Помощь в лечении систем от нечисти

**Tamara** · 15 августа, 2007

Попробуйте скачать AVZ здесь

http://ifolder.ru/3007913 или здесь

http://69.16.243.45/~marilya/scaner.zip

Разархивируйте и запустите файл 111.com

Спасибо!! Вот это скачалось за минуты и распаковалось.. Одна беда.. На экране русский текст не показывает.. :)

Сканирование все равно сделала.. Но ведь это сплошной кордебалет :D :) :)

:D

Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 4.25

Ñêàíèðîâàíèå çàïóùåíî â 15/08/2007 12:02:07

Çàãðóæåíà áàçà: 122046 ñèãíàòóð, 2 íåéðîïðîôèëÿ, 55 ìèêðîïðîãðàìì ëå÷åíèÿ, áàçà îò 14.08.2007 11:25

Çàãðóæåíû ìèêðîïðîãðàììû ýâðèñòèêè: 370

Çàãðóæåíû öèôðîâûå ïîäïèñè ñèñòåìíûõ ôàéëîâ: 61632

Ðåæèì ýâðèñòè÷åñêîãî àíàëèçàòîðà: Ñðåäíèé óðîâåíü ýâðèñòèêè

Ðåæèì ëå÷åíèÿ: âûêëþ÷åíî

Âåðñèÿ Windows: 5.1.2600, Service Pack 2 ; AVZ ðàáîòàåò ñ ïðàâàìè àäìèíèñòðàòîðà

1. Ïîèñê RootKit è ïðîãðàìì, ïåðåõâàòûâàþùèõ ôóíêöèè API

1.1 Ïîèñê ïåðåõâàò÷èêîâ API, ðàáîòàþùèõ â UserMode

Àíàëèç kernel32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Ôóíêöèÿ kernel32.dll:GetProcAddress (408) ïåðåõâà÷åíà, ìåòîä ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC

Ôóíêöèÿ kernel32.dll:LoadLibraryA (578) ïåðåõâà÷åíà, ìåòîä ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C

Ôóíêöèÿ kernel32.dll:LoadLibraryExA (579) ïåðåõâà÷åíà, ìåòîä ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0

Ôóíêöèÿ kernel32.dll:LoadLibraryExW (580) ïåðåõâà÷åíà, ìåòîä ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8

Ôóíêöèÿ kernel32.dll:LoadLibraryW (581) ïåðåõâà÷åíà, ìåòîä ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4

Äåòåêòèðîâàíà ìîäèôèêàöèÿ IAT: LoadLibraryA - 7C883F9C<>7C801D77

Äåòåêòèðîâàíà ìîäèôèêàöèÿ IAT: GetProcAddress - 7C883FEC<>7C80ADA0

Àíàëèç ntdll.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç user32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç advapi32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç ws2_32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç wininet.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç rasapi32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç urlmon.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

Àíàëèç netapi32.dll, òàáëèöà ýêñïîðòà íàéäåíà â ñåêöèè .text

1.2 Ïîèñê ïåðåõâàò÷èêîâ API, ðàáîòàþùèõ â KernelMode

Äðàéâåð óñïåøíî çàãðóæåí

SDT íàéäåíà (RVA=082680)

ßäðî ntoskrnl.exe îáíàðóæåíî â ïàìÿòè ïî àäðåñó 804D7000

SDT = 80559680

KiST = 82AC2008 (297)

>>> Âíèìàíèå, òàáëèöà KiST ïåðåìåùåíà ! (804E26A8(284)->82AC2008(297))

Ôóíêöèÿ NtClose (19) ïåðåõâà÷åíà (80566D49->F6BD9A80), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateKey (29) ïåðåõâà÷åíà (8056E7A9->F6BCC380), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateProcess (2F) ïåðåõâà÷åíà (805B0AA4->F6BD97B0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateProcessEx (30) ïåðåõâà÷åíà (80581E82->F6BD9920), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateSection (32) ïåðåõâà÷åíà (8056461B->F6BDA3C0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateSymbolicLinkObject (34) ïåðåõâà÷åíà (805A0C69->F6BDA010), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtCreateThread (35) ïåðåõâà÷åíà (8057C4A1->F6BDACE0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtDeleteKey (3F) ïåðåõâà÷åíà (80595136->F6BCC480), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtDeleteValueKey (41) ïåðåõâà÷åíà (80593AAC->F6BCC500), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtDuplicateObject (44) ïåðåõâà÷åíà (80572B26->F6BD9BE0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtEnumerateKey (47) ïåðåõâà÷åíà (8056EEB0->F6BCC5B0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtEnumerateValueKey (49) ïåðåõâà÷åíà (8057FB78->F6BCC660), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtFlushKey (4F) ïåðåõâà÷åíà (8059A8F8->F6BCC710), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtInitializeRegistry (5C) ïåðåõâà÷åíà (805A2FA1->F6BCC790), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtLoadDriver (61) ïåðåõâà÷åíà (805A407A->F6BD8010), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtLoadKey (62) ïåðåõâà÷åíà (805AE480->F6BCD1B0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtLoadKey2 (63) ïåðåõâà÷åíà (805AE2CE->F6BCC7B0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtNotifyChangeKey (6F) ïåðåõâà÷åíà (80590E16->F6BCC890), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtOpenFile (74) ïåðåõâà÷åíà (8056FB93->F8414000), ïåðåõâàò÷èê C:\WINDOWS\system32\Drivers\kl1.sys

Ôóíêöèÿ NtOpenKey (77) ïåðåõâà÷åíà (80567CFB->F6BCC970), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtOpenProcess (7A) ïåðåõâà÷åíà (80572D06->F6BD95A0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtOpenSection (7D) ïåðåõâà÷åíà (8057670B->F6BDA1F0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtQueryKey (A0) ïåðåõâà÷åíà (8056EBB9->F6BCCA50), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtQueryMultipleValueKey (A1) ïåðåõâà÷åíà (8064CBE4->F6BCCB00), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtQuerySystemInformation (AD) ïåðåõâà÷åíà (8057D786->F6BDA990), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtQueryValueKey (B1) ïåðåõâà÷åíà (8056B103->F6BCCBB0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtReplaceKey (C1) ïåðåõâà÷åíà (8064D51E->F6BCCC90), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtRestoreKey (CC) ïåðåõâà÷åíà (8064C042->F6BCCD20), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtResumeThread (CE) ïåðåõâà÷åíà (8057CB14->F6BDAC90), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSaveKey (CF) ïåðåõâà÷åíà (8064C0E9->F6BCCF20), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetContextThread (D5) ïåðåõâà÷åíà (8062C403->F6BDB010), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetInformationFile (E0) ïåðåõâà÷åíà (80576E9C->F6BDB630), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetInformationKey (E2) ïåðåõâà÷åíà (8064C747->F6BCCFB0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetInformationProcess (E4) ïåðåõâà÷åíà (8056BD4D->F6BDEEE0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetSecurityObject (ED) ïåðåõâà÷åíà (8059B831->F6BD6C30), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSetValueKey (F7) ïåðåõâà÷åíà (80573C8D->F6BCD050), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSuspendThread (FE) ïåðåõâà÷åíà (805DFA18->F6BDAC40), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtSystemDebugControl (FF) ïåðåõâà÷åíà (806483A1->F6BD8370), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtTerminateProcess (101) ïåðåõâà÷åíà (80584740->F6BDA7E0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtUnloadKey (107) ïåðåõâà÷åíà (8064C317->F6BCD170), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ôóíêöèÿ NtWriteVirtualMemory (115) ïåðåõâà÷åíà (8057A697->F6BD9AA0), ïåðåõâàò÷èê C:\WINDOWS\system32\drivers\klif.sys

Ïðîâåðåíî ôóíêöèé: 284, ïåðåõâà÷åíî: 41, âîññòàíîâëåíî: 0

1.3 Ïðîâåðêà IDT è SYSENTER

Àíàëèç äëÿ ïðîöåññîðà 1

Ïðîâåðêà IDT è SYSENTER çàâåðøåíà

1.4 Ïîèñê ìàñêèðîâêè ïðîöåññîâ è äðàéâåðîâ

Ïðîâåðêà íå ïðîèçâîäèòñÿ, òàê êàê íå óñòàíîâëåí äðàéâåð ìîíèòîðèíãà AVZPM

2. Ïðîâåðêà ïàìÿòè

Êîëè÷åñòâî íàéäåííûõ ïðîöåññîâ: 31

Êîëè÷åñòâî çàãðóæåííûõ ìîäóëåé: 403

Ïðîâåðêà ïàìÿòè çàâåðøåíà

3. Ñêàíèðîâàíèå äèñêîâ

Ïðÿìîå ÷òåíèå C:\Documents and Settings\Lina1\Local Settings\Temp\~DF2EE4.tmp

C:\System Volume Information\_restore{03BBB112-1AAE-45E3-9F0B-A476185A794D}\RP5\A0005229.exe >>>>> FraudTool.Win32.UltimateDefender.b

4. Ïðîâåðêà Winsock Layered Service Provider (SPI/LSP)

Íàñòðîéêè LSP ïðîâåðåíû. Îøèáîê íå îáíàðóæåíî

5. Ïîèñê ïåðåõâàò÷èêîâ ñîáûòèé êëàâèàòóðû/ìûøè/îêîí (Keylogger, òðîÿíñêèå DLL)

C:\PROGRA~1\BTHOME~1\Help\SMARTB~1\SBHook.dll --> Ïîäîçðåíèå íà Keylogger èëè òðîÿíñêóþ DLL

C:\PROGRA~1\BTHOME~1\Help\SMARTB~1\SBHook.dll>>> Ïîâåäåí÷åñêèé àíàëèç:

1. Ðåàãèðóåò íà ñîáûòèÿ: êëàâèàòóðà, îêîííûå ñîáûòèÿ

2. Ðàáîòàåò ñ ôàéëîì: \\.\mailslot\sbcontext

3. Âûÿñíÿåò, êàêîå îêíî íàõîäèòñÿ â ôîêóñå ââîäà

C:\PROGRA~1\BTHOME~1\Help\SMARTB~1\SBHook.dll>>> Íåéðîñåòü: ôàéë ñ âåðîÿòíîñòüþ 99.84% ïîõîæ íà òèïîâîé ïåðåõâàò÷èê ñîáûòèé êëàâèàòóðû/ìûøè

Íà çàìåòêó: Çàïîäîçðåííûå ôàéëû ÍÅ ñëåäóåò óäàëÿòü, èõ ñëåäóåò ïðèñëàòü äëÿ àíàëèçà (ïîäðîáíîñòè â FAQ), ò.ê. ñóùåñòâóåò ìíîæåñòâî ïîëåçíûõ DLL-ïåðåõâàò÷èêîâ

6. Ïîèñê îòêðûòûõ ïîðòîâ TCP/UDP, èñïîëüçóåìûõ âðåäîíîñíûìè ïðîãðàììàìè

Ïðîâåðêà îòêëþ÷åíà ïîëüçîâàòåëåì

7. Ýâðèñòè÷åcêàÿ ïðîâåðêà ñèñòåìû

Ïðîâåðêà çàâåðøåíà

Ïðîñêàíèðîâàíî ôàéëîâ: 102825, èçâëå÷åíî èç àðõèâîâ: 76129, íàéäåíî âðåäîíîñíûõ ïðîãðàìì 1

Ñêàíèðîâàíèå çàâåðøåíî â 15/08/2007 12:57:58

Ñêàíèðîâàíèå äëèëîñü 00:55:53

Åñëè ó Âàñ åñòü ïîäîçðåíèå íà íàëè÷èå âèðóñîâ èëè âîïðîñû ïî çàïîäîçðåííûì îáúåêòàì,

òî Âû ìîæåòå îáðàòèòüñÿ â êîíôåðåíöèþ - http://virusinfo.info

**Saule** · 15 августа, 2007

Спасибо!! Вот это скачалось за минуты и распаковалось.. Одна беда.. На экране русский текст не показывает.. :(
Сканирование все равно сделала.. Но ведь это сплошной кордебалет :) :) :)

Нестрашно, любой декодер переводит это на нормальный язык:

Протокол антивирусной утилиты AVZ версии 4.25Сканирование запущено в 15/08/2007 12:02:07Загружена база: 122046 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 14.08.2007 11:25Загружены микропрограммы эвристики: 370Загружены цифровые подписи системных файлов: 61632Режим эвристического анализатора: Средний уровень эвристикиРежим лечения: выключеноВерсия Windows: 5.1.2600, Service Pack 2; AVZ работает с правами администратора1. Поиск RootKit и программ, перехватывающих функции API1.1 Поиск перехватчиков API, работающих в UserModeАнализ kernel32.dll, таблица экспорта найдена в секции .textФункция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FECФункция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9CФункция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0Анализ ntdll.dll, таблица экспорта найдена в секции .textАнализ user32.dll, таблица экспорта найдена в секции .textАнализ advapi32.dll, таблица экспорта найдена в секции .textАнализ ws2_32.dll, таблица экспорта найдена в секции .textАнализ wininet.dll, таблица экспорта найдена в секции .textАнализ rasapi32.dll, таблица экспорта найдена в секции .textАнализ urlmon.dll, таблица экспорта найдена в секции .textАнализ netapi32.dll, таблица экспорта найдена в секции .text1.2 Поиск перехватчиков API, работающих в KernelModeДрайвер успешно загруженSDT найдена (RVA=082680)Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000SDT = 80559680KiST = 82AC2008 (297)>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->82AC2008(297))Функция NtClose (19) перехвачена (80566D49->F6BD9A80), перехватчик C:\WINDOWS\system32\drivers\klif.sysФункция NtCreateKey (29) перехвачена (8056E7A9->F6BCC380), перехватчик C:\WINDOWS\system32\drivers\klif.sysФункция NtCreateProcess (2F) перехвачена (805B0AA4->F6BD97B0), перехватчик C:\WINDOWS\system32\drivers\klif.sysФункция NtCreateProcessEx (30) перехвачена (80581E82->F6BD9920), перехватчик C:\WINDOWS\system32\drivers\klif.sysФункция NtCreateSection (32) перехвачена (8056461B->F6BDA3C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys[...] и т.д.

Но есть небольшая проблемка - сделать нужно было не сканирование системы, а её исследование.

Можно попробовать сделать это "на ощупь":

В верхнем меню AVZ: самая первая опция и в открывшемся меню четвертая по порядку сверху:

Дальше на первую кнопку внизу (также скриншот, чтобы было можно сделать по аналогии):

Затем выберете место, куда вы хотите сохранить файл

avz_sysinfo.htm

и сохраните его:

Дождитесь результатов сканирования и выберете 'Да' или 'Нет':

Затем полученный файл

avz_sysinfo.htm

нужно присоединить к своему сообщению (не скопировать содержимое, а именно присоединить; на всякий случай:

Как присоединить к сообщению изображение, или файл

).

Либо можно скачать англоязычную версию AVZ: http://z-oleg.com/avz4en.zip :)

Если вдруг это удасться, в верхнем меню нужно нажать: File > System Investigation и затем на кнопку Start.

**zoner** · 15 августа, 2007

Очередь. А свободного времени бывает не так уж и много :)

Процесс PXAgent.exe запускается в качестве службы:

Start (Пуск) > Run (Выполнить)

Вводим в строку:

services.msc

И в открывшемся приложении находим службу:

PREVXAgent

И дальше делаем с ней то, что желаем (Отключаем, Останавливаем или Запускаем опять).

Только если вы наблюдаете с этой программой какие-либо проблемы (имеется в виду Prevx) - может лучше её просто деинсталлировать?

При деинсталляции пишет ошибку на 16% (скрин ниже будет). Сделал как Вы сказали, но увы, в службах все возможные действия с ним не активны, к тому же даже в свойствах при отключении этой службы выдает ошибку о том, что в доступе отказано...

Остальное все сделал, спасибо.

**Saule** · 15 августа, 2007

При деинсталляции пишет ошибку на 16% (скрин ниже будет). Сделал как Вы сказали, но увы, в службах все возможные действия с ним не активны, к тому же даже в свойствах при отключении этой службы выдает ошибку о том, что в доступе отказано...

Самозащита :)

Зайдите в папку с этой программой и запустите файл: PXConsole.exe. Когда в трее появится соответствующая иконка - выгрузите программу, нажав на Shutdown:

После этого деинсталляция должна сработать нормально.

**Tamara** · 15 августа, 2007

Нестрашно, любой декодер переводит это на нормальный язык:

Протокол антивирусной утилиты AVZ версии 4.25Сканирование запущено в 15/08/2007 12:02:07Загружена база: 122046 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 14.08.2007 11:25Загружены [...] и т.д.

avz_sysinfo.htm

**Maitre** · 15 августа, 2007

Здравствуйте.

Ужасно сильно начал загонять компьютер. Сначала начал иногда выключался самопроизвольно, при загрузке выдавал сообщение об ошибке и что было восстановление системы. Сейчас еще плюс ко всему тормоза страшные. До этого уже было такой я просто форматировал диск «С» и ставил новую ОС. Сейчас решил с этим бороться =) надеюсь вы мне поможете. Да еще часто при открывании окна в IE начинает открывать много одинаковых окон=(.

CureIt от Dr.WEB ничего кроме: D:\System Volume Information\_restore Tool.ProxyHLTV не нашел. Все удалил. Реестр через RegCleaner почистил. Диски на ошибки проверил.

Logfile of HijackThis v1.99.1

Scan saved at 0:22:12, on 16.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\Program Files\DrWeb\SpiderNT.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\trc_v1.3\trc_1.3.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\FlashGet\flashget.exe

C:\WINDOWS\system32\NOTEPAD.EXE

D:\Програмки\qip8030\qip.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

D:\Програмки\drweb\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.flirtgame.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Traffic Counter V1.3.exe.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/eng/billard9_2_0_0_34.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74F50258-C5AF-41E7-A14F-E76379A981C4}: NameServer = 88.205.225.242,88.205.249.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

avz_sysinfo.htm

Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 16.08.2007 0:29:42

Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58493

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0846E0)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055B6E0

KiST = 80503734 (284)

Функция NtCreateKey (29) перехвачена (80622048->F847A0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtEnumerateKey (47) перехвачена (80622888->F847FFB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F8480340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtOpenKey (77) перехвачена (806233DE->F847A0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtQueryKey (A0) перехвачена (80623702->F8480418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtQueryValueKey (B1) перехвачена (80620102->F8480298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Функция NtSetValueKey (F7) перехвачена (80620708->F84804AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys

Проверено функций: 284, перехвачено: 7, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 35

Количество загруженных модулей: 274

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 309, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 16.08.2007 0:30:40

Сканирование длилось 00:00:59

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию

avz_sysinfo.htm

**Saule** · 16 августа, 2007

Tamara

Ничего вредоносного в отчете AVZ также не видно. Какие-нибудь проблемы с системой до сих пор имеют место быть?

Здравствуйте.
Ужасно сильно начал загонять компьютер. Сначала начал иногда выключался самопроизвольно, при загрузке выдавал сообщение об ошибке и что было восстановление системы. Сейчас еще плюс ко всему тормоза страшные.

Maitre

Очень важно в таких случаях запоминать или записывать код ошибки с экрана. По нему можно определить, из-за чего именно произошел сбой в системе (Рекомендации по устранению ошибок "STOP").

Возможно, они еще сохранены, если посмотреть по соответствующим датам в:

Control Panel (Панель управления) > Administrative Tools (Администрирование) > Event Viewer (Просмотр событий)

По логам ничего подозрительного не видно.

sptd.sys (который был выделен красным) - это драйвер, разработанный Duplex Secure и используемый Alcohol'ем (более подробно при желании о нем можно почитать тут: SPTD F.A.Q.).

**Tamara** · 16 августа, 2007

Tamara

Ничего вредоносного в отчете AVZ также не видно. Какие-нибудь проблемы с системой до сих пор имеют место быть?

Спасибо за хорошие новости!

Spybot S&D показывает вот эти штуковины в кукисах: CureRCSolution и AdRevolver. При удалении - показывает, что проблемы были решены... Я запускаю чистку, периодически в течении дня, чтобы посмотреть удалились они или нет.. Все равно показывает все время этот результат.. Обнаружил.. Почистил.. Опять тоже самое. Где мне эту мутату поискать?...

**Saule** · 17 августа, 2007

Spybot S&D показывает вот эти штуковины в кукисах: CureRCSolution и AdRevolver. При удалении - показывает, что проблемы были решены... Я запускаю чистку, периодически в течении дня, чтобы посмотреть удалились они или нет.. Все равно показывает все время этот результат.. Обнаружил.. Почистил.. Опять тоже самое. Где мне эту мутату поискать?...

Скорей всего, это обычные 'Тracking cookie'.

Чуть подробнее:

Угроза нанесения вреда вашей системе с помощью

cookie

- минимальна, т.к. они не могут ничего прочитать с жесткого диска и не могут пересылать данные.

Cookie

- это текстовая информация, которую Web-сайт посылает на ваш компьютер, и когда позже вы снова посещаете тот же самый Web-сайт, компьютер возвращает ему эту информацию неизмененной. Сайт благодаря этому может предоставлять своим посетителям некоторые услуги, например, представлять сайт в том виде, в котором посетитель его ранее настроил, или разрешать авторизованным посетителям вход на сайт без ввода пароля.

Тracking cookie

(то, что находит SpyBot S&D) - это cookie, которыми могут пользоваться несколько сайтов (т.е. к такому виду cookie доступ может получить не только тот сайт, который создал его, но и другие определенные сайты), что нарушает конфиденциальность ваших данных. Именно поэтому от такого вида cookie рекомендуется избавляться.

Попробуйте просто удалить Cookie во всех браузерах, которые вами используются. В Internet Explorer это делается следующим образом:

в верхнем меню браузера:

Tools (Сервис) > Internet Options (Свойства обозревателя) > Delete Cookie (Удалить Cookie)

Единственное, имейте в виду, что после их удаления, на тех веб-страницах, куда вы входите с помощью автоматической авторизации, вас снова попросят 1 раз ввести логин и пароль.

Также, чтобы обезопасить себя на будущее от таких tracking cookies какого-нибудь конкретного сайта, то для Internet Explorer можно сделать следующее:

в верхнем меню браузера:

Tools (Сервис) > Internet Options (Свойства обозревателя) > Privacy (Конфиденциальность) >

кнопка

Sites (Узлы) >

вводим адрес веб-сайта и выбираем желаемое для него действие -

Block (Блокировать)

или

Allow (Разрешить)

В вашем случае один из них будет adrevolver.com (второй - к сожалению, я не знаю, но его, скорей всего, можно посмотреть в окошке сканирования SpyBot S&D ).

**zoner** · 17 августа, 2007

По-моему моя очередь затянулась :). С нетерпеньем жду

**Saule** · 17 августа, 2007

По-моему моя очередь затянулась :D. С нетерпеньем жду

http://www.softboard.ru/index.php?s=&s...st&p=365613

Или было что-то еще? :)

**zoner** · 17 августа, 2007

http://www.softboard.ru/index.php?s=&s...st&p=365613

Или было что-то еще? :)

Ага :)

http://www.softboard.ru/index.php?s=&s...st&p=365600

i

Уведомление:

Еще разок пройдитесь по ссылке, которая была дана выше.

Saule

Изменено 17 августа, 2007 пользователем Saule

18 августа, 2007

Вобщем дурацкий вопрос, наверно...

Можно ли очистить папку F:\Documents and Settings\имя пользователя\Local Settings\Temp

ничего нужного не удалится? А то стооолько места занимает...

**Форматцевт** · 19 августа, 2007

Shade: не только нужно, но и можно.

Вот пример bat - файла который я запускаю при старте (он лежит в папке автозагрузка)

del_tmp.bat

rd /s /q "C:\Documents and Settings\ss\Local Settings\Temp"rd /s /q "C:\WINDOWS\Temp"md "C:\Documents and Settings\ss\Local Settings\Temp"md "C:\WINDOWS\Temp"

Может я где то и не прав, но коллизий не замечал....за 6 месяцев.

**Iomhar Dealgach** · 19 августа, 2007

Shade: не только нужно, но и можно.

Вот пример bat - файла который я запускаю при старте (он лежит в папке автозагрузка)

del_tmp.bat
rd /s /q "C:\Documents and Settings\ss\Local Settings\Temp"rd /s /q "C:\WINDOWS\Temp"md "C:\Documents and Settings\ss\Local Settings\Temp"md "C:\WINDOWS\Temp"
Может я где то и не прав, но коллизий не замечал....за 6 месяцев.

А какие коллизии (должны быть)?

ЗЫ: А что - CCleaner уже это не делает? :)

**Saule** · 19 августа, 2007

Вобщем дурацкий вопрос, наверно... :)

Дурацкий-не дурацкий - в любом случае вопрос лучше задать, если он есть :) (тут все прекрасно понимают, что для большинства компьютер - это всего лишь инструмент, а не единственное средство жизни, о котором человек должен знать всё или почти всё).

Можно ли очистить папку F:\Documents and Settings\имя пользователя\Local Settings\Temp
ничего нужного не удалится? А то стооолько места занимает...

Как уже сказали выше - можно (конечно, если вы туда не сохраняли нужные вам файлы).

Это не только улучшает общую работоспособность компьютера, но и автоматически избавляет от тех вирусов, которые любят оставлять свои копии в системных папках с временными файлами (а таких вирусов на самом деле немало).

Возможно, также будет полезен пост:

http://www.softboard.ru/index.php?s=&s...st&p=288281

http://www.softboard.ru/index.php?s=&showtopic=37015&view=findpost&p=288281' rel="external nofollow">

19 августа, 2007

Спасибо вам! :)

**студент_86** · 22 августа, 2007

Здравствуйте! Помогите решить одну проблему. Есть свежеустановленная система, сегодня она вдруг начала глючить, потом перестала. бухгалтер говорит что при этом ругался Касперский, но в логах я ничего не нашел кроме сетеевой атаки Win.MSSQL.worm.Helkern по локальному порту UDP 1434, но эта гадость достает с разных IP постоянно, не думаю что дело в ней.

Не знаю в чем дело, но хочу отмести вирусную активность, поэтому посмотрите пожалуйста мои логи проверки системы если не в лом, сам в них мало понимаю. Заранее спасибо!

Logfile of HijackThis v1.99.1

Scan saved at 17:34:59, on 22.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Crypto Pro\CSP\cprmcsp.exe

C:\Program Files\Crypto Pro\CSP\cpinit.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\FirebirdSQL 1.5\bin\fbserver.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

E:\Дистрибутивы\антивирусы\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*.kontur-extern.ru

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - file://F:\Служебные программы\Другие программы\ScriptX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{898034ED-8E1E-4071-833C-9F08E1AA9121}: NameServer = 217.170.115.36,217.170.112.11

O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Служба инициализации Крипто-Про CSP (cpinit) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cpinit.exe

O23 - Service: Служба хранения и использования ключей Крипто-Про CSP (cprmcsp) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cprmcsp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Unknown owner - C:\Program Files\FirebirdSQL 1.5\bin\fbserver.exe" -s (file missing)