Егор из Бангкока Опубликовано 3 июля, 2008 Жалоба Поделиться Опубликовано 3 июля, 2008 Добрый день ! Я ваш постоянный читатель и не раз находил ответ на свой вопрос в вашем форуме, но сейчас лично нуждаюсь в вашей помощи! У меня не обновлялся symantec corp edit 10. (он был установлен не мной еще 2года назад и не обновлялся) После сноса и переустановки он заработал и даже с моей помощи подключил клиентов, я установил admin update на клиентскую машину с выходом и с помощью него закачал обновления и он их подключил, я был доволен, правда не долго, вчера при обработке обновлений сервер заглох и подключение к группе сопроводилось вот этим- ошибка rtvscan " 0x004882ed и 0x452d64ca not be read" как быть? зараженных машин было много у меня в сети. Я хочю что бы вы мне помогли определить вирус посмотрите мой лог hijackthis. Logfile of HijackThis v1.99.1 Scan saved at 13:38:47, on 03.07.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe C:\Program Files\SAV\DefWatch.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\CBA\pds.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\llssrv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE C:\WINNT\system32\ntfrs.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\locator.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\snmp.exe C:\Program Files\SAV\Rtvscan.exe C:\hp\hpsmh\bin\smhstart.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe C:\hp\hpsmh\bin\hpsmhd.exe C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe C:\WINNT\System32\CpqRcmc.exe C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\dns.exe C:\WINNT\system32\inetsrv\inetinfo.exe C:\WINNT\system32\ams_ii\hndlrsvc.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\system32\ams_ii\iao.exe C:\WINNT\system32\cba\xfr.exe C:\exchsrvr\bin\mad.exe C:\WINNT\System32\sysdown.exe C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe C:\hp\hpsmh\bin\hpsmhd.exe C:\WINNT\system32\Atiptaxx.exe C:\WINNT\system32\cpqteam.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SAV\VPTray.exe C:\WINNT\system32\internat.exe C:\exchsrvr\bin\events.exe E:\Work\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.0.100/diplomat/servcgi.exe? R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EMBASSY O17 - HKLM\System\CCS\Services\Tcpip\..\{0837E9C1-61F5-49E8-8FD4-FD018FA92708}: NameServer = 192.168.0.100 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EMBASSY O17 - HKLM\System\CS1\Services\Tcpip\..\{0837E9C1-61F5-49E8-8FD4-FD018FA92708}: NameServer = 192.168.0.100 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EMBASSY O17 - HKLM\System\CS2\Services\Tcpip\..\{0837E9C1-61F5-49E8-8FD4-FD018FA92708}: NameServer = 192.168.0.100 O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\hpadu\Bin\hpapp.dll O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINNT\System32\CpqRcmc.exe O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\SAV\DefWatch.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\CBA\pds.exe O23 - Service: Symantec System Center Discovery Service (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\SAV\Rtvscan.exe O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe O23 - Service: HP System Management Homepage (SysMgmtHP) - Hewlett-Packard Company - C:\hp\hpsmh/bin/smhstart.exe O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 3 июля, 2008 Жалоба Поделиться Опубликовано 3 июля, 2008 Привествую :cool: HJT который вы используете устарел. Логи не все подготовили. Подготовьте полный пакет логов с зараженной машины. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Егор из Бангкока Опубликовано 7 июля, 2008 Автор Жалоба Поделиться Опубликовано 7 июля, 2008 Сорри! virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 июля, 2008 Жалоба Поделиться Опубликовано 7 июля, 2008 Это Вы установили? Internet Explorer - разрешены автоматические запросы элементов управления ActiveX Активного заражения не вижу AVZ - AVZPM Установите драйвер, обновите базы AVZ и повторите логи. Посмотрим, что еще скрываться может. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Егор из Бангкока Опубликовано 8 июля, 2008 Автор Жалоба Поделиться Опубликовано 8 июля, 2008 Я установил новые приложения как вы и описали., avz обновить не смог у меня сервер без выхода в инет. Спасибо за помощь! А что если мне логи снять с компов сети, зараженных точно два знаю, иначе я просто не понимаю как ловить вирус в сети. причем с неустанавливаемым антивирусом. symantec. говно какое то., старый да еще и выпендривается. ) Я сниму завтра логи с компов сети и пришлю, можно так сделать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 июля, 2008 Жалоба Поделиться Опубликовано 8 июля, 2008 (изменено) Я сниму завтра логи с компов сети и пришлю, можно так сделать? Можно, только на каждом компе нужно включить AVZPM. Изменено 8 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.