Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Посмотрите пожалуйста мой лог!


Рекомендуемые сообщения

То мышка не работает, то клава, то комп просто перегружается сам по себе, а то выдает,что система востановлена после серьезной ошибки. Вообщем подскажите плиз!!! что делать.

Logfile of HijackThis v1.99.1

Scan saved at 21:09:17, on 12.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\trafinspag.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ЯНОЧКА~1.АРТ\LOCALS~1\Temp\Rar$EX01.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx?mkt=ru-RU

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1:8080/config.script

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [NetBlock Pro Agent] C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe 1

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Ссылка на комментарий
Поделиться на другие сайты

Прочитала что еще необходим лог AVZ-добывляю. Пока сканировал систему эта программа кое что удалила, но все равно все зависает. Помогите пожалуйста!

А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо!

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

avz_log.txt

avz_log.txt

Ссылка на комментарий
Поделиться на другие сайты

К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д

Ссылка на комментарий
Поделиться на другие сайты

К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д

Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!!

Ссылка на комментарий
Поделиться на другие сайты

Прочитала что еще необходим лог AVZ-добывляю.

еще надо в AVZ

Файл-Исследование системы. Полученный лог здесь(фаил htm).

Ссылка на комментарий
Поделиться на другие сайты

Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!!

Пуск-настройка-панель управления-администрирование-службы-службы терминалов.

на этой службе правой кнопкой мышки, выпадет менюшка-свойства-тип запуска-отключено-применить-ок

Ссылка на комментарий
Поделиться на другие сайты

еще надо в AVZ

Файл-Исследование системы. Полученный лог здесь(фаил htm).

Если я все правильно поняла, то вот он. Но я в нем естественно не разобралась сама :D

avz_sysinfo.htm

avz_sysinfo.htm

Ссылка на комментарий
Поделиться на другие сайты

Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :)

Ссылка на комментарий
Поделиться на другие сайты

Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :)

Привет, просто не стоит давать советы, если плохо понимаеш суть вопроса.

Вчем я уверен на 100% в том помогу, поэтому наверно люди смотрят логи и не отписываются...ибо нет уверенности.

А клава и перезагрузки могут вообще быть из за подглючивающей материнки :)

вообщем жди экспертов класса Saule и ser208 :)

Ссылка на комментарий
Поделиться на другие сайты

Ну неужели никто не может посмотреть мой лог????

Подожди до вечера. Только твои проблемы скорее всего не из-за вирусов. Попробуем разобраться.

lamauser

Рановато в эксперты меня...

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо!

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Это потенциально уязвимые места вашей операционной системы, которые могут быть использованы (в определенных условиях) вирусами и злоумышленниками, с целью атаки на ваш компьютер.

Чтобы отключить эти возможности, нужно запустить AVZ и нажать в его верхнем меню:

Файл > Выполнить скрипт

Затем скопировать в появившееся окошко следующий скрипт:

beginSetServiceStart('RemoteRegistry', 4);SetServiceStart('TermService', 4);SetServiceStart('SSDPSRV', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);end.

И нажать на кнопку 'Запустить'.

Также в вашем случае останется еще автоматический запуск компакт-дисков и служба 'Планировщик заданий'. Но так как многим нужны эти функции, в список выше я их не добавила.

Если же вы всё-таки хотите отключить и эти возможности, то точно таким же образом выполните следующий скрипт:

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('Schedule', 4);end.

P.S. В логах ничего подозрительно не видно.

Ссылка на комментарий
Поделиться на другие сайты

P.S. В логах ничего подозрительно не видно.

огромное! огромное!! Спасибо!!! :) :)

Ссылка на комментарий
Поделиться на другие сайты

Привет такая проблемма иногда во время того как я сижу в нэте открываются ссылки или появляется окно я адресом http://(и что то вроде ip адреса бывает, иногда(редко перезагружается комп ) и ещё в папке C:\Documents and Settings были папка моего пользователя но сдруг она стала системной и её не видно только если потавить отображение системных папок??? У меня windowsXP sp 2 антивирус касперский 6.0базы от 20.11.07. подскажите что делать или мож это просто глюки компа? ;)

PS немного не понял по поводу лога так что и прикрепил и вот ещё так на всякий случай.

Logfile of HijackThis v1.99.1

Scan saved at 13:42:38, on 20.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\lg_fwupdate\fwupdate.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\HDDSvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\regedit.exe

C:\Documents and Settings\Леон\Local Settings\Temp\Временная папка 2 для hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Леон\Application Data\Mra\Update\mrasearch.dll

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [NI Mail Agent] C:\Program Files\NIUtilites\NIMailAgent\ma.exe /t

O4 - HKCU\..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"

O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Vypress Chat StartUp.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM

O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

hijackthis.log

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

В этом логе чисто, сделайте лог AVZ

вот что то нашёл я пока не удолял жду инструкций

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 21.11.2007 12:20:26

Загружена база: 136462 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 20.11.2007 18:04

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 66382

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4

Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77

Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B380)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552380

KiST = 8626CB58 (297)

>>> Внимание, таблица KiST перемещена ! (805011FC(284)->8626CB58(297))

Функция NtClose (19) перехвачена (805B09C0->F37FC5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateKey (29) перехвачена (80618E86->F37EFC40), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateProcess (2F) перехвачена (805C5F8E->F37FC2E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateProcessEx (30) перехвачена (805C5ED8->F37FC460), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateSection (32) перехвачена (8059F4EA->F37FCF30), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateSymbolicLinkObject (34) перехвачена (805B96C4->F37FCB7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateThread (35) перехвачена (805C5D76->F37FD910), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDeleteKey (3F) перехвачена (80619316->F37EFD60), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDeleteValueKey (41) перехвачена (806194E6->F37EFDE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDuplicateObject (44) перехвачена (805B249C->F37FC720), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtEnumerateKey (47) перехвачена (806196C6->F37EFE70), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtEnumerateValueKey (49) перехвачена (80619930->F37EFF20), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtFlushKey (4F) перехвачена (80619B9A->F37EFFD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtInitializeRegistry (5C) перехвачена (80616E5E->F37F0050), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtLoadKey (62) перехвачена (8061ABB6->F37F08E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtLoadKey2 (63) перехвачена (8061A800->F37F0070), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtNotifyChangeKey (6F) перехвачена (8061AB80->F37F0170), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenFile (74) перехвачена (8056E4E8->F7305F70), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys

Функция NtOpenKey (77) перехвачена (8061A21C->F37F0250), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenProcess (7A) перехвачена (805BFE1E->F37FC0D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenSection (7D) перехвачена (8059E520->F37FCD7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryKey (A0) перехвачена (8061A540->F37F0350), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryMultipleValueKey (A1) перехвачена (80618054->F37F0400), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQuerySystemInformation (AD) перехвачена (806065E4->F37FD576), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryValueKey (B1) перехвачена (80616F40->F37F04B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtReplaceKey (C1) перехвачена (8061AA66->F37F0560), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtRestoreKey (CC) перехвачена (8061728E->F37F05F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtResumeThread (CE) перехвачена (805C9764->F37FD880), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSaveKey (CF) перехвачена (80617330->F37F0680), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetContextThread (D5) перехвачена (805C64B0->F37FDC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationFile (E0) перехвачена (8056F398->F37FE310), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationKey (E2) перехвачена (80617C20->F37F0710), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationProcess (E4) перехвачена (805C28DC->F3801B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetSecurityObject (ED) перехвачена (805B463C->F37FA506), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetValueKey (F7) перехвачена (80617546->F37F07B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSuspendThread (FE) перехвачена (805C969E->F37FD830), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtTerminateProcess (101) перехвачена (805C776C->F37FD39B), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtUnloadKey (107) перехвачена (8061780E->F37F08A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtWriteVirtualMemory (115) перехвачена (805A85A2->F37FC5F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция FsRtlCheckLockForReadAccess (804E9E54) - модификация машинного кода. Метод JmpTo. jmp F37FE760 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Функция IoIsOperationSynchronous (804EE738) - модификация машинного кода. Метод JmpTo. jmp F37FEC50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Проверено функций: 284, перехвачено: 39, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 43

Количество загруженных модулей: 404

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d15_File_Monitoring_eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d16_Web_Monitoring_eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\b_a_b_y_1991@mail.ru\b_a_b_y_1991@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\crew_style@mail.ru\crew_style@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\m.digodiev@mail.ru\m.digodiev@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\maer.90@mail.ru\maer.90@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\rassistr@mail.ru\rassistr@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\serenity-daria@mail.ru\serenity-daria@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\support@corp.mail.ru\support@corp.mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt

Прямое чтение C:\Documents and Settings\Леон\Cookies\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\MSHist012007112120071122\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DF2D5F.tmp

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DFC326.tmp

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\Леон\NTUSER.DAT

C:\Documents and Settings\Николай\Избранное\Рестораны, бары, клубы. Бизнес Портал «Дальний Восток». Владивосток. Россия..url >>>>> Trojan.BAT.KillFiles.bc

Прямое чтение C:\Program Files\HP\hpcoretech\hpcmerr.log

C:\Program Files\JetAudio\jetUpdate.exe >>>>> AdvWare.Win32.CashOn.a

Прямое чтение C:\System Volume Information\_restore{603F0F3E-F25D-454D-BBCB-4FEDBACDCA06}\RP146\change.log

Прямое чтение C:\WINDOWS\SchedLgU.Txt

Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\software

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\drivers\fidbox.dat

Прямое чтение C:\WINDOWS\system32\drivers\fidbox.idx

Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.dat

Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.idx

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINDOWS\WindowsUpdate.log

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\ctagent.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

Просканировано файлов: 271282, извлечено из архивов: 179175, найдено вредоносных программ 2, подозрений - 0

Сканирование завершено в 21.11.2007 13:28:23

Сканирование длилось 01:07:58

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Ссылка на комментарий
Поделиться на другие сайты

где эта папка ни где нету???

Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...