Милли Опубликовано 12 ноября, 2007 Жалоба Поделиться Опубликовано 12 ноября, 2007 То мышка не работает, то клава, то комп просто перегружается сам по себе, а то выдает,что система востановлена после серьезной ошибки. Вообщем подскажите плиз!!! что делать. Logfile of HijackThis v1.99.1 Scan saved at 21:09:17, on 12.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\trafinspag.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe C:\Program Files\QIP\qip.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\ЯНОЧКА~1.АРТ\LOCALS~1\Temp\Rar$EX01.594\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx?mkt=ru-RU R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1:8080/config.script R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600" O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [NetBlock Pro Agent] C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe 1 O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 13 ноября, 2007 Автор Жалоба Поделиться Опубликовано 13 ноября, 2007 Прочитала что еще необходим лог AVZ-добывляю. Пока сканировал систему эта программа кое что удалила, но все равно все зависает. Помогите пожалуйста! А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо! >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику avz_log.txt avz_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiff Опубликовано 13 ноября, 2007 Жалоба Поделиться Опубликовано 13 ноября, 2007 К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 13 ноября, 2007 Автор Жалоба Поделиться Опубликовано 13 ноября, 2007 К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 13 ноября, 2007 Жалоба Поделиться Опубликовано 13 ноября, 2007 Прочитала что еще необходим лог AVZ-добывляю. еще надо в AVZ Файл-Исследование системы. Полученный лог здесь(фаил htm). Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 13 ноября, 2007 Жалоба Поделиться Опубликовано 13 ноября, 2007 Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!! Пуск-настройка-панель управления-администрирование-службы-службы терминалов. на этой службе правой кнопкой мышки, выпадет менюшка-свойства-тип запуска-отключено-применить-ок Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 13 ноября, 2007 Автор Жалоба Поделиться Опубликовано 13 ноября, 2007 еще надо в AVZ Файл-Исследование системы. Полученный лог здесь(фаил htm). Если я все правильно поняла, то вот он. Но я в нем естественно не разобралась сама :D avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 14 ноября, 2007 Автор Жалоба Поделиться Опубликовано 14 ноября, 2007 Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :) Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 15 ноября, 2007 Жалоба Поделиться Опубликовано 15 ноября, 2007 Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :) Привет, просто не стоит давать советы, если плохо понимаеш суть вопроса. Вчем я уверен на 100% в том помогу, поэтому наверно люди смотрят логи и не отписываются...ибо нет уверенности. А клава и перезагрузки могут вообще быть из за подглючивающей материнки :) вообщем жди экспертов класса Saule и ser208 :) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 15 ноября, 2007 Жалоба Поделиться Опубликовано 15 ноября, 2007 (изменено) Ну неужели никто не может посмотреть мой лог???? Подожди до вечера. Только твои проблемы скорее всего не из-за вирусов. Попробуем разобраться. lamauser Рановато в эксперты меня... Изменено 15 ноября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 15 ноября, 2007 Жалоба Поделиться Опубликовано 15 ноября, 2007 А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо!>> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Это потенциально уязвимые места вашей операционной системы, которые могут быть использованы (в определенных условиях) вирусами и злоумышленниками, с целью атаки на ваш компьютер.Чтобы отключить эти возможности, нужно запустить AVZ и нажать в его верхнем меню: Файл > Выполнить скрипт Затем скопировать в появившееся окошко следующий скрипт: beginSetServiceStart('RemoteRegistry', 4);SetServiceStart('TermService', 4);SetServiceStart('SSDPSRV', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);end. И нажать на кнопку 'Запустить'. Также в вашем случае останется еще автоматический запуск компакт-дисков и служба 'Планировщик заданий'. Но так как многим нужны эти функции, в список выше я их не добавила. Если же вы всё-таки хотите отключить и эти возможности, то точно таким же образом выполните следующий скрипт: beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('Schedule', 4);end. P.S. В логах ничего подозрительно не видно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Милли Опубликовано 16 ноября, 2007 Автор Жалоба Поделиться Опубликовано 16 ноября, 2007 P.S. В логах ничего подозрительно не видно. огромное! огромное!! Спасибо!!! :) :) Ссылка на комментарий Поделиться на другие сайты Поделиться
леон Опубликовано 20 ноября, 2007 Жалоба Поделиться Опубликовано 20 ноября, 2007 Привет такая проблемма иногда во время того как я сижу в нэте открываются ссылки или появляется окно я адресом http://(и что то вроде ip адреса бывает, иногда(редко перезагружается комп ) и ещё в папке C:\Documents and Settings были папка моего пользователя но сдруг она стала системной и её не видно только если потавить отображение системных папок??? У меня windowsXP sp 2 антивирус касперский 6.0базы от 20.11.07. подскажите что делать или мож это просто глюки компа? ;) PS немного не понял по поводу лога так что и прикрепил и вот ещё так на всякий случай. Logfile of HijackThis v1.99.1 Scan saved at 13:42:38, on 20.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\lg_fwupdate\fwupdate.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\CTHELPER.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\HDDSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Common Files\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\regedit.exe C:\Documents and Settings\Леон\Local Settings\Temp\Временная папка 2 для hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Леон\Application Data\Mra\Update\mrasearch.dll R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [NI Mail Agent] C:\Program Files\NIUtilites\NIMailAgent\ma.exe /t O4 - HKCU\..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe" O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Vypress Chat StartUp.lnk = ? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe hijackthis.log hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 20 ноября, 2007 Жалоба Поделиться Опубликовано 20 ноября, 2007 В этом логе чисто, сделайте лог AVZ Ссылка на комментарий Поделиться на другие сайты Поделиться
леон Опубликовано 21 ноября, 2007 Жалоба Поделиться Опубликовано 21 ноября, 2007 В этом логе чисто, сделайте лог AVZ как скачать эту программку чтоб лог сделать Ссылка на комментарий Поделиться на другие сайты Поделиться
леон Опубликовано 21 ноября, 2007 Жалоба Поделиться Опубликовано 21 ноября, 2007 В этом логе чисто, сделайте лог AVZ вот что то нашёл я пока не удолял жду инструкций Протокол антивирусной утилиты AVZ версии 4.27 Сканирование запущено в 21.11.2007 12:20:26 Загружена база: 136462 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 20.11.2007 18:04 Загружены микропрограммы эвристики: 371 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 66382 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0 Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4 Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77 Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0 Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=07B380) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 80552380 KiST = 8626CB58 (297) >>> Внимание, таблица KiST перемещена ! (805011FC(284)->8626CB58(297)) Функция NtClose (19) перехвачена (805B09C0->F37FC5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateKey (29) перехвачена (80618E86->F37EFC40), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateProcess (2F) перехвачена (805C5F8E->F37FC2E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateProcessEx (30) перехвачена (805C5ED8->F37FC460), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateSection (32) перехвачена (8059F4EA->F37FCF30), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateSymbolicLinkObject (34) перехвачена (805B96C4->F37FCB7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtCreateThread (35) перехвачена (805C5D76->F37FD910), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtDeleteKey (3F) перехвачена (80619316->F37EFD60), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtDeleteValueKey (41) перехвачена (806194E6->F37EFDE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtDuplicateObject (44) перехвачена (805B249C->F37FC720), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtEnumerateKey (47) перехвачена (806196C6->F37EFE70), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtEnumerateValueKey (49) перехвачена (80619930->F37EFF20), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtFlushKey (4F) перехвачена (80619B9A->F37EFFD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtInitializeRegistry (5C) перехвачена (80616E5E->F37F0050), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtLoadKey (62) перехвачена (8061ABB6->F37F08E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtLoadKey2 (63) перехвачена (8061A800->F37F0070), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtNotifyChangeKey (6F) перехвачена (8061AB80->F37F0170), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtOpenFile (74) перехвачена (8056E4E8->F7305F70), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys Функция NtOpenKey (77) перехвачена (8061A21C->F37F0250), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtOpenProcess (7A) перехвачена (805BFE1E->F37FC0D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtOpenSection (7D) перехвачена (8059E520->F37FCD7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtQueryKey (A0) перехвачена (8061A540->F37F0350), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtQueryMultipleValueKey (A1) перехвачена (80618054->F37F0400), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtQuerySystemInformation (AD) перехвачена (806065E4->F37FD576), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtQueryValueKey (B1) перехвачена (80616F40->F37F04B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtReplaceKey (C1) перехвачена (8061AA66->F37F0560), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtRestoreKey (CC) перехвачена (8061728E->F37F05F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtResumeThread (CE) перехвачена (805C9764->F37FD880), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSaveKey (CF) перехвачена (80617330->F37F0680), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetContextThread (D5) перехвачена (805C64B0->F37FDC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetInformationFile (E0) перехвачена (8056F398->F37FE310), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetInformationKey (E2) перехвачена (80617C20->F37F0710), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetInformationProcess (E4) перехвачена (805C28DC->F3801B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetSecurityObject (ED) перехвачена (805B463C->F37FA506), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSetValueKey (F7) перехвачена (80617546->F37F07B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtSuspendThread (FE) перехвачена (805C969E->F37FD830), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtTerminateProcess (101) перехвачена (805C776C->F37FD39B), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtUnloadKey (107) перехвачена (8061780E->F37F08A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция NtWriteVirtualMemory (115) перехвачена (805A85A2->F37FC5F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys Функция FsRtlCheckLockForReadAccess (804E9E54) - модификация машинного кода. Метод JmpTo. jmp F37FE760 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Функция IoIsOperationSynchronous (804EE738) - модификация машинного кода. Метод JmpTo. jmp F37FEC50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Проверено функций: 284, перехвачено: 39, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 43 Количество загруженных модулей: 404 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d15_File_Monitoring_eventlog.rpt Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d16_Web_Monitoring_eventlog.rpt Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\b_a_b_y_1991@mail.ru\b_a_b_y_1991@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\crew_style@mail.ru\crew_style@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\m.digodiev@mail.ru\m.digodiev@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\maer.90@mail.ru\maer.90@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\rassistr@mail.ru\rassistr@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\serenity-daria@mail.ru\serenity-daria@mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\support@corp.mail.ru\support@corp.mail.rudata.mra Прямое чтение C:\Documents and Settings\Леон\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt Прямое чтение C:\Documents and Settings\Леон\Cookies\index.dat Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\MSHist012007112120071122\index.dat Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DF2D5F.tmp Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DFC326.tmp Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\Леон\NTUSER.DAT C:\Documents and Settings\Николай\Избранное\Рестораны, бары, клубы. Бизнес Портал «Дальний Восток». Владивосток. Россия..url >>>>> Trojan.BAT.KillFiles.bc Прямое чтение C:\Program Files\HP\hpcoretech\hpcmerr.log C:\Program Files\JetAudio\jetUpdate.exe >>>>> AdvWare.Win32.CashOn.a Прямое чтение C:\System Volume Information\_restore{603F0F3E-F25D-454D-BBCB-4FEDBACDCA06}\RP146\change.log Прямое чтение C:\WINDOWS\SchedLgU.Txt Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\software Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\drivers\fidbox.dat Прямое чтение C:\WINDOWS\system32\drivers\fidbox.idx Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.dat Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.idx Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Прямое чтение C:\WINDOWS\WindowsUpdate.log 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\ctagent.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена Просканировано файлов: 271282, извлечено из архивов: 179175, найдено вредоносных программ 2, подозрений - 0 Сканирование завершено в 21.11.2007 13:28:23 Сканирование длилось 01:07:58 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 21 ноября, 2007 Жалоба Поделиться Опубликовано 21 ноября, 2007 Не такой лог... в папке LOG должен появиться avz_sysinfo.zip, его и нужно показать Ссылка на комментарий Поделиться на другие сайты Поделиться
леон Опубликовано 22 ноября, 2007 Жалоба Поделиться Опубликовано 22 ноября, 2007 Не такой лог... в папке LOG должен появиться avz_sysinfo.zip, его и нужно показать где эта папка ни где нету??? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 22 ноября, 2007 Жалоба Поделиться Опубликовано 22 ноября, 2007 где эта папка ни где нету??? Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Ссылка на комментарий Поделиться на другие сайты Поделиться
леон Опубликовано 22 ноября, 2007 Жалоба Поделиться Опубликовано 22 ноября, 2007 Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. вот avz_sysinfo.htm avz_sysinfo.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти