HijackThis

**Kat** · 14 декабря, 2006

Vse li v porjadke?

Spasibo.

Logfile of HijackThis v1.99.1

Scan saved at 19:55:30, on 14.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Programme\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Pinnacle\PCTV USB2\Remote\Remoterm.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE

C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\DOKUME~1\Bernd\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll

O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll

O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCTVUSB2Remote] C:\Programme\Pinnacle\PCTV USB2\Remote\Remoterm.exe

O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Firewall.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm

O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

**Darth Emil** · 14 декабря, 2006

Имхо, процессов многовато... И сервисов тоже.

Это можешь убить:

Running processes:
C:\WINDOWS\System32\Ati2evxx.exe

C:\Programme\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Pinnacle\PCTV USB2\Remote\Remoterm.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE

C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe

Это можно убрать:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll

O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll

O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [PCTVUSB2Remote] C:\Programme\Pinnacle\PCTV USB2\Remote\Remoterm.exe

O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Firewall.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm

O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

И вообще, зря тему создал. Надо было тут спросить.

**Saule** · 15 декабря, 2006

Vse li v porjadke?

Если ваш вопрос звучит именно так, то ничего отличенного от нормального (вредоносного) у вас в логе нет.

Но желательно убрать (открыть HijackThis, нажать на "Do a system scan only", отметить галочкой нужные строчки и затем нажать на "Fix Checked") следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll

Две последние строчки, по всей видимости, представляют Adware-модули, инсталлируемые программой AdsCleaner, но это уже на твоё усмотрение.

И, кроме того, смело можно убрать бесполезные (т.е. никем не применяемые) записи. В вашем случае это будет вот это:

O4 - Global Startup: Firewall.lnk = ?

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

**Kolya_Pusy_Lamer** · 22 декабря, 2006

Премногоуважаемая Saule. Ещё раз огромное спасибо за вашу помощь всем форумчанам, в том числе и мне.

Теперь по теме.

Опишите пожалуйста приблизительный алгоритм выявления подозрительных процессов и не менее подозрительных (и очень ненужных нам) вредительских приложений.

Если это вас не утруднит, опишите ход выявления на примерах форумчан. На какие источники вы посылаетесь при анализе ( вы то Профессионал, у вас большой опыт, а у меня в голове по этой тематике практически вакккууум... )?

Может, посоветуете некоторые общеобразовательные статьи,сайты (чтобы не очень в мозгах путалось после прочтения оных. А то на некоторых форумах такого нагрузят, что сделаеш что-то аналогичное format C: ... )

Ещё раз спасибо за ваше внимание к нам и нашим проблемам!

**simply_the_best** · 6 февраля, 2007

Спасибо большое, Saule, за эту тему - я хоть что-то понял.

И подскажите , пожалуйста, нашел в логе такие строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{222FD8F9-1595-47DE-8D11-FAD07D5DDFBB}: NameServer = 213.234.192.7 195.14.50.21

O17 - HKLM\System\CS1\Services\Tcpip\..\{222FD8F9-1595-47DE-8D11-FAD07D5DDFBB}: NameServer = 213.234.192.7 195.14.50.21

195.14.50.21 - это DNS моего провайдера, а первый - нет! Это опасно? И как его убрать???

**simply_the_best** · 6 февраля, 2007

Я тут подумал, в свойствах подключения к локальной сети выбрано: получить DNS автоматически, так что, наверное, то, что написал в предыдущем сообщении - не то... И решил выложить весь лог:

Logfile of HijackThis v1.99.1

Scan saved at 19:11:18, on 06.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\nike\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{222FD8F9-1595-47DE-8D11-FAD07D5DDFBB}: NameServer = 213.234.192.7 195.14.50.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{222FD8F9-1595-47DE-8D11-FAD07D5DDFBB}: NameServer = 213.234.192.7 195.14.50.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{222FD8F9-1595-47DE-8D11-FAD07D5DDFBB}: NameServer = 213.234.192.7 195.14.50.1

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Посмотрите, пожалуйста...

**ser208** · 6 февраля, 2007

Я тут подумал, в свойствах подключения к локальной сети выбрано: получить DNS автоматически, так что, наверное, то, что написал в предыдущем сообщении - не то... И решил выложить весь лог:

Чисто вроде.

**Jaja** · 11 февраля, 2007

Здравствуйте, Saule.

Мой комп весь в вирусах. В основном Трояны и один Backdoor в system32. Имеет ли смысл чинить его если повреждён такой важный файл как system32? Решила начать с HijackThis и получила вот такой лог:

Logfile of HijackThis v1.99.1

Scan saved at 20:35:19, on 2007.02.11.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\RevConnect\DCPlusPlus.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Documents and Settings\User\Desktop\hijackthis\HijackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gismeteo.ru/towns/26422.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tsr.lv:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lv;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [Pianists] C:\Program Files\Tildes Birojs\Pianists.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BFB0AD8-18AF-4B42-A29C-C1073D85036F}: NameServer = 195.13.160.52

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Подскажите, пожалуйста, что надо зафиксить.

П.С. Что это за новый вирус Downloader?

Заранее благодарю.

**Saule** · 13 февраля, 2007

Мой комп весь в вирусах. В основном Трояны и один Backdoor в system32. Имеет ли смысл чинить его если повреждён такой важный файл как system32? :(

Милая, Jaja.

Вы можете мне не поверить, но на мой взгляд с вашим компьютером всё плюс-минус в порядке. А основная ваша проблема, которая в этом деле мешает, немного в другом - это ваша излишняя впечатлительность

Если вы знаете примерные названия вирусов, которые когда-либо появлялись на вашей системе, то, скорее всего, эти названия сообщил вам ваш антивирус. Если это было действительно так, то в таких ситуациях не нужно переживать. Т.к. если антивирус сообщает вам о том, что он нашел вирус, значит, наверняка, им будут (или уже были) приняты и соответствующие меры по уничтожению. И ваша система на данный момент здорова. В конце концов он ведь именно для этого у вас и установлен - для того, чтобы вас защищать.

Гораздо хуже бывает, когда антивирусы ничего не находит, не смотря на то, что заражение на лицо (вот в таких случаях и нужна помощь HijackThis).

В вашем же логе я на самом деле ничего подозрительного не вижу.

П.С. Что это за новый вирус Downloader?

Downloader - это не совсем вирус. Это скорее класс вредоносных программ.

Программы этого класса предназначены для загрузки и установки без ведома пользователя других вредоносных программ.

**Jaja** · 14 февраля, 2007

на мой взгляд с вашим компьютером всё плюс-минус в порядке. А основная ваша проблема, которая в этом деле мешает, немного в другом - это ваша излишняя впечатлительность :)

Была бы только рада, если всё так, но все признаки "болезни" на лицо - Task Manager и Востановление Системы уже не работают :)

**Милли** · 5 марта, 2007

Здравствуй Saule! Очень хочется обратиться к тебе. написала в другой топик, но ты там не появляешься, жалко. Помоги пожалуйста!!! Занесла с флешки гадость из 72 штук. С рабочего стола не открывается не один диск. Только МОЙ КОМПЬЮТЕР. Я сразу переустановила систему. думала поможет, но... . Я немного-немного продвинутый чайник. ;) После переустановки ничего не изменилось. Вот что показал сканер док. Web

autorun.bat;C:\;VBS.Igidak;;

autorun.vbs;C:\;VBS.Igidak;;

A0019340.bat;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0019345.vbs;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0019366.bat;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0019371.vbs;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0019377.bat;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0019382.vbs;C:\System Volume Information\_restore{29F59E2D-917C-425F-8966-5CD0746E84FD}\RP158;VBS.Igidak;;

A0000010.bat;C:\System Volume Information\_restore{47D252BC-77CE-4C24-B857-1E517138A76E}\RP1;VBS.Igidak;;

A0000015.vbs;C:\System Volume Information\_restore{47D252BC-77CE-4C24-B857-1E517138A76E}\RP1;VBS.Igidak;;

A0000196.bat;C:\System Volume Information\_restore{47D252BC-77CE-4C24-B857-1E517138A76E}\RP2;VBS.Igidak;;

A0000201.vbs;C:\System Volume Information\_restore{47D252BC-77CE-4C24-B857-1E517138A76E}\RP2;VBS.Igidak;;

autorun.bat;C:\WINDOWS\system32;VBS.Igidak;;

autorun.vbs;C:\WINDOWS\system32;VBS.Igidak;;

А ЭТО hijackthis

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTFMON.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\trafinspag.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\kust\LOCALS~1\Temp\Временная папка 1 для hijackthis.zip\HijackThis.exe

C:\DOCUME~1\kust\LOCALS~1\Temp\Временная папка 2 для hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E294EDC-AA8F-42D8-A87B-8ABEDC6B304D}: NameServer = 192.168.1.1

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Подскажи пожал. как с эти бороться. У меня и ноутбук этим же страдает :)

**Saule** · 5 марта, 2007

Здравствуй Saule! Очень хочется обратиться к тебе. написала в другой топик, но ты там не появляешься, жалко.

Я появляюсь во всех топиках одинаково (просто помимо форума всё-таки еще существует и основная работа, личная жизнь, выходные, учёба, плохое самочувствие и т.п. :(), поэтому лучше так больше не делать. Так как дублируя свои сообщения, вы лишь прибавляете мне "работы" и, следовательно, ответить на исходные вопросы у меня получиться еще позже.

Уверяю вас, что как только у меня есть достаточно свободного времени, я обязательно вам отвечу, в каком бы топике вы не оставили сообщения - повторять их не нужно!

**Милли** · 6 марта, 2007

Уверяю вас, что как только у меня есть достаточно свободного времени, я обязательно вам отвечу, в каком бы топике вы не оставили сообщения - повторять их не нужно! ;)

Все поняла. Прошу прощения :) Буду ждать :)

Изменено 6 марта, 2007 пользователем Saule

**Saule** · 6 марта, 2007

Все поняла. Прошу прощения ;) Буду ждать ;)

Третья часть этого сообщения:

http://www.softboard.ru/index.php?s=&s...st&p=337355

**art_art** · 8 марта, 2007

Здравствуйте. Объясните, пожалуйста, почему в списке запущенных процессов HijackThis v1.99.1 и диспетчере задач отображается разное количество процессов? Это особенность HijackThis или проблема с компьютером? Для сравнения скопирую лог Hijackа и tasklist, и выделю различия. Заранее огромное спасибо за ответ. Logfile of HijackThis v1.99.1

Scan saved at 3:00:00, on 08.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\UPHClean\uphclean.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Beeline\GPRS Explorer\gprsexpl.exe

C:\Program Files\TechnoTrend\TT-budget\DVBData.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\svchost.exe

D:\Slonax2.00.10\slnx_client.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

D:\Program Files\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] D:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [beeline GPRS Explorer] C:\Program Files\Beeline\GPRS Explorer\gprsexpl.exe

O4 - Startup: DVB Data Control (Budget).lnk = C:\Program Files\TechnoTrend\TT-budget\DVBData.exe

O4 - Global Startup: DVB Data (TT-budget).lnk = C:\Program Files\TechnoTrend\TT-budget\DVBData.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать FDM'ом - file://D:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Закачать все с Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Закачать выбранное с Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{8CAD1EA7-86C9-465A-A62E-67C57115A436}: NameServer = 212.44.92.22

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe ================================================================================

= Microsoft Windows XP [Версия 5.1.2600]

(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Пользователь>tasklist/svc

Имя образа PID Службы

========================= ====== =============================================

System Idle Process 0 Н/Д

System 4 Н/Д

smss.exe 636 Н/Д

csrss.exe 692 Н/Д

winlogon.exe 716 Н/Д

services.exe 760 Eventlog, PlugPlay

lsass.exe 772 NtLmSsp, PolicyAgent, ProtectedStorage, SamSs

ati2evxx.exe 920 Ati HotKey Poller

svchost.exe 932 DcomLaunch, TermService

svchost.exe 1008 RpcSs

svchost.exe 1092 AudioSrv, CryptSvc, Dhcp, dmserver,

EventSystem, FastUserSwitchingCompatibility,

lanmanworkstation, Netman, RasMan, Schedule,

SENS, SharedAccess, ShellHWDetection,

srservice, TapiSrv, Themes, TrkWks, winmgmt,

wscsvc, wuauserv, WZCSVC

spoolsv.exe 1360 Spooler

nod32krn.exe 1512 NOD32krn

outpost.exe 1536 OutpostFirewall

uphclean.exe 1624 UPHClean

explorer.exe 1884 Н/Д

atiptaxx.exe 472 Н/Д

nvraidservice.exe 476 Н/Д

nod32kui.exe 500 Н/Д

ctfmon.exe 580 Н/Д

gprsexpl.exe 596 Н/Д

DVBData.exe 664 Н/Д

wmiprvse.exe 680 Н/Д

unsecapp.exe 1180 Н/Д

alg.exe 1240 ALG

svchost.exe 3060 stisvc

slnx_client.exe 3964 Н/Д

firefox.exe 3536 Н/Д

cmd.exe 2928 Н/Д

tasklist.exe 3416 Н/Д

wmiprvse.exe 1384 Н/Д

C:\Documents and Settings\Пользователь>

Здравствуйте. Объясните, пожалуйста, почему в

**Saule** · 8 марта, 2007

Объясните, пожалуйста, почему в списке запущенных процессов HijackThis v1.99.1 и диспетчере задач отображается разное количество процессов? Это особенность HijackThis или проблема с компьютером?

Это особенности HijackThis.

**Saule** · 16 марта, 2007

Вышла новая, немного улучшенная версия программы HijackThis:

Trend Micro HijackThis v2.0.0 BETA

Сам проект был продан корпорации TrendMicro, так как у автора и разработчика HijackThis уже давно не хватало времени на постоянные доработки, обновления и внесение в программу необходимых изменений.

Сайт

Скачать

Изменения, внесенные в HijackThis [v2.00.0]:

Добавлена функция 'AnalyzeThis' для отправки результатов вашего сканирования на статистическое сравнение пунктов, найденных в вашей системе с пунктами других логов HijackThis.
Распознавание Windows Vista и IE7.
Исправлено несколько багов секции O23 (службы Windows NT/Microsoft Windows).
Исправлен баг секции O22 (задачи Планировщика Задач/Shared Task Scheduler).
Слегка изменена структура записи лога.
Boot mode: Normal

--

End of file - 3477 bytes
Сделаны некоторые исправления и усовершенствования встроенной в HijackThis утилиты ADS Spy.
Улучшен механизм встроенного менеджера процессов (теперь процесс предварительно блокируется перед его завершением).
Добавлено внесение в список записей автозагрузки других пользователей (секция O4):
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
Добавлено внесение в список наличия ряда ограничений пользователя, устанавливаемых при заражении SmitFraud.
Добавлены новые параметры запуска HijackThis из командной строки:
/silentautolog

/deleteonreboot [file]
Добавлена новая секция: O24 - перечисление ActiveX Компонентов Рабочего стола (ActiveX Desktop Components).
В проверку секции O15 (сайты и протоколы, добавленные в зону 'Надежные узлы'/'Trusted Zone') включены 'зоны с конфигурацией усиленной безопасности'/'Enhanced Security Configuration Zones' (ESC).

______________

Системные требования:

Операционная система:

Microsoft™ Windows™ XP
Microsoft™ Windows™ 2000

Могут потребоваться 'Visual Basic Runtime Libraries' от Microsoft, которые можно скачать

здесь

http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe' rel="external nofollow">

.

Программное обеспечение:

Microsoft™ Internet Explorer 7.0
Microsoft™ Internet Explorer 6.0
Mozilla™ Firefox™ 1.5 или выше

**art_art** · 23 марта, 2007

Здравствуйте, Saule. HijackThis v2.0.0 в отличии от предыдущей версии обнаруживает:

O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

Я немного поискал в форуме и нашел подобные строки в логах других участников. При этом Вы не указывали на их опасность. Из этого я делаю вывод, что это стандартный и необходимый процесс. Но все же интересно, что это за демон и предзагрузчик такие. Если не трудно объясните новичку. Спасибо за Вашу помощь.

**Saule** · 24 марта, 2007

Здравствуйте, Saule. HijackThis v2.0.0 в отличии от предыдущей версии обнаруживает:
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

browseui.dll - это библиотека интерфейса обозревателя оболочки (Shell Browser UI Library) - один из компонентов ядра браузера и проводника Windows, который содержит ресурсы и функции (начиная с функций автозаполнения и вплоть до Global Folder Settings) для управления обозревателем с помощью пользовательского интерфейса.

А конкретные строки, на которые вы указали, это содержимое следующего ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Обе этих записи и раньше там находились (т.к. такие настройки устанавливаются в Windows XP по умолчанию), однако, секция O22 была в HijackThis немного с этой точки зрения не доработана, и он вообще не выводил эти данные, даже если запуск был сделан из командной строки с параметром /ihatewhitelists. И в v2.00.0 это было исправлено (в посте выше об этом кратко отмечено).

**AntiHacker** · 24 апреля, 2007

HiJackThisV 2.0 есть уже не БЕТА?

**Saule** · 24 апреля, 2007

HiJackThisV 2.0 есть уже не БЕТА?

По факту - нет.

**k_d** · 10 июля, 2007

Здравствуй Saule!

У меня появились смутные подозрения о наличии какой-то нечисти у меня на компе.

Связано это с появлением папки со странным названием: TL¦T+¦L-

Лежит она в каталоге C:\Documents and Settings

На нормальную работу компа она на влияет. После удаления через некоторое время появляется снова (видимо после активации какой-то проги, точно не после загрузки).

Поскольку я не спец в хайджеке, то прошу тебя и весь чесной народ на форуме посмотреть на логи - может там найдется объяснение.

Заранее спасибо.

Logfile of HijackThis v1.99.1

Scan saved at 19:41:19, on 10.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\SanDisk\Sansa Updater\SansaSvr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\acer\epm\epm-dm.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iolo\System Mechanic 6\SMSystemAnalyzer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ioloDelayModule] C:\Program Files\iolo\System Mechanic 6\delay.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sMSystemAnalyzer] "C:\Program Files\iolo\System Mechanic 6\SMSystemAnalyzer.exe"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.ville.orange.fr/CO/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{010132D3-3E0F-462A-A280-4EC32143FE04}: NameServer = 213.234.192.7 195.14.50.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{C84E2252-1999-481E-86A8-219198E17844}: NameServer = 213.234.192.8,85.21.192.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{010132D3-3E0F-462A-A280-4EC32143FE04}: NameServer = 213.234.192.7 195.14.50.21

O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe