Посмотрите пожалуйста мой лог!

[Милли]

То мышка не работает, то клава, то комп просто перегружается сам по себе, а то выдает,что система востановлена после серьезной ошибки. Вообщем подскажите плиз!!! что делать.

Logfile of HijackThis v1.99.1

Scan saved at 21:09:17, on 12.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\trafinspag.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ЯНОЧКА~1.АРТ\LOCALS~1\Temp\Rar$EX01.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx?mkt=ru-RU

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1:8080/config.script

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [trafinspag.exe] C:\WINDOWS\system32\trafinspag.exe

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [NetBlock Pro Agent] C:\PROGRA~1\REDCAT~1.T\NETBLO~1\NBAgent.exe 1

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{07F39403-9A98-4303-9302-1038C51F384A}: NameServer = 192.168.1.1

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Милли]

Прочитала что еще необходим лог AVZ-добывляю. Пока сканировал систему эта программа кое что удалила, но все равно все зависает. Помогите пожалуйста!

А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо!

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

avz_log.txt

avz_log.txt

[Tiff]

К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д

[Милли]

К тебе может подключится другой компьютер и работать как на своём.Он будет видеть полностью твой рабочий стол,смотреть твои "фильмы для взрослых" и т.д

Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!!

[lamauser]

Прочитала что еще необходим лог AVZ-добывляю.

еще надо в AVZ

Файл-Исследование системы. Полученный лог здесь(фаил htm).

[lamauser]

Так может подключится или подключился? или этого не видно в моем логе? И как это отключить, чтобы не было :D таких незапланированных посещений?!!!

Пуск-настройка-панель управления-администрирование-службы-службы терминалов.

на этой службе правой кнопкой мышки, выпадет менюшка-свойства-тип запуска-отключено-применить-ок

[Милли]

еще надо в AVZ

Файл-Исследование системы. Полученный лог здесь(фаил htm).

Если я все правильно поняла, то вот он. Но я в нем естественно не разобралась сама :D

avz_sysinfo.htm

avz_sysinfo.htm

[Милли]

Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :)

[lamauser]

Ну неужели никто не может посмотреть мой лог???? Помогите пожалуйста!!!! :D Столько человек просмотрели и никто ничего не скажет :D :D :)

Привет, просто не стоит давать советы, если плохо понимаеш суть вопроса.

Вчем я уверен на 100% в том помогу, поэтому наверно люди смотрят логи и не отписываются...ибо нет уверенности.

А клава и перезагрузки могут вообще быть из за подглючивающей материнки :)

вообщем жди экспертов класса Saule и ser208 :)

[ser208]

Ну неужели никто не может посмотреть мой лог????

Подожди до вечера. Только твои проблемы скорее всего не из-за вирусов. Попробуем разобраться.

lamauser

Рановато в эксперты меня...

Изменено 15 ноября, 2007 пользователем ser208

[Saule]

А еще можно спросить , что означают эти предложения из лога, а то я чайник и не понимаю. Спасибо!

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Это потенциально уязвимые места вашей операционной системы, которые могут быть использованы (в определенных условиях) вирусами и злоумышленниками, с целью атаки на ваш компьютер.

Чтобы отключить эти возможности, нужно запустить AVZ и нажать в его верхнем меню:

Файл > Выполнить скрипт

Затем скопировать в появившееся окошко следующий скрипт:

beginSetServiceStart('RemoteRegistry', 4);SetServiceStart('TermService', 4);SetServiceStart('SSDPSRV', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);end.

И нажать на кнопку 'Запустить'.

Также в вашем случае останется еще автоматический запуск компакт-дисков и служба 'Планировщик заданий'. Но так как многим нужны эти функции, в список выше я их не добавила.

Если же вы всё-таки хотите отключить и эти возможности, то точно таким же образом выполните следующий скрипт:

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('Schedule', 4);end.

P.S. В логах ничего подозрительно не видно.

[Милли]

P.S. В логах ничего подозрительно не видно.

огромное! огромное!! Спасибо!!! :) :)

[леон]

Привет такая проблемма иногда во время того как я сижу в нэте открываются ссылки или появляется окно я адресом http://(и что то вроде ip адреса бывает, иногда(редко перезагружается комп ) и ещё в папке C:\Documents and Settings были папка моего пользователя но сдруг она стала системной и её не видно только если потавить отображение системных папок??? У меня windowsXP sp 2 антивирус касперский 6.0базы от 20.11.07. подскажите что делать или мож это просто глюки компа? ;)

PS немного не понял по поводу лога так что и прикрепил и вот ещё так на всякий случай.

Logfile of HijackThis v1.99.1

Scan saved at 13:42:38, on 20.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\lg_fwupdate\fwupdate.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\HDDSvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\regedit.exe

C:\Documents and Settings\Леон\Local Settings\Temp\Временная папка 2 для hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Леон\Application Data\Mra\Update\mrasearch.dll

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [NI Mail Agent] C:\Program Files\NIUtilites\NIMailAgent\ma.exe /t

O4 - HKCU\..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"

O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Vypress Chat StartUp.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM

O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM

O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{5802D405-7203-46B9-8A3D-1320053D8135}: NameServer = 212.122.1.9 212.122.1.2

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

hijackthis.log

hijackthis.log

[rubin-VInfo]

В этом логе чисто, сделайте лог AVZ

[леон]

В этом логе чисто, сделайте лог AVZ

как скачать эту программку чтоб лог сделать

[леон]

В этом логе чисто, сделайте лог AVZ

вот что то нашёл я пока не удолял жду инструкций

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 21.11.2007 12:20:26

Загружена база: 136462 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 20.11.2007 18:04

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 66382

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4

Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77

Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B380)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552380

KiST = 8626CB58 (297)

>>> Внимание, таблица KiST перемещена ! (805011FC(284)->8626CB58(297))

Функция NtClose (19) перехвачена (805B09C0->F37FC5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateKey (29) перехвачена (80618E86->F37EFC40), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateProcess (2F) перехвачена (805C5F8E->F37FC2E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateProcessEx (30) перехвачена (805C5ED8->F37FC460), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateSection (32) перехвачена (8059F4EA->F37FCF30), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateSymbolicLinkObject (34) перехвачена (805B96C4->F37FCB7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtCreateThread (35) перехвачена (805C5D76->F37FD910), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDeleteKey (3F) перехвачена (80619316->F37EFD60), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDeleteValueKey (41) перехвачена (806194E6->F37EFDE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtDuplicateObject (44) перехвачена (805B249C->F37FC720), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtEnumerateKey (47) перехвачена (806196C6->F37EFE70), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtEnumerateValueKey (49) перехвачена (80619930->F37EFF20), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtFlushKey (4F) перехвачена (80619B9A->F37EFFD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtInitializeRegistry (5C) перехвачена (80616E5E->F37F0050), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtLoadKey (62) перехвачена (8061ABB6->F37F08E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtLoadKey2 (63) перехвачена (8061A800->F37F0070), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtNotifyChangeKey (6F) перехвачена (8061AB80->F37F0170), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenFile (74) перехвачена (8056E4E8->F7305F70), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys

Функция NtOpenKey (77) перехвачена (8061A21C->F37F0250), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenProcess (7A) перехвачена (805BFE1E->F37FC0D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtOpenSection (7D) перехвачена (8059E520->F37FCD7E), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryKey (A0) перехвачена (8061A540->F37F0350), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryMultipleValueKey (A1) перехвачена (80618054->F37F0400), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQuerySystemInformation (AD) перехвачена (806065E4->F37FD576), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtQueryValueKey (B1) перехвачена (80616F40->F37F04B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtReplaceKey (C1) перехвачена (8061AA66->F37F0560), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtRestoreKey (CC) перехвачена (8061728E->F37F05F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtResumeThread (CE) перехвачена (805C9764->F37FD880), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSaveKey (CF) перехвачена (80617330->F37F0680), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetContextThread (D5) перехвачена (805C64B0->F37FDC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationFile (E0) перехвачена (8056F398->F37FE310), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationKey (E2) перехвачена (80617C20->F37F0710), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetInformationProcess (E4) перехвачена (805C28DC->F3801B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetSecurityObject (ED) перехвачена (805B463C->F37FA506), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSetValueKey (F7) перехвачена (80617546->F37F07B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtSuspendThread (FE) перехвачена (805C969E->F37FD830), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtTerminateProcess (101) перехвачена (805C776C->F37FD39B), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtUnloadKey (107) перехвачена (8061780E->F37F08A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция NtWriteVirtualMemory (115) перехвачена (805A85A2->F37FC5F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Функция FsRtlCheckLockForReadAccess (804E9E54) - модификация машинного кода. Метод JmpTo. jmp F37FE760 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Функция IoIsOperationSynchronous (804EE738) - модификация машинного кода. Метод JmpTo. jmp F37FEC50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный

Проверено функций: 284, перехвачено: 39, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 43

Количество загруженных модулей: 404

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d15_File_Monitoring_eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\0d16_Web_Monitoring_eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\b_a_b_y_1991@mail.ru\b_a_b_y_1991@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\crew_style@mail.ru\crew_style@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\m.digodiev@mail.ru\m.digodiev@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\maer.90@mail.ru\maer.90@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\rassistr@mail.ru\rassistr@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\serenity-daria@mail.ru\serenity-daria@mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Mra\lleeoonn-16-91@mail.ru\support@corp.mail.ru\support@corp.mail.rudata.mra

Прямое чтение C:\Documents and Settings\Леон\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt

Прямое чтение C:\Documents and Settings\Леон\Cookies\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\History\History.IE5\MSHist012007112120071122\index.dat

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DF2D5F.tmp

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temp\~DFC326.tmp

Прямое чтение C:\Documents and Settings\Леон\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\Леон\NTUSER.DAT

C:\Documents and Settings\Николай\Избранное\Рестораны, бары, клубы. Бизнес Портал «Дальний Восток». Владивосток. Россия..url >>>>> Trojan.BAT.KillFiles.bc

Прямое чтение C:\Program Files\HP\hpcoretech\hpcmerr.log

C:\Program Files\JetAudio\jetUpdate.exe >>>>> AdvWare.Win32.CashOn.a

Прямое чтение C:\System Volume Information\_restore{603F0F3E-F25D-454D-BBCB-4FEDBACDCA06}\RP146\change.log

Прямое чтение C:\WINDOWS\SchedLgU.Txt

Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\software

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\drivers\fidbox.dat

Прямое чтение C:\WINDOWS\system32\drivers\fidbox.idx

Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.dat

Прямое чтение C:\WINDOWS\system32\drivers\fidbox2.idx

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINDOWS\WindowsUpdate.log

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\ctagent.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

Просканировано файлов: 271282, извлечено из архивов: 179175, найдено вредоносных программ 2, подозрений - 0

Сканирование завершено в 21.11.2007 13:28:23

Сканирование длилось 01:07:58

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

[rubin-VInfo]

Не такой лог... в папке LOG должен появиться avz_sysinfo.zip, его и нужно показать

[леон]

Не такой лог... в папке LOG должен появиться avz_sysinfo.zip, его и нужно показать

где эта папка ни где нету???

[ser208]

где эта папка ни где нету???

Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

[леон]

Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

вот

avz_sysinfo.htm

avz_sysinfo.htm