Помощь в лечении систем от нечисти

**Saule** · 23 июля, 2007

Простите но еще одна маленькая вещь интересует

Судя по логам:

Порты TCP

135 - RPC/Удаленный вызов процедур (Remote Procedure Call (RPC)/Удаленный вызов процедур (RPC), Distributed Link Tracking Client/Клиент отслеживания изменившихся связей, Distributed Transaction Coordinator/Координатор распределенных транзакций, Event Log/Журнал событий, Fax Service/Служба факсов и др.).

139 - NetBIOS Session Service/Служба сеансов NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Fax Service/Служба факсов, Performance Logs and Alerts/Журналы и оповещения производительности, Print Spooler/Диспетчер очереди печати, Net Logon/Сетевой вход в систему, Remote Procedure Call (RPC) Locator/Локатор удаленного вызова процедур и др.).

445 - Microsoft-DS, SMB (server message block) Direct Host (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Fax Service/Служба факсов, Print Spooler/Диспетчер очереди печати, Remote Procedure Call (RPC) Locator/Локатор удаленного вызова процедур, Net Logon/Сетевой вход в систему и др.).

1028 - Application Layer Gateway Service/Служба шлюза уровня приложения.

12025 - avast.

12080 - avast.

12110 - avast.

12119 - avast.

12143 - avast.

Порты UDP

123 - Network Time Protocol/Служба времени Windows.

137 - NetBIOS Name Service/Разрешение имен NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Служба Windows Internet Name Service, Net Logon/Сетевой вход в систему и др.).

138 - NetBIOS Datagram Service/Служба датаграмм NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Messenger/Служба сообщений, Net Logon/Сетевой вход в систему и др.).

445 - Microsoft-DS, SMB (server message block) Direct Host (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft).

500 - lsass.exe/Локальный администратор безопасности (IPsec ISAKMP).

1900 - SSDP Discovery Service/Служба обнаружения SSDP и Universal Plug and Play Device Host/Узел универсальных PnP-устройств.

4500 - lsass.exe/Локальный администратор безопасности (NAT-T).

Попробуйте использовать Windows Worms Doors Cleaner - кое-что он вам закроет (т.к. большую часть этих портов действительно рекомендуется блокировать, если у вас нет в них соответствующей необходимости).

Может касперский работает не правильно ???

Касперский действительно может скрыто загружать свои библиотеки + временами не давать дефрагментировать файлы своих отчетов, но это делается лишь в целях вашей безопасности.

По логам выглядит, что всё в порядке.

**Saule** · 23 июля, 2007

Saule, не посмотрите этот лог, не надо ли чего пофиксить.
Сам хозяин нечего не понимает, жалуется что постоянно что-то качается из инета, а сидит на лимитке и стал намного больше платить за инет последнее время.

Не срочно. Заранее спасибо.

В логе вредоносных приложений не видно.

Поэтому можно либо сделать более глубокое сканирование системы (с помощью AVZ), либо уже искать виновников среди "своих".

Например, проверить в Outpost'е, кто и когда обращается в сеть. Или же попробовать использовать приложение конкретно по этой части, т.е. направленное на мониторинг и четкий подсчет использованного трафика. Например NetLimiter 2 Monitor (третья в списке) - программа бесплатная и четко показывает кто, сколько, когда накачал.

1) В начале раздела "сетевая безопасность" сказано, что прежде всего скачать и запустить программы HijackThis и AVZ, и отчеты выложить в сообщении на форум. Как лучше: сначала сделать и прислать Вам только отчет по HijackThis, или использовать обе программы, и прислать в сообщении оба отчета сразу?
2) Указано, что отчет о работе AVZ нужно не копировать в текст сообщения, а "приаттачить" приложенным файлом. В то же время, новички на форуме (кажется, до 100 сообщений) приложенные файлы слать не могут. Как же тут быть?

1. Всё зависит только от вас: если есть возможность скачать обе программы и соответствующее желание - то, конечно, лучше сделать оба отчета. Так как вредоносные программы всё время совершенствуются (чего нельзя сказать о HijackThis), поэтому в некоторых ситуациях его лога может быть недостаточно.

Но если такой возможности нет, то делаем так, как можем.

2. Конкретно в этом разделе приаттачить файл может и новичок.

**shuisky** · 23 июля, 2007

Уважаемая Saule, большое Вам спасибо, ясно, сейчас попробую прогнать обеими (почему "если удастся скачать", ведь работающие ссылки даны у Вас прямо здесь? Обе легко скачались ).

**gufe** · 23 июля, 2007

Судя по логам:

Порты TCP

135 - RPC/Удаленный вызов процедур (Remote Procedure Call (RPC)/Удаленный вызов процедур (RPC), Distributed Link Tracking Client/Клиент отслеживания изменившихся связей, Distributed Transaction Coordinator/Координатор распределенных транзакций, Event Log/Журнал событий, Fax Service/Служба факсов и др.).

139 - NetBIOS Session Service/Служба сеансов NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Fax Service/Служба факсов, Performance Logs and Alerts/Журналы и оповещения производительности, Print Spooler/Диспетчер очереди печати, Net Logon/Сетевой вход в систему, Remote Procedure Call (RPC) Locator/Локатор удаленного вызова процедур и др.).

445 - Microsoft-DS, SMB (server message block) Direct Host (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Fax Service/Служба факсов, Print Spooler/Диспетчер очереди печати, Remote Procedure Call (RPC) Locator/Локатор удаленного вызова процедур, Net Logon/Сетевой вход в систему и др.).

1028 - Application Layer Gateway Service/Служба шлюза уровня приложения.

12025 - avast.

12080 - avast.

12110 - avast.

12119 - avast.

12143 - avast.

Порты UDP

123 - Network Time Protocol/Служба времени Windows.

123 - Network Time Protocol/Служба времени Windows.

137 - NetBIOS Name Service/Разрешение имен NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Служба Windows Internet Name Service, Net Logon/Сетевой вход в систему и др.).

138 - NetBIOS Datagram Service/Служба датаграмм NetBIOS (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft; Computer Browser/Обозреватель компьютеров, Messenger/Служба сообщений, Net Logon/Сетевой вход в систему и др.).

445 - Microsoft-DS, SMB (server message block) Direct Host (порт протокола NetBIOS, открываемый системными драйверами для работы службы доступа к файлам и принтерам сетей Microsoft).

500 - lsass.exe/Локальный администратор безопасности (IPsec ISAKMP).

1900 - SSDP Discovery Service/Служба обнаружения SSDP и Universal Plug and Play Device Host/Узел универсальных PnP-устройств.

1900 - SSDP Discovery Service/Служба обнаружения SSDP и Universal Plug and Play Device Host/Узел универсальных PnP-устройств.

4500 - lsass.exe/Локальный администратор безопасности (NAT-T).

Попробуйте использовать Windows Worms Doors Cleaner - кое-что он вам закроет (т.к. большую часть этих портов действительно рекомендуется блокировать, если у вас нет в них соответствующей необходимости).

Касперский действительно может скрыто загружать свои библиотеки + временами не давать дефрагментировать файлы своих отчетов, но это делается лишь в целях вашей безопасности.

По логам выглядит, что всё в порядке.

Спасибо большое за разъяснение

Благодарю всех кто прелестен к этому форуму и помигает всем Спасибо! Удачи!:)

**shuisky** · 23 июля, 2007

Уважаемая Saule,

Выполнил проверку обеими программами (HijackThis и AVZ4) для двух типичных, чередующихся ситуаций: при нарушенном и временно восстановленном доступе в Интернет. Соответственно, итого прилагаю 4 протокола:

Ситуация 1) Win32.Zhelatin-ALE (wrm) активизировался – его регистрирует резидент avast! (С:/Windows/system32/rsvp32_2.dll ), лечение не удается, а после удаления (или перемещения в хранилище) при помощи avast! – доступ в Интернет прекращается.

Прилагаю:

1.1. Протокол результатов проверки HijackThis в ситуации 1, при недоступном инете (ниже).

1.2. Протокол результатов проверки AVZ4 avz_sysinfo_shuisky_2007_07_23_1.htm(приложенный файл avz_sysinfo_shuisky_2007-07-23_1.htm)[/attachmentid=14807].

Ситуация 2) После дальнейшего применения Ad-Aware SE Personal (в этой ситуации она всегда стабильно находит и удаляет 17 опасных объектов: 16 опр. ключей регистра и 1 опр. файл) доступ в Интернет временно восстанавливается (до следующего скорого "пробуждения" Win32.Zhelatin-ALE).

Прилагаю:

2.1. Протокол результатов проверки HijackThis в ситуации 2, после применения Ad-Aware SE при доступном инете (ниже).

2.2. Протокол результатов проверки AVZ4 avz_sysinfo_shuisky_2007_07_23_2.htm(приложенный файл avz_sysinfo_shuisky_2007-07-23_2.htm)[/attachmentid=14808].

Буду Вам очень признателен за дальнейшую помощь.

С уважением, Владимир

shuisky.v@mail.ru

Приложения 1.1 и 2.1.

1.1. Протокол результатов проверки HijackThis в ситуации 1, при недоступном инете.

Logfile of HijackThis v1.99.1

Scan saved at 19:54:11, on 23.07.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe

C:\Program Files\Hard Drive Inspector\HDInspector.exe

C:\WINDOWS\gtwatch.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Punto Switcher\ps.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\HDDSvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\CNAB4RPK.EXE

C:\Windows\explorer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Windows\explorer.exe

E:\Save_d\боремся в вирусом\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=080707 serial=DR12CEK-1140029-FQH lang=EN

O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe

O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iEXPLORER] C:\WINDOWS\IEXPLORER.EXE 123

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [EDLauncher] C:\Program Files\PRMT6\PRMTED\EDLauncher.exe

O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://C:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\System32\HDDSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

2.1. Протокол результатов проверки HijackThis в ситуации 2, после применения Ad-Aware SE при доступном инете.

Logfile of HijackThis v1.99.1

Scan saved at 21:07:46, on 23.07.2007