2_k Posted December 15, 2007 Report Share Posted December 15, 2007 Здравствуйте. Вот лог от hijackthis, куда ставить галочки не совсем уверен. Подскажите пожалуйста. Logfile of HijackThis v1.99.1Scan saved at 16:54:24, on 15.12.2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\SYSTEM32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\Program Files\Bonjour\mDNSResponder.exeD:\WINDOWS\Explorer.EXED:\Program Files\Eset\nod32krn.exeD:\WINDOWS\system32\nvsvc32.exeC:\МiniProgy\proshow\ScsiAccess.exeD:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\SYSTEM32\notepad.exeD:\Program Files\WinRoll\winroll.exeD:\Program Files\ESET\nod32kui.exeD:\WINDOWS\SYSTEM32\taskmgr.exeD:\Program Files\Internet Explorer\IEXPLORE.EXED:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.torrents.ru/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/icq5/3/unregister.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\INIPRO~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [OutpostMonitor] C:\INIPRO~1\OUTPOS~1\op_mon.exe /trayO4 - HKLM\..\Run: [OutpostFeedBack] "C:\МiniProgy\Outpost Firewall\feedback.exe" /dump:os_startupO4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: Sothink SWF Catcher - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dllO9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\МiniProgy\Outpost Firewall\ie_bar.dllO9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLLO9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htmO10 - Unknown file in Winsock LSP: d:\program files\bonjour\mdnsnsp.dllO16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{1C6D20D7-D154-4B7A-B52D-34355D3A5A88}: NameServer = 212.48.193.36 212.48.193.38O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dllO18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLLO20 - AppInit_DLLs: c:\inipro~1\outpos~1\wl_hook.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\INIPRO~1\OUTPOS~1\acs.exeO23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exeO23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exeO23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Design Programs\3dm2008\mentalray\satellite\raysat_3dsMax2008_32server.exeO23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Design Programs\3dm9\mentalray\satellite\raysat_3dsmax9_32server.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exeO23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exeO23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exeO23 - Service: ScsiAccess - Unknown owner - C:\МiniProgy\proshow\ScsiAccess.exeO23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - D:\WINDOWS\system32\sfrem01.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exeO23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe Link to comment Share on other sites More sharing options...
2_k Posted December 15, 2007 Author Report Share Posted December 15, 2007 А вообще большие подозрения на svchost процессы. На этом форуме прочитал о списке служб загружаемых этими процессами которые созданны вирусами. И уменя таких окозалось достаточно. Я использовал sdFix, но после этого мало что изменилось в svchost. Вот: Microsoft Windows XP [Версия 5.1.2600](С) Корпорация Майкрософт, 1985-2001.D:\Documents and Settings\Администратор> tasklist /SVCИмя образа PID Службы========================= ====== =============================================System Idle Process 0 Н/ДSystem 4 Н/Дsmss.exe 660 Н/Дcsrss.exe 716 Н/Дwinlogon.exe 740 Н/Дservices.exe 784 Eventlog, PlugPlaylsass.exe 796 PolicyAgent, ProtectedStorage, SamSssvchost.exe 968 DcomLaunchsvchost.exe 1012 RpcSssvchost.exe 1064 AudioSrv, Browser, CryptSvc, dmserver, ERSvc, EventSystem, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv, WZCSVCsvchost.exe 1112 LmHosts, WebClientacs.exe 1320 acssrvmDNSResponder.exe 1488 Bonjour Serviceexplorer.exe 1524 Н/Дnod32krn.exe 1592 NOD32krnnvsvc32.exe 1608 NVSvcscsiaccess.exe 1672 ScsiAccessStarWindService.exe 1796 StarWindServicesvchost.exe 1808 stisvcalg.exe 264 ALGop_mon.exe 1404 Н/Дwinroll.exe 256 Н/Дnod32kui.exe 1200 Н/Дtaskmgr.exe 3404 Н/ДIEXPLORE.EXE 3680 Н/Дcmd.exe 2432 Н/Дtasklist.exe 2524 Н/Дwmiprvse.exe 2568 Н/ДD:\Documents and Settings\Администратор> Как это можно побороть? зы.Прошу прощение за второе сообщение подряд ,не нашёл кнопку "редактировать". Link to comment Share on other sites More sharing options...
ser208 Posted December 15, 2007 Report Share Posted December 15, 2007 А вообще большие подозрения на svchost процессы. На этом форуме прочитал о списке служб загружаемых этими процессами которые созданны вирусами. И у меня таких окозалось достаточно. У тебя наоборот недостаточно, так сказать. Скачай Cureit , и проверь системный диск в безопасном режиме. Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Link to comment Share on other sites More sharing options...
2_k Posted December 15, 2007 Author Report Share Posted December 15, 2007 У тебя наоборот недостаточно, так сказать. Скачай Cureit , и проверь системный диск в безопасном режиме. Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Cпасибо за ответ. Сureit нашёл 6 червей, но 5 из них были в карантине нода 32. Вот лог avz: http://slil.ru/25239720 Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 15, 2007 Report Share Posted December 15, 2007 От AVZ нужен html-лог, а не xml... Link to comment Share on other sites More sharing options...
2_k Posted December 15, 2007 Author Report Share Posted December 15, 2007 От AVZ нужен html-лог, а не xml... Исправил. Тут сразу два лога, все службы и только активные( не знал какой именно нужен): http://slil.ru/25239972 Link to comment Share on other sites More sharing options...
ser208 Posted December 15, 2007 Report Share Posted December 15, 2007 Явного ничего не видно. Мусора только от игрушек много. Link to comment Share on other sites More sharing options...
2_k Posted December 15, 2007 Author Report Share Posted December 15, 2007 Явного ничего не видно. Мусора только от игрушек много. Хмм, странно. А как же тогда быть с процессами в svhost(например W32Time или LmHosts, WebClient,). Это же говорит о вирусах , если я правельно понял? Может посоветуш какие нибуть ещё программы для скана или действия к выявлению... Link to comment Share on other sites More sharing options...
ser208 Posted December 15, 2007 Report Share Posted December 15, 2007 Это стандартные службы. Почитай Link to comment Share on other sites More sharing options...
2_k Posted December 15, 2007 Author Report Share Posted December 15, 2007 Это стандартные службы. Почитай Извеняюсь за напорство, но именно сдесь написано вот что: Список "левых" служб, ссылающихся на svchost.exe: (т.е. эти службы были созданы вирусами!) (слева: название службы, справа: её команда) AppMgmt - svchost.exe -k AppMgmt Browser - svchost.exe -k Browser COM Message Transfer (mscommt) - svchost.exe -k mscommt Disk Monitor Services (DiskMon32) - svchost.exe -k dmon dmserver - svchost.exe -k DNS Server (DNS Server) - svchost.exe FastUserSwitchingCompatibil (Fast User Switching Compatibil) - svchost.exe Generic Host Process For Win32 Services (Generic Host Process) - svchost.exe generic host process (svchost) - svchost.exe Hardware Detection (Serv-U) - svchost.exe Host Services (Host Services) - svhosts.exe IPRIP (IPRIP) - svchost.exe -k netsvcs kdc - svchost.exe -k kdc LmHosts - svchost.exe -k LmHosts Messenger - svchost.exe -k Messenger MS Internet Countermeasures Framework (ICF) - \System32:svchost.exe NetLogon - svchost.exe -k Network Connections Sharing (RpcTftpd) - svchost.exe Network DDE DSMA (NetDDEdsma) - svchost.exe ntmssvc - svchost.exe -k ntmssvc NVIDIA Driver ServiceЎЎ (NVSv ) - svchost.exe RasAt (Remote Connection) - svchost.exe Policy Agent - svchost.exe -k Policy Agent Power Manager (PowerManager) - svchost.exe ProtectedStorage - svchost.exe -k ProtectedStorage Server Management Service - svchost.exe SVC Module (SVC Module) - svchost.exe svchost - SVCHOST.EXE svchost.exe (moto) - svchost.exe svchost.exe (moto) - любое название из 18-ти знаков svchost.exe (svchost.exe) - svchost.exe System Event Messaging - svchost.exe taskmng (svchost) - svchost.exe TrkSvr - svchost.exe -k TrkSvr TrkWks - svchost.exe -k TrkWks W32Time - svchost.exe -k W32Time Windows Configuration Backup Service (CfgBackupSvc) - svchost.exe Windows Configuration Loader (Windows Configuration Loader) - SVCHOST.EXE Windows Configuration Manager (ConfigMgr) - svchost.exe Windows Kernel (Windows Kernel) - svchost.exe Windows Management (Windows Management) - svchost.exe Windows Network Mapping Service (NetMap) - svchost.exe Windows Security Drivers (csrs) - svchost.exe Windows Smrss Service - svchost.exe .NET Framework Service - svchost.exe .NET Framework Service (.NET Connection Service) - svchost.exe ______________ Link to comment Share on other sites More sharing options...
ser208 Posted December 16, 2007 Report Share Posted December 16, 2007 (edited) Ну отключи ради эксперимента Службу времени. W32Time ты в tasklist больше не увидишь. В Process Explorer XP наглядно видно, что команда запуска Службы Времени Windows -k netsvcs, а не вредоносная -k W32Time в пояснениях Saule. Edited December 16, 2007 by ser208 Link to comment Share on other sites More sharing options...
2_k Posted December 16, 2007 Author Report Share Posted December 16, 2007 Ну отключи ради эксперимента Службу времени. W32Time ты в tasklist больше не увидишь. В Process Explorer XP наглядно видно, что команда запуска Службы Времени Windows -k netsvcs, а не вредоносная -k W32Time в пояснениях Saule. Ясно. Что ж спасибо за помощь. Link to comment Share on other sites More sharing options...
Pili Posted December 17, 2007 Report Share Posted December 17, 2007 2_k: В HJT пофиксить O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) выпольнить скрипт beginSetAVZGuardStatus(True); SearchRootkit(true, true); BC_QrFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys'); BC_ImportAll; BC_Activate; RebootWindows(true); end. карантин выложить на файлообменник (ifolder.ru напр.), ссылку сюда или лучше в ПМ Link to comment Share on other sites More sharing options...
2_k Posted December 17, 2007 Author Report Share Posted December 17, 2007 O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) Пофиксил. Pili, а где выполнить скрипт, я не понял? Link to comment Share on other sites More sharing options...
ser208 Posted December 17, 2007 Report Share Posted December 17, 2007 Пофиксил. Pili, а где выполнить скрипт, я не понял? AVZ - меню Файл -- выполнить скрипт -- скопируй код в окно и нажми "Запустить". Компьютер перезагрузится. Link to comment Share on other sites More sharing options...
2_k Posted December 17, 2007 Author Report Share Posted December 17, 2007 Сделал. Вот карантин: http://slil.ru/25247228 Link to comment Share on other sites More sharing options...
Pili Posted December 17, 2007 Report Share Posted December 17, 2007 В карантине catchme.sys не попал, поищите (AVZ-сервис-поиск файлов), поместите в карантин и выложите Link to comment Share on other sites More sharing options...
2_k Posted December 17, 2007 Author Report Share Posted December 17, 2007 В карантине catchme.sys не попал, поищите (AVZ-сервис-поиск файлов), поместите в карантин и выложите Нужно найти cathme.sys? Если да, то avz его не находит... Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 17, 2007 Report Share Posted December 17, 2007 Видимо остался лишь след в реестре, выполните этот скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','catchme');DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_ImportDeletedList;BC_DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_DeleteSvc('catchme');BC_Activate;ExecuteSysClean;RebootWindows(true);end. Link to comment Share on other sites More sharing options...
2_k Posted December 17, 2007 Author Report Share Posted December 17, 2007 Видимо остался лишь след в реестре, выполните этот скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','catchme');DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_ImportDeletedList;BC_DeleteFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');BC_DeleteSvc('catchme');BC_Activate;ExecuteSysClean;RebootWindows(true);end. Сделал. Насколько понял это удалило остатки cathme.sys из реестра? Link to comment Share on other sites More sharing options...
lamauser Posted December 18, 2007 Report Share Posted December 18, 2007 Сделал. Насколько понял это удалило остатки cathme.sys из реестра? угу Link to comment Share on other sites More sharing options...
Pili Posted December 18, 2007 Report Share Posted December 18, 2007 2_k: 2-ой лог AVZ и лог HJT повторите Link to comment Share on other sites More sharing options...
2_k Posted December 18, 2007 Author Report Share Posted December 18, 2007 2_k: 2-ой лог AVZ и лог HJT повторите Вроде тут всё: http://slil.ru/25251606 Link to comment Share on other sites More sharing options...
Pili Posted December 18, 2007 Report Share Posted December 18, 2007 В логах чисто. Link to comment Share on other sites More sharing options...
2_k Posted December 19, 2007 Author Report Share Posted December 19, 2007 Спасибо за помощЬ. Link to comment Share on other sites More sharing options...
Recommended Posts