08 Командная строка: C:\WINDOWS1\system32\svchost.exe -k NetworkService c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1180 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh, создан: 14.04.2007 20:15:08, изменен: 17.08.2004 16:05:08 Командная строка: C:\WINDOWS1\system32\svchost.exe -k LocalService c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 972 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh, создан: 14.04.2007 20:15:08, изменен: 17.08.2004 16:05:08 Командная строка: C:\WINDOWS1\system32\svchost -k rpcss c:\program files\total commander\totalcmd.exe Скрипт: Kарантин, Удалить, Удалить через BC 3956 Total Commander 32 bit international version, file manager replacement for Windows Copyright © 1993-2006 Christian Ghisler ?? 824.25 кб, rsAh, создан: 26.01.2006 1:00:00, изменен: 26.01.2006 1:00:00 Командная строка: "C:\Program Files\Total Commander\Totalcmd.exe" Обнаружено:29, из них опознаны как безопасные 23 Имя модуля Handle Описание Copyright MD5 Используется процессами C:\Program Files\ASCON\KOMPAS-3D V8\Bin\kThumb.DLL Скрипт: Kарантин, Удалить, Удалить через BC 38076416 КОМПАС-3D Thumb DLL © ЗАО АСКОН, 1989-2005. Все права защищены. -- 1468, 3956 C:\Program Files\Eset\nod32krn.exe Скрипт: Kарантин, Удалить, Удалить через BC 4194304 NOD32 Kernel Service Copyright © 1992-2005 Eset ?? 1948 C:\Program Files\Eset\nod32kui.exe Скрипт: Kарантин, Удалить, Удалить через BC 4194304 NOD32 Control Center GUI Copyright © 1992-2005 Eset ?? 1632 C:\Program Files\Eset\nodshex.dll Скрипт: Kарантин, Удалить, Удалить через BC 15532032 -- 1468 C:\Program Files\Eset\ps_amon.dll Скрипт: Kарантин, Удалить, Удалить через BC 542113792 NOD32 AMON - on-access scanner Copyright © 1992-2005 Eset -- 1948 C:\Program Files\Eset\ps_dmon.dll Скрипт: Kарантин, Удалить, Удалить через BC 567279616 NOD32 DMON - document scanning support Copyright © 1992-2005 Eset -- 1948 C:\Program Files\Eset\ps_emon.dll Скрипт: Kарантин, Удалить, Удалить через BC 571473920 NOD32 EMON - e-mail scanning support Copyright © 1992-2005 Eset -- 1948 C:\Program Files\Eset\ps_nod32.dll Скрипт: Kарантин, Удалить, Удалить через BC 545259520 NOD32 - on-demand scanner Copyright © 1992-2005 Eset -- 1948 C:\Program Files\Eset\ps_upd.dll Скрипт: Kарантин, Удалить, Удалить через BC 538968064 NOD32 Update module Copyright © 1992-2005 Eset -- 1948 C:\Program Files\Eset\pu_amon.dll Скрипт: Kарантин, Удалить, Удалить через BC 544210944 NOD32 AMON - on-access scanner Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Eset\pu_dmon.dll Скрипт: Kарантин, Удалить, Удалить через BC 568328192 NOD32 DMON - document scanning support Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Eset\pu_emon.dll Скрипт: Kарантин, Удалить, Удалить через BC 572522496 NOD32 EMON - e-mail scanning support Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Eset\pu_imon.dll Скрипт: Kарантин, Удалить, Удалить через BC 550502400 NOD32 IMON - Internet scanning support Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Eset\pu_nod32.dll Скрипт: Kарантин, Удалить, Удалить через BC 547356672 NOD32 - on-demand scanner Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Eset\pu_upd.dll Скрипт: Kарантин, Удалить, Удалить через BC 541065216 NOD32 Update module Copyright © 1992-2005 Eset -- 1632 C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Java Platform SE binary Copyright © 2004 ?? 1624 C:\Program Files\KillSoft\KillWatcher\kwatch.exe Скрипт: Kарантин, Удалить, Удалить через BC 67108864 Killer{R} ?? 1660 C:\Program Files\QIP\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Quiet Internet Pager ?? 2892 C:\Program Files\Total Commander\Totalcmd.exe Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Total Commander 32 bit international version, file manager replacement for Windows Copyright © 1993-2006 Christian Ghisler ?? 3956 C:\PROGRA~1\AIMPCL~1\System\AIMP_S~1.DLL Скрипт: Kарантин, Удалить, Удалить через BC 34537472 AIMP ShellExt Artem Izmaylov -- 1468 C:\WINDOWS1\system32\HPTcpMUI.dll Скрипт: Kарантин, Удалить, Удалить через BC 13959168 Standard TCP/IP Port Monitor UI DLL Copyright © Hewlett Packard Corp. 1996-2005 -- 1544 C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC 548405248 NOD32 IMON - Internet scanning support Copyright © 1992-2005 Eset -- 1312, 732, 1948, 2892, 1044, 1092, 1180, 972 Обнаружено модулей:314, из них опознаны как безопасные 292 Модули пространства ядраМодуль Базовый адрес Размер в памяти Описание Производитель F8452000 018000 (98304) \SystemRoot\system32\drivers\amon.sys Скрипт: Kарантин, Удалить, Удалить через BC BAB96000 07B000 (503808) Amon monitor Copyright © 1992-2005 Eset \SystemRoot\system32\DRIVERS\cdrblock.sys Скрипт: Kарантин, Удалить, Удалить через BC F89DA000 003000 (12288) CD-ROM Block Filter Driver Copyright © 2005 Canopus Co., Ltd. All rights reserved. \SystemRoot\system32\DRIVERS\cdrport.sys Скрипт: Kарантин, Удалить, Удалить через BC F8A52000 002000 (8192) Canopus DREngine Port I/O Driver © Canopus Corporation. All rights reserved. \SystemRoot\System32\Drivers\dump_atapi.sys Скрипт: Kарантин, Удалить, Удалить через BC EBAE9000 018000 (98304) \SystemRoot\System32\Drivers\dump_WMILIB.SYS Скрипт: Kарантин, Удалить, Удалить через BC F8A54000 002000 (8192) \??\C:\WINDOWS1\system32\drivers\EIO.sys Скрипт: Kарантин, Удалить, Удалить через BC F8A8A000 002000 (8192) ASUS Kernel Mode Driver for NT Copyright 2004 ASUSTeK Computer Inc. \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS Скрипт: Kарантин, Удалить, Удалить через BC EBDAB000 02D000 (184320) \SystemRoot\system32\drivers\nod32drv.sys Скрипт: Kарантин, Удалить, Удалить через BC F8A50000 002000 (8192) \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Скрипт: Kарантин, Удалить, Удалить через BC EBC51000 04F000 (323584) \SystemRoot\system32\DRIVERS\vusbbus.sys Скрипт: Kарантин, Удалить, Удалить через BC F8A0E000 003000 (12288) Virtual USB bus driver Copyright ©2004 By Chingachguk & Denger2k Обнаружено модулей - 137, опознано как безопасные - 126 СлужбыСлужба Описание Статус Файл Группа Зависимости NOD32krn NOD32 Kernel Service Работает "C:\Program Files\Eset\nod32krn.exe" Скрипт: Kарантин, Удалить, Удалить через BC Обнаружено - 44, опознано как безопасные - 43 ДрайверыСлужба Описание Статус Файл Группа Зависимости AMON AMON Работает \SystemRoot\system32\drivers\amon.sys Скрипт: Kарантин, Удалить, Удалить через BC cdrblock cdrblock Работает system32\DRIVERS\cdrblock.sys Скрипт: Kарантин, Удалить, Удалить через BC cdrport cdrport Работает system32\DRIVERS\cdrport.sys Скрипт: Kарантин, Удалить, Удалить через BC EIO EIO Работает \??\C:\WINDOWS1\system32\drivers\EIO.sys Скрипт: Kарантин, Удалить, Удалить через BC nod32drv nod32drv Работает \SystemRoot\system32\drivers\nod32drv.sys Скрипт: Kарантин, Удалить, Удалить через BC SandBox Outpost Firewall Sandbox Driver Работает \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Скрипт: Kарантин, Удалить, Удалить через BC VFILT Outpost Firewall Kernel Driver Работает VFILT.sys Скрипт: Kарантин, Удалить, Удалить через BC vusbbus Virtual Usb Bus Enumerator Работает system32\DRIVERS\vusbbus.sys Скрипт: Kарантин, Удалить, Удалить через BC Extended Base Обнаружено - 105, опознано как безопасные - 97 АвтозапускИмя файла Статус Метод запуска Описание C:\DOCUME~1\1ADAM~1.ADA\LOCALS~1\Temp\_uninstop.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, outpost_uninst C:\Program Files\Eset\nod32kui.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, nod32kui C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched C:\Program Files\KillSoft\KillWatcher\kwatch.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, KillWatcher Обнаружено элементов автозапуска - 54, опознано как безопасные - 50 Модули расширения Internet Explorer (BHO, панели ...)Имя файла Тип Описание Производитель CLSID Обнаружено элементов - 5, опознано как безопасные - 5 Модули расширения проводникаИмя файла Назначение Описание Производитель CLSID deskpan.dll Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея {42071714-76d4-11d1-8b24-00a0c9068ff3} Расширения оболочки для сжатия файлов {764BF0E1-F219-11ce-972D-00AA00A14F56} Контекстное меню шифрования {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} Панель задач и меню ''Пуск'' {0DF44EAA-FF21-4412-828E-260A8728E7F1} rundll32.exe C:\WINDOWS1\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} Учетные записи пользователей {7A9D77BD-5403-11d2-8785-2E0420524153} C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll Скрипт: Kарантин, Удалить, Удалить через BC AlcoholShellEx AXShlEx.dll Copyright© 2002-2005 Alcohol Soft Development Team {32020A01-506E-484D-A2A8-BE3CF17601C3} C:\Program Files\Eset\nodshex.dll Скрипт: Kарантин, Удалить, Удалить через BC NOD32 Context Menu Shell Extension {B089FE88-FB52-11D3-BDF1-0050DA34150D} Обнаружено элементов - 175, опознано как безопасные - 167 Модули расширения системы печати (мониторы печати, провайдеры)Имя файла Тип Наименование Описание Производитель Обнаружено элементов - 10, опознано как безопасные - 10 Задания планировщика задач Task SchedulerИмя файла Имя задания Состояние задания Описание Производитель Обнаружено элементов - 0, опознано как безопасные - 0 Настройки SPI/LSP Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID Обнаружено - 3, опознано как безопасные - 3 Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание NOD32 protected [MSAFD Tcpip [TCP/IP]] C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) NOD32 protected [MSAFD Tcpip [uDP/IP]] C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) NOD32 protected [MSAFD Tcpip [RAW/IP]] C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) NOD32 protected [RSVP UDP Service Provider] C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) NOD32 protected [RSVP TCP Service Provider] C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) NOD32 C:\WINDOWS1\system32\imon.dll Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 ) Обнаружено - 25, опознано как безопасные - 19 Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено Порты TCP/UDPПорт Статус Remote Host Remote Port Приложение Примечания Порты TCP 135 LISTENING 0.0.0.0 59543 [972] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 139 LISTENING 0.0.0.0 20610 [4] System Скрипт: Kарантин, Удалить, Удалить через BC 139 TIME_WAIT 192.168.1.116 2179 [0] 445 LISTENING 0.0.0.0 38974 [4] System Скрипт: Kарантин, Удалить, Удалить через BC 1027 LISTENING 0.0.0.0 51268 [1312] c:\windows1\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC 1723 LISTENING 0.0.0.0 43153 [4] System Скрипт: Kарантин, Удалить, Удалить через BC 2820 ESTABLISHED 192.168.0.1 1723 [4] System Скрипт: Kарантин, Удалить, Удалить через BC 2907 ESTABLISHED 192.168.0.1 3128 [2892] c:\program files\qip\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC 3014 ESTABLISHED 192.168.0.1 3128 [2892] c:\program files\qip\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC 11657 LISTENING 0.0.0.0 63703 [2892] c:\program files\qip\qip.exe Скрипт: Kарантин, Удалить, Удалить через BC Порты UDP 123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 137 LISTENING -- -- [4] System Скрипт: Kарантин, Удалить, Удалить через BC 138 LISTENING -- -- [4] System Скрипт: Kарантин, Удалить, Удалить через BC 445 LISTENING -- -- [4] System Скрипт: Kарантин, Удалить, Удалить через BC 500 LISTENING -- -- [732] c:\windows1\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC 1032 LISTENING -- -- [1092] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1283 LISTENING -- -- [1092] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC 4500 LISTENING -- -- [732] c:\windows1\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC Downloaded Program Files (DPF)Имя файла Описание Производитель CLSID URL загрузки Обнаружено элементов - 3, опознано как безопасные - 3 Апплеты панели управления (CPL)Имя файла Описание Производитель Обнаружено элементов - 25, опознано как безопасные - 25 Active SetupИмя файла Описание Производитель CLSID Обнаружено элементов - 10, опознано как безопасные - 10 Файл HOSTSЗапись файла Hosts 127.0.0.1 localhost Протоколы и обработчикиИмя файла Тип Описание Производитель CLSID Обнаружено элементов - 27, опознано как безопасные - 27 Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.25 Сканирование запущено в 03.06.2007 21:56:56 Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26 Загружены микропрограммы эвристики: 369 Загружены цифровые подписи системных файлов: 58493 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532] Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A] Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E] Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2] Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE] Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6] Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2] Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622] Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA] Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E] Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA] Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2] Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A] Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766] Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2] Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622] Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA] Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E] Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA] Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2] Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A] Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE] Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2] Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA] Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6] Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E] Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76] Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E] Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E] Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E] Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996] Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E] Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86] Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E] Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946] Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26] Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6] Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE] Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36] Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E] Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE] Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6] Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE] Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6] Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856] Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6] Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E] Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16] Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082B80) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->EBC660B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtClose (19) перехвачена (805675D9->EBC55DD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateFile (25) перехвачена (8057164C->EBC53460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateKey (29) перехвачена (8056F063->EBC5BBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EFB00), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys Функция NtCreateProcess (2F) перехвачена (805B3543->EBC638D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateProcessEx (30) перехвачена (805885D3->EBC63FA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateSection (32) перехвачена (80564B1B->EBC52720), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->EBC5B980), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtCreateThread (35) перехвачена (8057F262->EBDBE070), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS Функция NtDeleteFile (3E) перехвачена (805D8CF7->EBC5A940), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtDeleteKey (3F) перехвачена (8059D6BD->EBC5CE10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtDeleteValueKey (41) перехвачена (80597430->EBC61880), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtEnumerateKey (47) перехвачена (8056F76A->F84F0388), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FBBF0), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys Функция NtLoadDriver (61) перехвачена (805A6B26->EBC62310), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->EBC5B210), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtOpenFile (74) перехвачена (805715E7->EBC54D10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtOpenKey (77) перехвачена (805684D5->EBC5C7F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtOpenProcess (7A) перехвачена (8057459E->EBC64680), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtOpenSection (7D) перехвачена (805766CC->EBC52E20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtProtectVirtualMemory (89) перехвачена (8057494D->EBC66F50), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->EBC562E0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtQueryKey (A0) перехвачена (8056F473->EBC5D860), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtQueryValueKey (B1) перехвачена (8056B9A8->EBC5DFB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtReplaceKey (C1) перехвачена (8064D892->EBC5F280), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtRestoreKey (CC) перехвачена (8064C3B0->EBC61140), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtSaveKey (CF) перехвачена (8064C457->EBC602D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->EBC60A00), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtSetInformationFile (E0) перехвачена (80579E7E->EBC57490), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FB390), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys Функция NtSetValueKey (F7) перехвачена (80575527->EBC5E730), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtTerminateProcess (101) перехвачена (8058AE1E->EBDBEA20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS Функция NtTerminateThread (102) перехвачена (8057E97C->EBC658B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtUnloadDriver (106) перехвачена (80618B6E->EBC62A20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Функция NtWriteVirtualMemory (115) перехвачена (8057C123->EBC667D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS Проверено функций: 284, перехвачено: 36, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [bAFB316D] C:\WINDOWS1\system32\drivers\Haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [bAFB2FC2] C:\WINDOWS1\system32\drivers\Haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 30 Количество загруженных модулей: 294 Проверка памяти завершена 3. Сканирование дисков D:\универ\I cemecстр\рефы\Религия\религ\mirovye_religii_1.zip Invalid file - not a PKZip file D:\универ\I cemecстр\рефы\Религия\религ\vladimir.zip Invalid file - not a PKZip file D:\универ\Психология\реферат\kursovik_psixolo.zip Invalid file - not a PKZip file 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена Просканировано файлов: 201954, извлечено из архивов: 170513, найдено вредоносных программ 0 Сканирование завершено в 03.06.2007 22:14:05 Сканирование длилось 00:17:09 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Ссылка на комментарий Поделиться на другие сайты Поделиться
Bernadotte Опубликовано 5 июня, 2007 Жалоба Поделиться Опубликовано 5 июня, 2007 отчистил комп от вирусов и теперь при двойном щелчке на локальные диски появляется надпись 44.bmp 44.bmp Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 июня, 2007 Жалоба Поделиться Опубликовано 5 июня, 2007 (изменено) http://forum.oszone.net/attachment.php?attachmentid=4685 Попробуй это. Если не поможет, то по тексту (файл прикреплен). autoran.txt autoran.txt Изменено 5 июня, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения