Нужен совет.

[2_k]

Здравствуйте.

Вот лог от hijackthis, куда ставить галочки не совсем уверен. Подскажите пожалуйста.

Logfile of HijackThis v1.99.1Scan saved at 16:54:24, on 15.12.2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\SYSTEM32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\Program Files\Bonjour\mDNSResponder.exeD:\WINDOWS\Explorer.EXED:\Program Files\Eset\nod32krn.exeD:\WINDOWS\system32\nvsvc32.exeC:\МiniProgy\proshow\ScsiAccess.exeD:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\SYSTEM32\notepad.exeD:\Program Files\WinRoll\winroll.exeD:\Program Files\ESET\nod32kui.exeD:\WINDOWS\SYSTEM32\taskmgr.exeD:\Program Files\Internet Explorer\IEXPLORE.EXED:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.torrents.ru/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/icq5/3/unregister.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\INIPRO~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [OutpostMonitor] C:\INIPRO~1\OUTPOS~1\op_mon.exe /trayO4 - HKLM\..\Run: [OutpostFeedBack] "C:\МiniProgy\Outpost Firewall\feedback.exe" /dump:os_startupO4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: Sothink SWF Catcher - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\МiniProgy\Outpost Firewall\ie_bar.dllO9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLLO9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO10 - Unknown file in Winsock LSP: d:\program files\bonjour\mdnsnsp.dllO16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{1C6D20D7-D154-4B7A-B52D-34355D3A5A88}: NameServer = 212.48.193.36 212.48.193.38O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dllO18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLLO20 - AppInit_DLLs: c:\inipro~1\outpos~1\wl_hook.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\INIPRO~1\OUTPOS~1\acs.exeO23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exeO23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exeO23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Design Programs\3dm2008\mentalray\satellite\raysat_3dsMax2008_32server.exeO23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Design Programs\3dm9\mentalray\satellite\raysat_3dsmax9_32server.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exeO23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: ScsiAccess - Unknown owner - C:\МiniProgy\proshow\ScsiAccess.exeO23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - D:\WINDOWS\system32\sfrem01.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exeO23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

[2_k]

А вообще большие подозрения на svchost процессы. На этом форуме прочитал о списке служб загружаемых этими процессами которые созданны вирусами. И уменя таких окозалось достаточно.

Я использовал sdFix, но после этого мало что изменилось в svchost. Вот:

Microsoft Windows XP [Версия 5.1.2600](С) Корпорация Майкрософт, 1985-2001.D:\Documents and Settings\Администратор> tasklist /SVCИмя образа				   PID Службы========================= ====== =============================================System Idle Process			0 Н/ДSystem						 4 Н/Дsmss.exe					 660 Н/Дcsrss.exe					716 Н/Дwinlogon.exe				 740 Н/Дservices.exe				 784 Eventlog, PlugPlaylsass.exe					796 PolicyAgent, ProtectedStorage, SamSssvchost.exe				  968 DcomLaunchsvchost.exe				 1012 RpcSssvchost.exe				 1064 AudioSrv, Browser, CryptSvc, dmserver,							 ERSvc, EventSystem, helpsvc, lanmanserver,							 lanmanworkstation, Netman, Nla, RasMan,							 seclogon, SENS, SharedAccess,							 ShellHWDetection, srservice, TapiSrv,							 Themes, TrkWks, W32Time, winmgmt, wscsvc,							 wuauserv, WZCSVCsvchost.exe				 1112 LmHosts, WebClientacs.exe					 1320 acssrvmDNSResponder.exe		   1488 Bonjour Serviceexplorer.exe				1524 Н/Дnod32krn.exe				1592 NOD32krnnvsvc32.exe				 1608 NVSvcscsiaccess.exe			  1672 ScsiAccessStarWindService.exe		 1796 StarWindServicesvchost.exe				 1808 stisvcalg.exe					  264 ALGop_mon.exe				  1404 Н/Дwinroll.exe				  256 Н/Дnod32kui.exe				1200 Н/Дtaskmgr.exe				 3404 Н/ДIEXPLORE.EXE				3680 Н/Дcmd.exe					 2432 Н/Дtasklist.exe				2524 Н/Дwmiprvse.exe				2568 Н/ДD:\Documents and Settings\Администратор>

Как это можно побороть?

зы.Прошу прощение за второе сообщение подряд ,не нашёл кнопку "редактировать".

[ser208]

А вообще большие подозрения на svchost процессы. На этом форуме прочитал о списке служб загружаемых этими процессами которые созданны вирусами. И у меня таких окозалось достаточно.

У тебя наоборот недостаточно, так сказать.

Скачай Cureit , и проверь системный диск в безопасном режиме.

Скачай AVZ , распакуй, обнови и перейди в меню

Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

[2_k]

У тебя наоборот недостаточно, так сказать.

Скачай Cureit , и проверь системный диск в безопасном режиме.

Скачай AVZ , распакуй, обнови и перейди в меню

Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Cпасибо за ответ.

Сureit нашёл 6 червей, но 5 из них были в карантине нода 32.

Вот лог avz:

http://slil.ru/25239720

[rubin-VInfo]

От AVZ нужен html-лог, а не xml...

[2_k]

От AVZ нужен html-лог, а не xml...

Исправил. Тут сразу два лога, все службы и только активные( не знал какой именно нужен):

http://slil.ru/25239972

[ser208]

Явного ничего не видно. Мусора только от игрушек много.

[2_k]

Явного ничего не видно. Мусора только от игрушек много.

Хмм, странно. А как же тогда быть с процессами в svhost(например W32Time или LmHosts, WebClient,). Это же говорит о вирусах , если я правельно понял? Может посоветуш какие нибуть ещё программы для скана или действия к выявлению...

[ser208]

Это стандартные службы.

Почитай

[2_k]

Это стандартные службы.

Почитай

Извеняюсь за напорство, но именно сдесь написано вот что:

Список "левых" служб, ссылающихся на svchost.exe:

(т.е. эти службы были созданы вирусами!)

(слева: название службы, справа: её команда)

AppMgmt - svchost.exe -k AppMgmt

Browser - svchost.exe -k Browser

COM Message Transfer (mscommt) - svchost.exe -k mscommt

Disk Monitor Services (DiskMon32) - svchost.exe -k dmon

dmserver - svchost.exe -k

DNS Server (DNS Server) - svchost.exe

FastUserSwitchingCompatibil (Fast User Switching Compatibil) - svchost.exe

Generic Host Process For Win32 Services (Generic Host Process) - svchost.exe

generic host process (svchost) - svchost.exe

Hardware Detection (Serv-U) - svchost.exe

Host Services (Host Services) - svhosts.exe

IPRIP (IPRIP) - svchost.exe -k netsvcs

kdc - svchost.exe -k kdc

LmHosts - svchost.exe -k LmHosts

Messenger - svchost.exe -k Messenger

MS Internet Countermeasures Framework (ICF) - \System32:svchost.exe

NetLogon - svchost.exe -k

Network Connections Sharing (RpcTftpd) - svchost.exe

Network DDE DSMA (NetDDEdsma) - svchost.exe

ntmssvc - svchost.exe -k ntmssvc

NVIDIA Driver ServiceЎЎ (NVSv ) - svchost.exe

RasAt (Remote Connection) - svchost.exe

Policy Agent - svchost.exe -k Policy Agent

Power Manager (PowerManager) - svchost.exe

ProtectedStorage - svchost.exe -k ProtectedStorage

Server Management Service - svchost.exe

SVC Module (SVC Module) - svchost.exe

svchost - SVCHOST.EXE

svchost.exe (moto) - svchost.exe

svchost.exe (moto) - любое название из 18-ти знаков

svchost.exe (svchost.exe) - svchost.exe

System Event Messaging - svchost.exe

taskmng (svchost) - svchost.exe

TrkSvr - svchost.exe -k TrkSvr

TrkWks - svchost.exe -k TrkWks

W32Time - svchost.exe -k W32Time

Windows Configuration Backup Service (CfgBackupSvc) - svchost.exe

Windows Configuration Loader (Windows Configuration Loader) - SVCHOST.EXE

Windows Configuration Manager (ConfigMgr) - svchost.exe

Windows Kernel (Windows Kernel) - svchost.exe

Windows Management (Windows Management) - svchost.exe

Windows Network Mapping Service (NetMap) - svchost.exe

Windows Security Drivers (csrs) - svchost.exe

Windows Smrss Service - svchost.exe

.NET Framework Service - svchost.exe

.NET Framework Service (.NET Connection Service) - svchost.exe

______________

[ser208]

Ну отключи ради эксперимента Службу времени.

W32Time ты в tasklist больше не увидишь.

В Process Explorer XP наглядно видно, что команда запуска Службы Времени Windows -k netsvcs, а не вредоносная -k W32Time в пояснениях Saule.

Изменено 16 декабря, 2007 пользователем ser208

[2_k]

Ну отключи ради эксперимента Службу времени.

W32Time ты в tasklist больше не увидишь.

В Process Explorer XP наглядно видно, что команда запуска Службы Времени Windows -k netsvcs, а не вредоносная -k W32Time в пояснениях Saule.

Ясно. Что ж спасибо за помощь.

[Pili]

2_k:

В HJT пофиксить

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

выпольнить скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_QrFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

карантин выложить на файлообменник (ifolder.ru напр.), ссылку сюда или лучше в ПМ

[2_k]

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Пофиксил.

Pili, а где выполнить скрипт, я не понял?

[ser208]

Пофиксил.

Pili, а где выполнить скрипт, я не понял?

AVZ - меню Файл -- выполнить скрипт -- скопируй код в окно и нажми "Запустить".

Компьютер перезагрузится.

[2_k]

Сделал. Вот карантин:

http://slil.ru/25247228

[Pili]

В карантине catchme.sys не попал, поищите (AVZ-сервис-поиск файлов), поместите в карантин и выложите

[2_k]

В карантине catchme.sys не попал, поищите (AVZ-сервис-поиск файлов), поместите в карантин и выложите

Нужно найти cathme.sys? Если да, то avz его не находит...

[rubin-VInfo]

Видимо остался лишь след в реестре, выполните этот скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','catchme');DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_ImportDeletedList;BC_DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_DeleteSvc('catchme');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

[2_k]

Видимо остался лишь след в реестре, выполните этот скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','catchme');DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_ImportDeletedList;BC_DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_DeleteSvc('catchme');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Сделал. Насколько понял это удалило остатки cathme.sys из реестра?

[lamauser]

Сделал. Насколько понял это удалило остатки cathme.sys из реестра?

угу

[Pili]

2_k: 2-ой лог AVZ и лог HJT повторите

[2_k]

2_k: 2-ой лог AVZ и лог HJT повторите

Вроде тут всё:

http://slil.ru/25251606

[Pili]

В логах чисто.

[2_k]

Спасибо за помощЬ.