Vlad2008 Опубликовано 31 марта, 2008 Жалоба Поделиться Опубликовано 31 марта, 2008 Здравствуйте, помогите, пожалуйста! После полного излечения компьютера от различных троянов при попытке подключения к интернету через GPRS с помощью мобильного телефона соединение обрывается через секунду после установления и так повторяется всё время. Все настроено верно и прекрасно работает на незараженных компьютерах. В телефоне и дата-кабеле проблем нет. Помогает только полная переустановка системы. Может быть вирус что-то поганит в реестре, но вот что именно? Логи прилагаются: 3_logs_files.rar По рекомендации Pili запустил файл hijackthis.exe, нажал кнопку "Do a system scan only", в открывшемся окне поставил галочки напротив указанных строк и нажал кнопку "Fix Checked". Код F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Сделал дополнительные логи с помощью утилиты Deckard's System Scanner. Содержимое extra.txt- eckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6 CPU 0: Intel® Celeron CPU 1200MHz Percentage of Memory in Use: 79% Physical Memory (total/avail): 127.48 MiB / 26 MiB Pagefile Memory (total/avail): 499.17 MiB / 358.22 MiB Virtual Memory (total/avail): 2047.88 MiB / 1945.89 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 37.27 GiB total, 7.03 GiB free. D: is CDROM (No Media) \\.\PHYSICALDRIVE0 - WDC WD400BB-00DEA0 - 37.27 GiB - 1 partition \PARTITION0 (bootable) - Устанавливаемая файловая система - 37.27 GiB - C: -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is disabled. FirstRunDisabled is set. AntiVirusDisableNotify is set. FirewallDisableNotify is set. UpdatesDisableNotify is set. AV: Антивирус Касперского v6.0.2.614 () Disabled Outdated [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Documents and Settings\All Users APPDATA=C:\Documents and Settings\‘…ђ‚…ђ\Application Data CLIENTNAME=Console CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=‘Ћ‡‚…‡„€… ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Documents and Settings\‘…ђ‚…ђ LOGONSERVER=\\‘Ћ‡‚…‡„€… NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Common Files\Adobe\AGL PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 11 Stepping 4, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0b04 ProgramFiles=C:\Program Files PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp TMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp USERDOMAIN=‘Ћ‡‚…‡„€… USERNAME=‘…ђ‚…ђ USERPROFILE=C:\Documents and Settings\‘…ђ‚…ђ windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- СЕРВЕР (admin) -- Add/Remove Programs --------------------------------------------------------- --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf "Will Rock v1.2" --> "C:\Program Files\Russobit-M\WillRock\unins000.exe" Архиватор WinRAR --> C:\Program Files\WinRAR\uninstall.exe Антивирус Касперского 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920} Антивирус Касперского 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920} Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001} Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39} Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001} Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D} Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A80000000002} Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001} Canon CAPT-skrivare --> C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP1UNIK.EXE CorelDRAW Graphics Suite X3 --> MsiExec.exe /I{7C5123A9-30A8-4C44-89CA-A8C87A1FCC91} FontNav --> MsiExec.exe /I{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE} HijackThis 2.0.2 --> "C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe" /uninstall K-Lite Mega Codec Pack 3.4.5 --> "C:\Program Files\K-Lite Codec Pack\unins000.exe" Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9} RU --> MsiExec.exe /I{01AE68B4-C785-4865-BC7E-78456372BB75} Update Manager --> MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA} VBA --> MsiExec.exe /I{C94E45B0-6AA6-4FB9-9AAE-22085F631880} -- Application Event Log ------------------------------------------------------- Event Record #/Type409 / Error Event Submitted/Written: 03/31/2008 10:14:37 AM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом Event Record #/Type405 / Error Event Submitted/Written: 03/31/2008 10:05:47 AM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом Event Record #/Type399 / Error Event Submitted/Written: 03/31/2008 09:49:51 AM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом Event Record #/Type398 / Error Event Submitted/Written: 03/31/2008 09:47:05 AM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом Event Record #/Type397 / Error Event Submitted/Written: 03/31/2008 09:44:53 AM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type1560 / Warning Event Submitted/Written: 03/29/2008 11:02:31 AM Event ID/Source: 3019 / MRxSmb Event Description: Перенаправитель не смог определить тип подключения. Event Record #/Type1559 / Warning Event Submitted/Written: 03/29/2008 11:02:26 AM Event ID/Source: 3019 / MRxSmb Event Description: Перенаправитель не смог определить тип подключения. Event Record #/Type1558 / Warning Event Submitted/Written: 03/29/2008 11:02:19 AM Event ID/Source: 3019 / MRxSmb Event Description: Перенаправитель не смог определить тип подключения. Event Record #/Type1529 / Warning Event Submitted/Written: 03/29/2008 10:08:55 AM Event ID/Source: 256 / PlugPlayManager Event Description: Таймаут отправки уведомления об изменении интерфейса устройства в окно "SAS window" Event Record #/Type1502 / Warning Event Submitted/Written: 03/28/2008 03:48:46 PM Event ID/Source: 3019 / MRxSmb Event Description: Перенаправитель не смог определить тип подключения. -- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------ Содержимое extra.txt- Deckard's System Scanner v20071014.68 Run by СЕРВЕР on 2008-03-31 10:13:30 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 6: 2008-03-30 23:13:46 UTC - RP6 - Deckard's System Scanner Restore Point 5: 2008-03-30 23:07:22 UTC - RP5 - Операция восстановления 4: 2008-03-30 22:39:28 UTC - RP4 - Deckard's System Scanner Restore Point 3: 2008-03-30 22:24:34 UTC - RP3 - Системная контрольная точка 2: 2008-03-29 03:57:06 UTC - RP2 - Системная контрольная точка -- First Restore Point -- 1: 2008-03-28 00:54:59 UTC - RP1 - Системная контрольная точка Backed up registry hives. Performed disk cleanup. Percentage of Memory in Use: 77% (more than 75%). Total Physical Memory: 128 MiB (512 MiB recommended). -- HijackThis (run as СЕРВЕР.exe) ---------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:14:25, on 31.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CAPRPCSK.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\dss.exe C:\DOCUME~1\E647~1\0016~1\(2)~1\HIJACK~1\СЕРВЕР.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Canon LBP-810 Statusfцnster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 4011 bytes -- HijackThis Fixed Entries (C:\DOCUME~1\E647~1\0016~1\(2)~1\HIJACK~1\backups\) backup-20080331-093902-671 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R2 RapidPort - c:\windows\system32\drivers\caplptn.sys <Not Verified; CANON INC.; Canon Advanced Printing Technology> S3 mirrorv3 - c:\windows\system32\drivers\rminiv3.sys S3 Ser2pl (Prolific Serial port driver) - c:\windows\system32\drivers\ser2pl.sys <Not Verified; Prolific Technology Inc.; Prolific USB-to-Serial Bridge Cable> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- All services whitelisted. -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Files created between 2008-02-29 and 2008-03-31 ----------------------------- 2008-03-31 09:49:37 0 d-------- C:\Deckard(2) 2008-03-31 09:39:21 1978368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-03-29 10:59:37 0 d-------- C:\WINDOWS\system32\amvo0.dll 2008-03-29 10:58:56 0 d-------- C:\WINDOWS\system32\amvo.exe 2008-03-29 10:17:20 0 dr-hs---- C:\oufddh.exe 2008-03-19 11:11:51 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin 2008-03-19 11:00:09 0 d-------- C:\Program Files\Radmin Server 3.0 2008-03-19 10:59:46 0 d-------- C:\WINDOWS\system32\rserver30 2008-03-12 11:06:43 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel 2008-03-11 13:46:35 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera 2008-03-10 12:11:56 43 --a------ C:\Del_Autorun.bat 2008-03-10 12:11:56 106496 --a------ C:\anti_autorun.exe 2008-03-10 10:17:18 0 d-------- C:\Program Files\everestultimate_build_0782 2008-03-05 17:54:42 390240 --a------ C:\WINDOWS\system32\mkdriver.dll <Not Verified; Mydrivers; MkDriver> 2008-03-03 16:52:02 0 d-------- C:\Documents and Settings\All Users\Application Data\Macrovision 2008-03-02 00:04:00 0 d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir 2008-02-29 11:42:16 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR 2008-02-29 10:49:34 0 d-------- C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Help 2008-02-29 10:09:01 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY -- Find3M Report --------------------------------------------------------------- 2008-03-30 20:39:17 346452 --a------ C:\WINDOWS\system32\perfh019.dat 2008-03-30 20:39:17 49552 --a------ C:\WINDOWS\system32\perfc019.dat 2008-03-19 16:02:41 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Adobe 2008-03-06 10:18:30 0 d--h----- C:\Program Files\Common Files\Adobe 2008-03-03 16:54:58 0 d-------- C:\Program Files\Corel 2008-02-28 22:54:34 62 --ahs---- C:\Documents and Settings\СЕРВЕР\Application Data\desktop.ini 2008-02-28 15:30:19 0 d-------- C:\Program Files\K-Lite Codec Pack 2008-02-28 15:29:13 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Real 2008-02-28 13:19:26 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Identities 2008-02-28 13:12:24 0 --a------ C:\AUTOEXEC.BAT 2008-02-28 13:07:04 0 d-------- C:\Program Files\Movie Maker 2008-02-28 13:04:54 22564 --a------ C:\WINDOWS\system32\emptyregdb.dat 2008-02-28 13:04:04 0 d-------- C:\Program Files\Messenger 2008-02-28 13:03:11 0 d-------- C:\Program Files\Windows NT 2008-02-28 10:05:55 0 d-------- C:\Program Files\XP Tweaker 2008-02-25 20:40:23 0 d-------- C:\Program Files\Russobit-M 2008-02-19 15:13:45 0 d-------- C:\Program Files\Magic Ball 2008-02-19 15:13:20 0 d-------- C:\Program Files\DiscCleaner 2008-02-05 11:50:27 0 d-------- C:\Program Files\Common Files\Raxco 2008-02-05 11:50:26 0 dr-h----- C:\Program Files\Common Files 2008-02-05 11:50:25 0 d-------- C:\Program Files\Raxco -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [15.02.2001 03:00] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [29.01.2007 23:02] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [18.08.2004 03:04] C:\Documents and Settings\All Users\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \ Canon LBP-810 Statusfжnster.LNK - C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE [24.11.2007 20:49:09] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}] Auto\command- E:\sal.xls.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}] AutoRun\command- E:\oufddh.exe explore\Command- E:\oufddh.exe open\Command- E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}] AutoRun\command- x6.bat explore\Command- x6.bat open\Command- x6.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a72110e0-e71a-11dc-bd48-e4c259d3eb45}] AutoRun\command- E:\oufddh.exe explore\Command- E:\oufddh.exe open\Command- E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}] AutoRun\command- E:\oufddh.exe explore\Command- E:\oufddh.exe open\Command- E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}] AutoRun\command- E:\oufddh.exe explore\Command- E:\oufddh.exe open\Command- E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}] AutoRun\command- oufddh.exe explore\Command- oufddh.exe open\Command- oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}] AutoRun\command- wscript.exe .\.vbs open\command- wscript.exe .\.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}] AutoRun\command- E:\oufddh.exe explore\Command- E:\oufddh.exe open\Command- E:\oufddh.exe -- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------ Может кто-нибудь уже сталкивался с подобной проблемой, а то мои поиски в Интернете не к чему не привели. 3_logs_files.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 31 марта, 2008 Жалоба Поделиться Опубликовано 31 марта, 2008 (изменено) В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('E:\sal.xls.exe','');QuarantineFile('E:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\mkdriver.dll','');QuarantineFile('C:\Del_Autorun.bat','');QuarantineFile('C:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('E:\oufddh.exe');DeleteFile('C:\oufddh.exe');DeleteFile('E:\sal.xls.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Пофиксить в hijackthis F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe найдите и проверьте на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll удалите файлы *.vbs в корне дисков, удалите полностью реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 рекомендую защититься от autorun.inf, скопируйте текст ниже в блокнот, сохраните как noautorun.reg, примените Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"="" Изменено 31 марта, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2008 Опубликовано 1 апреля, 2008 Автор Жалоба Поделиться Опубликовано 1 апреля, 2008 В меню AVZ выполнил скрипт, компьютер перезагрузился. Файл quarantine.zip выложил на ifolder.ru и дал ссылку на него в ПМ Pili , в теле письма указал ссылку на тему. Пофиксить в hijackthis Код F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe не удалось из-за отсутствия данного кода Проверил на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll- Файл mkdriver.dll получен 2008.04.01 05:33:29 (CET) Текущий статус: закончено Результат: 0/32 (0%) Удалил файлы *.vbs в корне дисков, удалил полностью запись в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 Защитился от autorun.inf, скопировав текст в блокнот, сохранил как noautorun.reg и применил его. После всего этого ровным счетом ничего не изменилось, обрыв соединения идет сразу же после установления соединения или при попытке открыть любой интернет браузер. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2008 Опубликовано 1 апреля, 2008 Автор Жалоба Поделиться Опубликовано 1 апреля, 2008 Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к проблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными. P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 1 апреля, 2008 Жалоба Поделиться Опубликовано 1 апреля, 2008 Vlad2008: Скачайте AVPTool установите, проверьте систему. Ещё можно попробовать так Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. **Примечание: Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол** 1. Не переименовывайте Combofix 2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix/ 3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt и новый лог Hijackthis log в сообщение **Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания** Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения кпроблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными. Если вирусы к проблеме отношения не имеют, что же вы тогда сюда обратились? P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса. Это к чему? Повторите логи AVZ и hijackthis Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2008 Опубликовано 2 апреля, 2008 Автор Жалоба Поделиться Опубликовано 2 апреля, 2008 Лог ComboFix.exe: ComboFix 08-04-01.2 - СЕРВЕР 2008-04-03 9:11:05.1 - NTFSx86 Running from: C:\Documents and Settings\СЕРВЕР\Рабочий стол\от вирусов\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((( Files Created from 2008-03-02 to 2008-04-02 ))))))))))))))))))))))))))))))) . 2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Program Files\Avira 2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-03-31 10:08 . 2008-03-31 10:08 <DIR> d-------- C:\Deckard 2008-03-31 09:49 . 2008-03-31 09:49 <DIR> d-------- C:\Deckard(2) 2008-03-31 09:39 . 2008-04-02 16:59 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-03-31 09:39 . 2008-04-02 16:59 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-03-29 10:59 . 2008-03-29 10:59 <DIR> d-------- C:\WINDOWS\system32\amvo0.bak 2008-03-29 10:58 . 2008-03-29 10:58 <DIR> d-------- C:\WINDOWS\system32\amvo.bak 2008-03-29 10:17 . 2008-03-29 10:17 <DIR> d-------- C:\oufddh.bak 2008-03-19 11:11 . 2008-03-19 11:11 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin 2008-03-19 11:00 . 2008-03-19 11:04 <DIR> d-------- C:\Program Files\Radmin Server 3.0 2008-03-19 10:59 . 2008-03-19 11:04 <DIR> d-------- C:\WINDOWS\system32\rserver30 2008-03-12 11:07 . 2008-04-02 14:53 135,315 --a------ C:\WINDOWS\FontData.fdb 2008-03-12 11:06 . 2008-03-12 11:06 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel 2008-03-11 13:46 . 2008-03-11 13:46 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera 2008-03-10 12:11 . 2007-03-14 03:47 106,496 --a------ C:\anti_autorun.exe 2008-03-10 12:11 . 2007-02-19 14:21 43 --a------ C:\Del_Autorun.bat 2008-03-10 10:17 . 2008-03-10 10:17 <DIR> d-------- C:\Program Files\everestultimate_build_0782 2008-03-07 16:33 . 2008-04-02 16:26 660 --a------ C:\WINDOWS\kawai2004.hst 2008-03-05 17:54 . 2008-03-05 17:54 390,240 --a------ C:\WINDOWS\system32\mkdriver.dll 2008-03-03 16:52 . 2008-03-03 16:52 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision 2008-03-02 00:04 . 2008-03-02 00:04 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-02 22:15 95,520 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-02 05:59 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-04-02 05:59 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-04-02 05:19 8,965,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-01 05:57 121,292 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-01 05:57 10,784 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-01 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-03-19 05:02 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Adobe 2008-03-19 00:11 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Radmin 2008-03-12 00:06 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Corel 2008-03-11 02:46 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Opera 2008-03-07 03:43 --------- d-s---w C:\Documents and Settings\СЕРВЕР\Application Data\Microsoft 2008-03-05 23:18 --------- d--h--w C:\Program Files\Common Files\Adobe 2008-03-03 05:54 --------- d-----w C:\Program Files\Corel 2008-02-29 00:42 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR 2008-02-28 23:09 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY 2008-02-28 05:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems 2008-02-28 05:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-02-28 04:30 --------- d-----w C:\Program Files\K-Lite Codec Pack 2008-02-28 04:29 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Real 2008-02-28 04:25 74,908 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-02-28 04:25 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-02-28 02:19 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Identities 2008-02-27 23:05 --------- d-----w C:\Program Files\XP Tweaker 2008-02-25 10:01 --------- d-----w C:\Documents and Settings\Администратор\Application Data\ABBYY 2008-02-25 09:40 --------- d-----w C:\Program Files\Russobit-M 2008-02-19 04:13 --------- d-----w C:\Program Files\Magic Ball 2008-02-19 04:13 --------- d-----w C:\Program Files\DiscCleaner 2008-02-05 00:50 --------- d-----w C:\Program Files\Raxco 2008-02-05 00:50 --------- d-----w C:\Program Files\Common Files\Raxco 2008-01-21 15:08 8,655,984 ----a-w C:\cureit.exe 2007-08-27 00:49 306,928 ----a-w C:\Documents and Settings\Администратор\Application Data\GDIPFONTCACHEV1.DAT 2006-05-14 09:34 306,928 ----a-w C:\Documents and Settings\server\Application Data\GDIPFONTCACHEV1.DAT 2006-03-16 05:09 2,492 ----a-w C:\Documents and Settings\server\Application Data\ViewerApp.dat 2004-10-20 10:35 1,835,008 ---ha-w C:\Documents and Settings\Созвездие\NTUSER.DAT . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 03:04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-15 03:00 22528] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 03:04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R2 RapidPort;RapidPort;C:\WINDOWS\system32\Drivers\CAPLPTN.SYS [2001-02-05 18:00] S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-05-09 02:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}] \Shell\Auto\command - E:\sal.xls.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}] \Shell\AutoRun\command - x6.bat \Shell\explore\Command - x6.bat \Shell\open\Command - x6.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}] \Shell\AutoRun\command - oufddh.exe \Shell\explore\Command - oufddh.exe \Shell\open\Command - oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}] \Shell\AutoRun\command - wscript.exe .\.vbs \Shell\open\command - wscript.exe .\.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-03 09:15:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-04-03 9:24:46 ComboFix-quarantined-files.txt 2008-04-02 22:24:39 21 папок 7,428,087,808 байт свободно 26 папок 7,418,368,000 байт свободно Hijackthis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 9:38:36, on 03.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\WINDOWS\system32\CAPRPCSK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Canon LBP-810 Statusfцnster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 4808 bytes Если вирусы к проблеме отношения не имеют, что же вы тогда сюда обратились? Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к проблеме не имеют, но это же не значит что проблему не могли вызвать другие вирусы, а проблема вызвана именно вирусами. Это к чему? Для выявления названий вирусов, которые приводят к моей проблеме, но если это не к чему, то этого делать не буду Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 3 апреля, 2008 Жалоба Поделиться Опубликовано 3 апреля, 2008 У вас Avira и Kaspersky Anti-Virus - оставьте что нибудь одно. Других зловредов не видно, кроме amvo, mkdriver.dll xbcn, в реестре mountpoints2 вы не удалили. Отключите все антивирусы и др. защитные программы. Скопируйте текст ниже в блокнот и сохраните на рабочий стол как CFScript.txt File::C:\WINDOWS\system32\amvo0.bakC:\WINDOWS\system32\amvo.bakC:\oufddh.bakRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}] Перетащите CFScript.txt на пиктограмму ComboFix После перезагрузки выложите снова текст из ComboFix.txt и далее удалите ComboFix - пуск-выполнить ComboFix /u Скачайте Malwarebytes' Anti-Malware обновите базы и запустите сканирование (выберите "Perform Full Scan"), картинки по исп-ию MBAM можете увидеть тут После окончания сканирования, выложите лог сканирования MBAM в ваше следующее сообщение, после чего можете деинсталлировать MBAM Если проблема не решиться, можете воспользоваться утилитой IEFIX или перейти на IE7 (ещё лучше firefox или Opera) Ссылка на комментарий Поделиться на другие сайты Поделиться
romartir Опубликовано 7 апреля, 2008 Жалоба Поделиться Опубликовано 7 апреля, 2008 1 Избавиться от веревки и перейти на ИК или блютус 2 Снизить скорость у модема (т-на) и у порта 3 Закачать пробную Касперу с сайта ( 7-ю) или списать свежие базы где-нибудь 4 Если не поможет- переустановка с ФОРМАТИРОВАНИЕМ. П.С. Как обновить базы-см. obzorkazan.narod.ru П.П.С. Сам настрадался с мобилой...Кстати,попытайтесь поменять провайдера. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2008 Опубликовано 7 апреля, 2008 Автор Жалоба Поделиться Опубликовано 7 апреля, 2008 По рекомендации Pili скопировал текст в блокнот, сохранил на рабочий стол как CFScript.txt и перетащил CFScript.txt на пиктограмму ComboFix, после перезагрузки удалил ComboFix - пуск-выполнить ComboFix /u Текст из ComboFix.txt: ComboFix 08-04-01.2 - СЕРВЕР 2008-04-04 15:18:25.2 - NTFSx86 Running from: C:\Documents and Settings\СЕРВЕР\Рабочий стол\от вирусов\ComboFix.exe Command switches used :: C:\Documents and Settings\‘…ђ‚…ђ\ђ Ў®зЁ© бв®«\®в ўЁагб®ў\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))) . 2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Program Files\Avira 2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-03-31 10:08 . 2008-03-31 10:08 <DIR> d-------- C:\Deckard 2008-03-31 09:49 . 2008-03-31 09:49 <DIR> d-------- C:\Deckard(2) 2008-03-31 09:39 . 2008-04-04 12:55 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-03-31 09:39 . 2008-04-04 12:55 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-03-29 10:59 . 2008-03-29 10:59 <DIR> d-------- C:\WINDOWS\system32\amvo0.bak 2008-03-29 10:58 . 2008-03-29 10:58 <DIR> d-------- C:\WINDOWS\system32\amvo.bak 2008-03-29 10:17 . 2008-03-29 10:17 <DIR> d-------- C:\oufddh.bak 2008-03-19 11:11 . 2008-03-19 11:11 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin 2008-03-19 11:00 . 2008-03-19 11:04 <DIR> d-------- C:\Program Files\Radmin Server 3.0 2008-03-19 10:59 . 2008-03-19 11:04 <DIR> d-------- C:\WINDOWS\system32\rserver30 2008-03-12 11:07 . 2008-04-02 14:53 135,315 --a------ C:\WINDOWS\FontData.fdb 2008-03-12 11:06 . 2008-03-12 11:06 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel 2008-03-11 13:46 . 2008-03-11 13:46 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera 2008-03-10 12:11 . 2007-03-14 03:47 106,496 --a------ C:\anti_autorun.exe 2008-03-10 12:11 . 2007-02-19 14:21 43 --a------ C:\Del_Autorun.bat 2008-03-10 10:17 . 2008-03-10 10:17 <DIR> d-------- C:\Program Files\everestultimate_build_0782 2008-03-07 16:33 . 2008-04-03 16:56 660 --a------ C:\WINDOWS\kawai2004.hst 2008-03-05 17:54 . 2008-03-05 17:54 390,240 --a------ C:\WINDOWS\system32\mkdriver.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 04:22 99,872 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-04 04:22 21,692,192 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-04 01:56 293,444 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-04 01:56 11,336 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-04 01:55 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-04-04 01:55 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat 2008-04-01 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-03-19 05:02 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Adobe 2008-03-19 00:11 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Radmin 2008-03-12 00:06 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Corel 2008-03-11 02:46 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Opera 2008-03-07 03:43 --------- d-s---w C:\Documents and Settings\СЕРВЕР\Application Data\Microsoft 2008-03-05 23:18 --------- d--h--w C:\Program Files\Common Files\Adobe 2008-03-03 05:54 --------- d-----w C:\Program Files\Corel 2008-03-03 05:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Macrovision 2008-03-01 13:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir 2008-02-29 00:42 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR 2008-02-28 23:09 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY 2008-02-28 05:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems 2008-02-28 05:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-02-28 04:30 --------- d-----w C:\Program Files\K-Lite Codec Pack 2008-02-28 04:29 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Real 2008-02-28 04:25 74,908 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-02-28 04:25 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-02-28 02:19 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Identities 2008-02-28 01:41 3,387,392 ----a-w C:\Documents and Settings\Администратор\ntuser.dat 2008-02-27 23:05 --------- d-----w C:\Program Files\XP Tweaker 2008-02-25 10:01 --------- d-----w C:\Documents and Settings\Администратор\Application Data\ABBYY 2008-02-25 09:40 --------- d-----w C:\Program Files\Russobit-M 2008-02-21 02:43 1,048,576 ---ha-w C:\Documents and Settings\Гость\ntuser.dat 2008-02-19 04:13 --------- d-----w C:\Program Files\Magic Ball 2008-02-19 04:13 --------- d-----w C:\Program Files\DiscCleaner 2008-02-13 06:59 --------- d-----w C:\Documents and Settings\Администратор\Application Data\Microsoft 2008-02-05 00:50 --------- d-----w C:\Program Files\Raxco 2008-02-05 00:50 --------- d-----w C:\Program Files\Common Files\Raxco 2008-01-21 15:08 8,655,984 ----a-w C:\cureit.exe 2007-08-27 00:49 306,928 ----a-w C:\Documents and Settings\Администратор\Application Data\GDIPFONTCACHEV1.DAT 2006-05-14 09:34 306,928 ----a-w C:\Documents and Settings\server\Application Data\GDIPFONTCACHEV1.DAT 2006-03-16 05:09 2,492 ----a-w C:\Documents and Settings\server\Application Data\ViewerApp.dat 2004-10-20 10:35 1,835,008 ---ha-w C:\Documents and Settings\Созвездие\NTUSER.DAT . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 03:04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-15 03:00 22528] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 03:04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R2 RapidPort;RapidPort;C:\WINDOWS\system32\Drivers\CAPLPTN.SYS [2001-02-05 18:00] S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-05-09 02:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}] \Shell\Auto\command - E:\sal.xls.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}] \Shell\AutoRun\command - x6.bat \Shell\explore\Command - x6.bat \Shell\open\Command - x6.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}] \Shell\AutoRun\command - oufddh.exe \Shell\explore\Command - oufddh.exe \Shell\open\Command - oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}] \Shell\AutoRun\command - wscript.exe .\.vbs \Shell\open\command - wscript.exe .\.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}] \Shell\AutoRun\command - E:\oufddh.exe \Shell\explore\Command - E:\oufddh.exe \Shell\open\Command - E:\oufddh.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-04 15:22:57 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-04-04 15:30:52 ComboFix-quarantined-files.txt 2008-04-04 04:30:45 ComboFix2.txt 2008-04-02 22:24:47 21 папок 7,535,652,864 байт свободно 26 папок 7,529,885,696 байт свободно Скачал Malwarebytes' Anti-Malware и запустил сканирование (выбрал "Perform Full Scan"): Malwarebytes' Anti-Malware 1.10 Database version: 581 Scan type: Full Scan (C:\|) Objects scanned: 241235 Time elapsed: 1 hour(s), 3 minute(s), 29 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 2 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken. Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Воспользовался утилитой IEFIX, попробовал Opera9.23, проблема так и не решилась, IE7 еще не ставил. 1 Избавиться от веревки и перейти на ИК или блютус В дата-кабеле проблем никаких нет, до сих пор им пользуюсь без проблем на незараженных машинах 2 Снизить скорость у модема (т-на) и у порта Не поможет 3 Закачать пробную Касперу с сайта ( 7-ю) или списать свежие базы где-нибудь Вирус уже выполнил свою деструктивную функцию и его удаление не решает проблемы 4 Если не поможет- переустановка с ФОРМАТИРОВАНИЕМ. :blink: Вот это поможет на все 100%,помогает и переустановка без форматирования, вирус скорее всего сбивает не известные мне настройки Windows Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 7 апреля, 2008 Жалоба Поделиться Опубликовано 7 апреля, 2008 Vlad2008: повторите логи AVZ и hijackthiz Давайте посмотрим ещё одной утилитой. Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на третью кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте и вложите в сообщение. Ещё вариант попробуйте удалить Prolific Serial port driver и другие драйвера для тел. и заново поставить (можно также поопробовать обновить драйвера, использовать другую версию ser2pl.sys) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти