Помощь в лечении систем от нечисти

[Ilya2610]

HELPPPPPPPPPPP!!!!!!!!!!!!!!!!!!!!!!!!!!

плиз помогите СРОЧНО... когда запускаю инет появляется жуткий исходящий трафик... вообщем вся пропускная способность исходящего трафика занята... работать мягко говоря невозможно... установил NOD32, AVG, DrWeb все с обновлениями короче нифига они не не находят нет вообще находят уничтожают но проблема не исчезает...

avz_log.txt

hijackthis.log

вообщем прикладываю логи ваших любимых программ...

как я понял почитав форум во всем виновата svchost точнее она похоже когда вызывает сетевые процедуры там что-то еще запускается...

ОООГРОМНАЯ просьба ответить поскорее... ну очень для работы комп нужен...

avz_log.txt

hijackthis.log

[torch777]

Ilya2610:

Сделай исследование системы AVZ:

Открываешь AVZ => Файл=> Исследование системы

Протокол прикрепляешь к своему сообщению

[Saule]

С недавних пор, контекстное меню объектов, находящихся в "ПУСК"-"Все программы", стало выглядеть странно. Теперь пункт -"проверить на вирусы", прописан там дважды.

По логу можно удалить следующее (т.е. нужно открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked"):

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Алексей\Application Data\Mra\Update\mrasearch.dll

Но с вашей проблемой это, скорее всего, никак не связано.

И что касается AVZ, то нужен протокол исследования системы, а не просто сканирование (в верхнем меню программы: Файл > Исследование системы).

Может быть попробуйте исправить это с помощью какого-нибудь менеджера контекстного меню, так как, скорее всего, это всё-таки глючит Windows.

Для примера: программа Fast Explorer 2007 [последняя вкладка: 'Shell Extensions Cleanup', находим нужные пункты и убераем галочки рядом с Active:

--------------

И вопросы по скрину:

Связано ли это с тем, что нарыл Ad-Aware SE или Windows глючит?

Наврядли. Так как 'Trojan StartPage' - одназначно связан с изменением настроек домашней страницы в браузере.

Но почему он не был найден сразу?

System Volume Information - это папки, в которые Windows копирует данные для функции восстановления системы. Т.е. там хранятся так называемые контрольные точки восстановления, которые по умолчанию создаются системой автоматически как минимум каждый день (более подробно можно почитать здесь: Восстановление системы с помощью функции System Restore).

Сразу он не был найден, видимо, потому что система не сразу его туда скопировала.

плиз помогите СРОЧНО... когда запускаю инет появляется жуткий исходящий трафик... вообщем вся пропускная способность исходящего трафика занята... работать мягко говоря невозможно... установил NOD32, AVG, DrWeb все с обновлениями короче нифига они не не находят нет вообще находят уничтожают но проблема не исчезает...

Лог AVZ: то же самое, нужен протокол исследования системы, а не просто сканирование (в верхнем меню программы: Файл > Исследование системы).

И еще, данная служба вам как-то знакома?:

O23 - Service: Инструментарий управления Windows winmgmtcpinit (winmgmtcpinit) - Unknown owner - C:\WINDOWS\system32\appmgmtf.exe

[torch777]

Инструментарий управления Windows

инструментарий управления Windows Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно.

Инфраструктура управления в Windows, поддерживающая наблюдение и управление системными ресурсами посредством типового набора интерфейсов и предоставляющая логически упорядоченную, непротиворечивую модель работы, конфигурации и состояния Windows.

ресурс

Некоторая часть компьютера или сети, такая как диск, принтер или память, которая может быть предоставлена выполняющейся программе или процессу.

а вот то, что appmgmtf.exe запускается от сего имени...это настораживает

[Saule]

а вот то, что appmgmtf.exe запускается от сего имени...это настораживает

Ага, я об этом и говорю (и настоящее название службы совсем не 'winmgmtcpinit').

[torch777]

совсем не 'winmgmtcpinit

Saule: Да....вроде win menegment, т.е. winmgmt......

menegment ....фу ты.....managment, простите мне мою безграмотность....не могу отредактировать свое сообщение

[Saule]

Saule: Да....вроде win menegment, т.е. winmgmt......

menegment ....фу ты.....managment, простите мне мою безграмотность....не могу отредактировать свое сообщение

Еще два сообщения и ты наконец-то сможешь их редактировать (FAQ). Только я тебя очень прошу - давай не будем флудить! Ведь речь идет совсем не о правильном названии этой службы (оно либо правильное, либо неправильное - остальное неважно), а о том, знает ли о ней владелец того компьютера, на котором она установлена (возможно, он сам изменил таким образом что-то и в этом случае ничего плохого в ней нет).

[Ramarren]

Saule: , последовал совету и удалил

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Алексей\Application Data\Mra\Update\mrasearch.dll

Но, что это за библиотека? На этой конфе уже давали ответ, что означают пункты R0, R3 и т.д , но не могу уже найти.

AVZ сделал исследование системы, но вряд ли я там чего-то пойму Среди множества обнаруженных процессов, модулей и апплетов общее их количество, не всегда совпадает с количеством безопасных.

Не могу почему-то скачать менеджер контекста, но всё таки если контексты не из-за вирусов, то это успокаивает :(

[Iomhar Dealgach]

...На этой конфе уже давали ответ, что означают пункты R0, R3 и т.д , но не могу уже найти. ...

Тебе сюда -> http://www.softboard.ru/index.php?showtopic=32773#

[Saule]

Но, что это за библиотека?

Устанавливается вместе с приложением Agent Mail.Ru, если выбрана опция "Сделать Поиск@Mail.Ru поиском по умолчанию" и ничего хорошего я в ней не вижу (если вам она по каким-то причинам необходима - сделайте её Backup: кнопка 'View the list of backups' при запуске HijackThis).

AVZ сделал исследование системы, но вряд ли я там чего-то пойму

А я вас и не просила что-либо в нем понимать :) В общем, удачки

[Boby]

Привет

проверил сегодня DrWeb ом нашол вот такую гадость Trojan.Virtumod в файлах вот такого типа A0083242.dll вот путь до него C:\System Volume Information\_restore{55C316BA-71BC-4FC6-A691-63E2D1B71D2A}\RP117\A0083242.dll

DrWeb пишет что удалил

и програмулину какую то пишет программа взлома Tool.Prockill

что то еще требуется проверить или нет подскажите

[torch777]

Boby:

Попробуй отключить на время восстановление системы, следующим образом:

Жмем на иконку мой компьютер правой клавишей мыши, выбираем строку свойства, в появившемся окне(в верху) выбираем закладку восстановление системы, ставим галочку на Отключить восстановление системы. Презагруз, повторяем все действия, только галочку убираем. Проверяем антивирусом, обязательно обновите базы.

[Saule]

Привет

проверил сегодня DrWeb ом нашол вот такую гадость Trojan.Virtumod в файлах вот такого типа A0083242.dll вот путь до него C:\System Volume Information\_restore{55C316BA-71BC-4FC6-A691-63E2D1B71D2A}\RP117\A0083242.dll

Привет.

Чтобы очистить папки System Volume Information нужно, как уже сказал torch777, сделать следующее:

Кликаем правой кнопкой мыши на "My Computer" ("Мой Компьютер") и заходим в "Properties" ("Свойства").

Находим закладку "System Restore" ("Восстановление Системы") и ставим галочку напротив "Turn off System Restore on all drives" ("Запpетить Восстановление Системных файлов на всех дисках").

Затем на "Apply" ("Пpименить").

Появится сообщение, пpедупpеждающее об удалении всех точек восстановления - нажимаем "ОК".

Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives).

После этого папки System Volume Information будут чистыми.

Плюс, так как у вас был найден Trojan.Virtumod, было бы также неплохо на всякий случай просканировать систему с помощью VundoFix (более подробно, если вдруг будет нужно, в этом посте).

и програмулину какую то пишет программа взлома Tool.Prockill

что то еще требуется проверить или нет подскажите

Как Tool.Prockill, скорее всего детектируется следующее приложение: Command Line Process Viewer/Killer/Suspender.

Оно также используется в программе SDFix, и по поводу этого говорила, к примеру, вот здесь (Win32/PrcView у NOD32 и Tool.Prockill у Dr.WEB - это одно и то же).

[Boby]

torch777, Saule

спасибо все сделал вроде чисто.

[SonOfGod]

Я бы на твоем месте после всех махинаций все же включил System Restore, конечно если ты больше ничем не пользуешься... Знаешь ли, иногда спасает.

[Saule]

Я бы на твоем месте после всех махинаций все же включил System Restore, конечно если ты больше ничем не пользуешься... Знаешь ли, иногда спасает.

Читайте внимательнее, пожалуйста:

...Для верности перезагружаем компьютер. После чего снова идем по пути, описанном выше:

My Computer > Properties > System Restore

И убираем поставленную ранее галочку (т.е. напротив Turn off System Restore on all drives)...

[Boby]

SonOfGod это понятно

я его когда поймал все вычистил

Saule

подскажи выбратся самостоятельно он может оттуда

или только при востановлении системы

и где добавить репутацию

[torch777]

Boby:

При восстановлении системы, а репутацию ты сможешь поднять набрав 20 сообщений. Читай правила форума=)

Изменено 30 июня, 2007 пользователем torch777

[Brox]

И самостоятельно, и при восстановлении системы, а репутацию ты сможешь поднять набрав 50 сообщений. Читай правила форума=)

Не 50, а 20. Читай правила форума

[Saule]

Saule

подскажи выбратся самостоятельно он может оттуда или только при востановлении системы

Самостоятельно он выбраться оттуда не может, только при восстановлении системы.

[Pem]

NOD не удаляет,как избавиться вот от этого,помогите:

1.C:\Documents and Settings\Алена\Мои документы\Программы\SDFix.exe »RAR »SDFix\apps\Process.exe - Win32/PrcView приложение

2.C:\SDFix\backups\backups.zip »ZIP »backups/helpsys.exe - Win32/TrojanProxy.Slaper.C троян

3.C:\SDFix\backups\backups.zip »ZIP »backups/mdmd.exe - Win32/IRCBot.XN троян

4.C:\SDFix\backups\backups.zip »ZIP »backups/svchosts.exe - Win32/Adware.Toolbar.888Bar приложение

Спасибо,только если можно подробнее,т.к.я ещё не очень во всём разбираюсь,но стараюсь научиться1

[Pem]

NOD не удаляет,как избавиться вот от этого,помогите:

1.C:\Documents and Settings\Алена\Мои документы\Программы\SDFix.exe »RAR »SDFix\apps\Process.exe - Win32/PrcView приложение

2.C:\SDFix\backups\backups.zip »ZIP »backups/helpsys.exe - Win32/TrojanProxy.Slaper.C троян

3.C:\SDFix\backups\backups.zip »ZIP »backups/mdmd.exe - Win32/IRCBot.XN троян

4.C:\SDFix\backups\backups.zip »ZIP »backups/svchosts.exe - Win32/Adware.Toolbar.888Bar приложение

Спасибо,только если можно подробнее,т.к.я ещё не очень во всём разбираюсь,но стараюсь научиться1

Вопрос снят,т.е.решён.

[ui lt]

Доброе время суток ! Помогите пожалуйста.

Касперский выдаёт:

Infiziert: trojanisches Programm Trojan.Win32.BHO.bd D:\System Volume Information\_restore{E7D851A8-2F15-4F6A-956F-3D8A1D23AF2A}\RP47\A0009170.dll 23.5 KB

Infiziert: trojanisches Programm Trojan.Win32.Agent.abd D:\Programme\Alcohol Soft\Alcohol 120\star_syn_client.dll 42.9 KB

Infiziert: trojanisches Programm Trojan.Win32.BHO.bd D:\Programme\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll 23.5 KB

Logfile of HijackThis v1.99.1

Scan saved at 11:09:30, on 06.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\avz4\avz.exe

D:\Programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com/de

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [kis] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe

O4 - HKCU\..\RunOnce: [Moving Wininet Cache Container] rundll32.exe C:\WINDOWS\system32\wininet.dll,RunOnceUrlCache C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\D\Programme\ICQ\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\D\Programme\ICQ\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1163629761265

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shock...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - D:\Programme\T-DSL Manager\DslMgrSvc.exe

O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 06.07.2007 10:51:44

Загружена база: 115820 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.07.2007 17:17

Загружены микропрограммы эвристики: 370

Загружены цифровые подписи системных файлов: 60537

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Система загружена в режиме защиты от сбоев (SafeMode)

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

Ошибка обмена с драйвером [00000002] - [1]

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

2. Проверка памяти

Количество найденных процессов: 11

Количество загруженных модулей: 156

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat

Прямое чтение C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG

Прямое чтение C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat

Прямое чтение C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT

Прямое чтение C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG

Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\BR_Compress_20070611_212646_1_1

Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\BR_PC_CHK.txt

Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\Progress_log_Compress.txt

Прямое чтение C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{39619863-8A11-4B60-A166-E6747C986EBE}\ARPPRODUCTICON.exe >>> подозрение на Backdoor.Win32.Agent.apz ( 005193D1 08CD5FC5 001C13F0 001FD6D9 61440)

Файл "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{39619863-8A11-4B60-A166-E6747C986EBE}\ARPPRODUCTICON.exe" успешно помещен в карантин

Прямое чтение C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG

Прямое чтение C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT

Прямое чтение C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG

Прямое чтение C:\System Volume Information\_restore{E7D851A8-2F15-4F6A-956F-3D8A1D23AF2A}\RP51\change.log

Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx

Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll

C:\WINDOWS\Installer\99006.msi/{MS-OLE}/\65 >>> подозрение на Backdoor.Win32.Agent.apz ( 005193D1 08CD5FC5 001C13F0 001FD6D9 61440)

Файл "C:\WINDOWS\Installer\99006.msi" успешно помещен в карантин

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\default.LOG

Прямое чтение C:\WINDOWS\system32\config\Internet.evt

Прямое чтение C:\WINDOWS\system32\config\ODiag.evt

Прямое чтение C:\WINDOWS\system32\config\OSession.evt

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\SECURITY.LOG

Прямое чтение C:\WINDOWS\system32\config\software

Прямое чтение C:\WINDOWS\system32\config\software.LOG

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\config\system.LOG

Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys

Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение D:\Temp\Temporare Internetdateien\Content.IE5\index.dat

Прямое чтение D:\Temp\Temporare Internetdateien\Content.IE5\index.dat

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 0 TCP портов и 0 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"

Проверка завершена

Просканировано файлов: 178667, извлечено из архивов: 98585, найдено вредоносных программ 0

Сканирование завершено в 06.07.2007 11:40:38

[Влад70]

Помоему у меня завелся какой то вирус, Доктор Веб ничего не видит.

У меня подозрение вот на это: GoogleDesktopIndex.exe

Результаты проверки:

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\пользователь\Local Settings\Temp\wz793f\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{681F50D4-A867-48DB-92B8-444154031D79}: NameServer = 212.74.231.161

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[ser208]

Влад70

Это Picasa и сопутсвующие "прелести" Google.

Google Updater Service (gusvc) отключи хотя бы в службах.

Изменено 7 июля, 2007 пользователем ser208