Подозрения на вирус

[Orion71]

Добрый Всем день!

Недавно появилась на компе хрень - проводник открывал все в новом окне и тормозила система. Пролистал Ваш форум и попытался исправить, используя Ваши рекомендации. На данный момент, проблема с проводником частично решена. Он открывается так как мне нужно, но ... до сих пор не показывает "скрытые и системные папки". Естественно в меню ВИД я отмечаю галочку и сохраняюсь, но ... увы безрезультатно.

Прогнал AVZ. Прилагаю логи с надеждой на помощь.

За ранее искренне Вам благодарен за помощь :)

Logfile of HijackThis v1.99.1

Scan saved at 15:47:45, on 14.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\NaturalPoint\TrackIR4\TrackIR.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Install\Антивирус\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://stat.bel-net.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KillCopy] C:\Program Files\KillSoft\KillCopy\kcresume.exe /startup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [run] arp -s 10.10.130.76 00-00-cd-16-68-1a

O4 - HKLM\..\Run: [NaturalPoint] C:\Program Files\NaturalPoint\TrackIR4\TrackIR.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia 6233\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HOTASMode] "C:\Program Files\HOTAS\HOTASConfig.exe" /MODE /FOXY /AU /DM /BU "/PC:\Program Files\HOTAS\Profiles\проба.tmc"

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183387528125

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183387512625

O17 - HKLM\System\CCS\Services\Tcpip\..\{324B66B7-3DA0-44B6-A7C7-5DA6CCB08260}: NameServer = 10.10.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE907B6-0772-4518-AD81-441FFC95585C}: NameServer = 10.10.0.1

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

avz_sysinfo.htmПрикрепляю оба файла

avz_sysinfo.xml

avz_sysinfo.htm

avz_sysinfo.xml

[ser208]

Radmin сам устанавливал?

Fix checked в HijackThis

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

Еще Пуск-выполнить--cmd

В командной строке набери ipconfig /all и ОК.

Скопируй текст и дай посмотреть.

Изменено 14 октября, 2007 пользователем ser208

[Orion71]

Radmin сам устанавливал?

Да. Сделал по просьбе провайдера. Были проблемы со связью и ... установили для удаленного доступа. Но в данный момент служба заблокирована в процессах (насколько я знаю).

Fix checked в HijackThis

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

Сделано

Еще Пуск-выполнить--cmd

В командной строке набери ipconfig /all и ОК.

Скопируй текст и дай посмотреть.

прилагаю скриншот

З.Ы. Спасибо за оперативный ответ :)

[ser208]

прилагаю скриншот

Я вот не понимаю, что это за.. фокус

O4 - HKLM\..\Run: [run] arp -s 10.10.130.76 00-00-cd-16-68-1a

Ты ничего об этом не знаешь? MAC-адрес карты у тебя другой.

По запросу asp /? пишет:

"Добавляет узел и связывает internet адрес inet_addr с физическим адресом eth_addr. Физический адрес задается 6 байтами (в шестнадцатеричном виде), разделенных дефисом. Эта связь является постоянной."

Изменено 14 октября, 2007 пользователем ser208

[snejinka]

Orion71:

C:\WINDOWS\system32\sfrem01.exe

[run] arp -s 10.10.130.76 00-00-cd-16-68-1a

Вот эти 2 пункта меня заинтересовали. Подожди пока появится Saule она тебе объяснит лучше.

Единственно, что я могу сказать так половину сервисов и программ, которые у тебя активированы надо точно держать выключенными так сказать для оптимальной конфигурации и профилактики вирусного геморроя. Если заинтересует могу написать подробно, что отключить :)

ser208:

Remote Packet Capture Protocol v.0 - у меня тоже такая запись была и простым фиксированием она не удаляется, а через регедит

Изменено 14 октября, 2007 пользователем snejinka

[ser208]

C:\WINDOWS\system32\sfrem01.exe

StarForce защита. Игрушки.

профилактики вирусного геморроя

Гы.. :) Прям как в поликлинике.

Изменено 15 октября, 2007 пользователем ser208

[Orion71]

Я вот не понимаю, что это за.. фокус

Ты ничего об этом не знаешь? MAC-адрес карты у тебя другой.

По запросу asp /? пишет:

"Добавляет узел и связывает internet адрес inet_addr с физическим адресом eth_addr. Физический адрес задается 6 байтами (в шестнадцатеричном виде), разделенных дефисом. Эта связь является постоянной."

У меня в локальной сети был случай, кто-то смог воспользоваться чужим аккаунтом (не знаю как правильно сказать, т.к. я ламер в вопросах сети, но я понял это так). И администратор на форуме выложил рекомендации как это избежать в будущем. Цитирую:

И так расказываю как защитится от перехвата трафика методом ARP спуфинга:

1) В командной строке выполняем "arp -a" и смотрим на вашу арп таблицу.

2) Находим запись соответствующию вашему шлюзу(Поле IP адрес должно совпадать с адресом вашего шлюза - например 10.10.207.1) затем смотрим какой у него стоит физический адрес(например 00-00-cd-16-68-1a).

3) выполняем комнду "arp -s IP MAC" вместо IP и MAC подставить ip и мак адрес шлюза соответственно

(например arp -s 10.10.207.1 00-00-cd-16-68-1a).

4) затем эту команду нада прописать в автозагрузку - как вариант создать текстовый файл содержищий эту команду переименовать его в run.bat и кинуть в папку автозагрузка.

ЗЫ: Если вы чегото не поняли в этом описании или вы незнаете что такое шлюз и какой у него адрес то лутше ничего НЕ делайте ибо можете своими действиями сбить настройки сети после чего она у вас не будет работать!!!

Я просто выполнил рекомендации :)

Единственно, что я могу сказать так половину сервисов и программ, которые у тебя активированы надо точно держать выключенными так сказать для оптимальной конфигурации и профилактики вирусного геморроя. Если заинтересует могу написать подробно, что отключить

С огромным интересом и рвением выполню Ваши рекомендации :)

З.Ы. Я пару страниц с рекомендациями по отключению служб в ХР уже перелопатил, но постоянно что-нить приходиться возвращать. Но обещаю внимательно рассмотреть Ваши рекомендации. Никогда не поздно узнать что-нить новенькое :)

[ser208]

От О.З. добавлю к списку от snejinka для "профилактики вирусного геморроя.."

В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "запустить".

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('SSDPSRV', 4);end.

Изменено 14 октября, 2007 пользователем ser208

[Orion71]

Вот результат :)

[микропрограмма лечения]> изменен параметр RestrictAnonymous ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

[микропрограмма лечения]> изменен параметр AutoShareWks ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

А нескромный вопрос и масса извинений:

"А что это я сейчас сделал? И надо ли перегружать машину? :)

[ser208]

Отключить службу SSDPSRV (Служба обнаружения SSDP).

Отключить административный доступ к локальным дискам.

Блокировать возможность подключения анонимных пользователей.

[Orion71]

Отключить службу SSDPSRV (Служба обнаружения SSDP).

сделано

Отключить административный доступ к локальным дискам.

Речь идет о "Диспетчер логических дисков?

Блокировать возможность подключения анонимных пользователей.

То же не нашел :)

[ser208]

Да ну тебя. :) :) :)

Это был ответ на твой вопрос:

А нескромный вопрос и масса извинений:"А что это я сейчас сделал?

Все скрипт сделал. Не ищи ничего.

Без юморка тоже нельзя :)

Изменено 14 октября, 2007 пользователем ser208

[Orion71]

:) "Семё-ё-ён Семёныч!" (с) "Бриллиантовая рука" :)

[Orion71]

:) "Семё-ё-ён Семёныч!" (с) "Бриллиантовая рука" :)

З.Ы. А как все таки заставить проводник показывать скрытые файлы? :)

[ser208]

Скрытые или системные? Там разные галочки.

[Orion71]

Скрытые.

Системные вроде галочка снимается. А здесь, переключаю режим, сохраняюсь - результат ноль. Захожу в меню, а все осталось в прежнем положении.

[ser208]

Попробуй Пуск--выполнить--regsvr32 /i shell32.dll

[Orion71]

ШАЙТАН :)

Спасибо огромное, все заработало :)

Просто в двух словах можете мне объяснить, что у меня было? :)

И какие рекомендации у Вас есть к моей системе

За ранее благодарю Вас за оперативное решение моей проблемы :)

[ser208]

Просто в двух словах можете мне объяснить, что у меня было?

М-м... вирусный геморрой!?

А шо?

Изменено 15 октября, 2007 пользователем ser208

[snejinka]

Orion71:

Ну, а теперь теперь начну я.

Для начала скачай программу Advased Windows Care ( там есть русский )

http://www.download.com/Advanced-WindowsCa...6-10407614.html

установи,запусти и сделай точку восстановления.

Появится такое окно, запусти сканирование прокорректируй проблемы : советую пропустить пункт чистку реестра ( реестр лучше чистить другой программой)

Меня интересует скрин с менеджера автозагрузки программ, а также скрин из подменю утилиты

Затем продолжим

[Orion71]

Извините за поздний ответ, на работе с инетом туговато :(

...

Для начала скачай программу Advased Windows Care ( там есть русский )

Ну русским перевод сложно назвать Шрифты пляшут (видно а компе не хватает определенного шрифта)

Меня интересует скрин с менеджера автозагрузки программ, а также скрин из подменю утилиты

...

Надеюсь сделал все правильно, т.к. не совсем в этом разбираюсь. Картинки пронумеровал в последовательности, т.к. скрин из подменю утилиты оказался большим.

Затем продолжим

Жду с упоением ;)

[snejinka]

Orion71:

Привет!

Вообще-то я ожидала страшные картинки, а так все очень даже прилично. :)

Значит убрать из автозагрузки :

1 soundman

5 Hd aud prop shortcut

7 pcsuite

8 trackir

9 kill copy

10 run arp

11 alcwzrd

12 alcmtr

13 hotas

Просто сними галочки и нажми Apply , сами записи не удаляй вдруг понадобятся. Из сервисов нужно вырубить Shared Access, опять же если оной не пользуешься, ну если не играешь в сети.

Удачи!

[Orion71]

Спасибо огромное за советы :)

Но в автозагрузке большую часть все же оставлю (игровой процесс может пострадать)

1 soundman - Всегда считал, что это нужная бодяга связанная со звуком.

5 Hd aud prop shortcut (вот это не понял пока что у меня, буду разбираться сейчас. Возможно остаточная хрень от какой-нить инсталяшки)

Многое из списка это набор для сетевых игр (джойстик, устройство обзора и т.д. и т.п.) Их все равно приходится подгружать каждый раз :)

[ser208]

1 soundman

Не, ну звук никуда не денется. Значка в трее просто не будет.

Изменено 17 октября, 2007 пользователем ser208

[Orion71]

Не, ну звук никуда не денется. Значка в трее просто не будет.

А он много жрет ресурсов?