Colin Foster Опубликовано 5 октября, 2007 Жалоба Поделиться Опубликовано 5 октября, 2007 Довольно давно уже сижу в безопасном режиме с поддержкой сетевых драйверов. Лениво собираюсь переходить на Mandriva Linux, но поскольку ноут - каждодневный рабочий инструмент, получается очень лениво... Пока стоит Windows XP SP Home Edition, регулярно обновляемая. Из защиты: Kaspersky Internet Security, APS (от Зайцева) и другие специализированные утилиты. Проблема, собственно, в следующем: Захожу в обычном режиме, большая часть exe`шников не запускается, у каспера выключается защита от шпионских программ. Вирусов не находит. Чего только не пробовал... Из этого форума узнал о таких инструментах как HijackThis и SDFix, - логи прилагаю. Может быть, вы с чем-то подобным уже сталкивались... Logfile of HijackThis v1.99.1 Scan saved at 19:40:25, on 05.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\AVZ\aps\aps.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Vanes\Рабочий стол\HijackThis.exe O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: PGPtray.lnk = C:\Program Files\Network Associates\PGPNT\PGPtray.exe O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\windows\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe и SDFix: Version 1.107 Run by Vanes on 04.10.2007 at 17:29 Microsoft Windows XP [‚ҐабЁп 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: C:\windows No streams found. C:\windows\system32 No streams found. C:\windows\system32\svchost.exe No streams found. C:\windows\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\StrongDC\\StrongDC.exe"="C:\\Program Files\\StrongDC\\StrongDC.exe:*:Enabled:StrongDC++" "C:\\Program Files\\Last.fm\\LastFM.exe"="C:\\Program Files\\Last.fm\\LastFM.exe:*:Enabled:Last.fm" "C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5" "C:\\Program Files\\AVZ\\aps\\aps.exe"="C:\\Program Files\\AVZ\\aps\\aps.exe:*:Enabled:aps" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Files with Hidden Attributes: Fri 2 Feb 2001 40,960 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\lpac_codec_api.dll" Thu 7 Feb 2002 94,208 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\lpaccodec.dll" Tue 13 Apr 2004 212,992 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\OFR.EXE" Fri 17 Jan 2003 278,528 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\PNCRT.dll" Mon 5 May 2003 16,384 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\RMADEC.EXE" Wed 20 Feb 2002 98,304 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\AC3\AZID.DLL" Sun 21 Jul 2002 45,056 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\AC3\AC3ENC.DLL" Sat 26 Oct 2002 79,360 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\MusePack\MPPENC.EXE" Sun 23 Feb 2003 64,512 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\MusePack\MPPDEC.EXE" Fri 11 Apr 2003 73,766 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\atrc3260.dll" Fri 11 Apr 2003 45,099 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\auth3260.dll" Fri 11 Apr 2003 65,575 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\cook3260.dll" Fri 11 Apr 2003 102,437 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\drv13260.dll" Fri 11 Apr 2003 176,165 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\drv23260.dll" Fri 11 Apr 2003 208,935 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\drv33260.dll" Fri 11 Apr 2003 217,127 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\drv43260.dll" Tue 15 Apr 2003 976,896 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\pnen3260.dll" Fri 11 Apr 2003 348,203 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\pnvi3260.dll" Fri 11 Apr 2003 53,289 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\pnxr3260.dll" Fri 11 Apr 2003 45,101 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\ramf3260.dll" Fri 11 Apr 2003 135,213 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rare3260.dll" Mon 14 Oct 2002 57,344 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rims3290.dll" Fri 11 Apr 2003 163,885 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rmff3260.dll" Mon 14 Oct 2002 737,280 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rmse3290.dll" Mon 14 Oct 2002 245,760 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rmwr3260.dll" Fri 11 Apr 2003 245,805 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rnlt3260.dll" Mon 14 Oct 2002 245,760 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rorw3290.dll" Mon 14 Oct 2002 114,688 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rtae3290.dll" Mon 14 Oct 2002 65,536 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rtin3290.dll" Mon 14 Oct 2002 163,840 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rtve3290.dll" Fri 11 Apr 2003 45,093 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rv103260.dll" Fri 11 Apr 2003 98,341 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rv203260.dll" Fri 11 Apr 2003 94,247 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rv303260.dll" Fri 11 Apr 2003 90,151 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rv403260.dll" Fri 11 Apr 2003 159,785 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\rvre3260.dll" Mon 14 Oct 2002 102,400 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\sipr3260.dll" Fri 11 Apr 2003 61,485 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\smpl3260.dll" Fri 11 Apr 2003 106,541 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\vsrl3260.dll" Fri 11 Apr 2003 86,061 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\xmlp3261.dll" Fri 11 Apr 2003 159,787 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Common\zipf3260.dll" Sun 20 Apr 2003 60,928 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Shorten\SHORTEN.EXE" Fri 14 Feb 2003 910,152 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Shorten\CYGWIN1.DLL" Wed 8 Oct 2003 77,312 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Speex\speexenc.exe" Wed 8 Oct 2003 75,264 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\Speex\speexdec.exe" Tue 18 Feb 2003 103,936 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\WavPack\WAVPACK.EXE" Tue 18 Feb 2003 102,912 ...H. --- "C:\Program Files\Common Files\Ahead\AudioPlugins\WavPack\WVUNPACK.EXE" F Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 октября, 2007 Жалоба Поделиться Опубликовано 5 октября, 2007 (изменено) Этот лог в безопасном режиме сделан? Или вирус не дает полной картины? Скачай AVZ http://z-oleg.com/avz4.zip Меню Файл -- Исследование системы. Получившийся лог запакуй и выкладывай сюда. Нелишним будет запустить ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe в безопасном режиме. Лучше записанным на болванку. Изменено 5 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Colin Foster Опубликовано 7 октября, 2007 Автор Жалоба Поделиться Опубликовано 7 октября, 2007 Этот лог в безопасном режиме сделан? Или вирус не дает полной картины? Скачай AVZ http://z-oleg.com/avz4.zip Меню Файл -- Исследование системы. Получившийся лог запакуй и выкладывай сюда. Нелишним будет запустить ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe в безопасном режиме. Лучше записанным на болванку. Зайцевым регулярно сканировал - ничего не находил. А вот cureit.exe сейчас обнаружил Trojan.StartPage.1505. Будем лечиться... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 7 октября, 2007 Жалоба Поделиться Опубликовано 7 октября, 2007 Зайцевым регулярно сканировал - ничего не находил. Сканировать не надо, "исследовать" надо. Ссылка на комментарий Поделиться на другие сайты Поделиться
Colin Foster Опубликовано 7 октября, 2007 Автор Жалоба Поделиться Опубликовано 7 октября, 2007 Так же, нашёл ToolProckill... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 7 октября, 2007 Жалоба Поделиться Опубликовано 7 октября, 2007 (изменено) Так же, нашёл ToolProckill... Слушай, если хочешь, чтобы тебе здесь качественно помогли, выполни Скачай AVZ http://z-oleg.com/avz4.zip Меню Файл -- Исследование системы. Получившийся лог запакуй и выкладывай сюда. Если тебе достаточно того, что нашел CureIt, то ОК. Заходите еще... Изменено 7 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Colin Foster Опубликовано 7 октября, 2007 Автор Жалоба Поделиться Опубликовано 7 октября, 2007 Извиняюсь, не могу понять, как здесь редактировать сообщение. 1. Новый лог HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 2:23:07, on 08.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\AVZ\aps\aps.exe C:\windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\Program Files\AVZ\avz4\avz.exe C:\Program Files\Download Master\dmaster.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Vanes\Рабочий стол\HijackThis.exe O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: PGPtray.lnk = C:\Program Files\Network Associates\PGPNT\PGPtray.exe O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\windows\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe 2. avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 7 октября, 2007 Жалоба Поделиться Опубликовано 7 октября, 2007 (изменено) Ну я ничего не нашел, только вот WgaLogon.dll в автозагрузке зачем. Изменено 7 октября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Colin Foster Опубликовано 8 октября, 2007 Автор Жалоба Поделиться Опубликовано 8 октября, 2007 Ну я ничего не нашел, только вот WgaLogon.dll в автозагрузке зачем. Насколько я помню, это чтобы Windows продолжала быть лицензионной Проблемы тем временем продолжаются, нашёл кучу заразы... Переустановил Касперского (он был выведен из строя), обновляюсь сейчас... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти