помогите пожалуйста мне!!!!

[Bepc3pk]

помогите пожалуйста мне!!!!

Logfile of HijackThis v1.99.1

Scan saved at 17:35:19, on 04.07.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20772)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\AmlMaple\AmlMaple.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\Opera\opera.exe

C:\Documents and Settings\Bepc3pk\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AmlMaple] C:\Program Files\AmlMaple\AmlMaple.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{F210AD0F-8448-4E2B-B659-7C93B36B7500}: NameServer = 89.105.147.125 172.29.0.9

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[akoK]

Подготовьте логи по правилам.

[Bepc3pk]

вот

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Bepc3pk]

название вируса Win32/Tufik.NAA. как он появился сам не знаю. бывает когда в инет выйду и когда запущу какой нибудь программу или установщик программы, вылазит НОД32 и находит этот вирус в играх и программах с расширением exe. а еще ссылается на alg.exe в windows/system

я уже и винду пробовал переустанавливать с форматом "системного диска". результатов 0.

я уже и винду пробовал переустанавливать с форматом "системного диска". результатов 0.

[akoK]

Пришлите парочку небольших ехе'шников, на которые ругается НОД в архиве с паролем virus.

Лечение файлового вируса.

[Bepc3pk]

ok. как только вылезут, пришлю )))

[akoK]

Забыл указать куда файлы слать :)

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

[Гость ~Real F@ck~]

akoK ты чё парню геморрой создаёшь?

Bepc3pk в ближайшие сроки отпишу как лечится.

!

Предупреждение:

Уважаемый! Это последнее китайское предупреждение. Еще одно сообщение "а нафига" буду принимать меры.

Спасибо за понимание.

P>S> Если, есть что предложить, предлагайте. Если нет, лучше промолчать.

Изменено 4 июля, 2008 пользователем akoK

[Гость ~Real F@ck~]

Я и предлагаю, уважаемый, просто можно и без ваших логов разобратся. А насчёт преды, да хоть заставься, я тут проездом, долго не засижусь, просто есть возможность помочь по разделу вирусологии.

Bepc3pk

Tufik

Признаки

При запуске создает следующие файлы:

%System%\mscrss.exe

%System%\mscrss.dll

%System%\[случайные буквы].tmp

%Windir%\Temp\[случайные цифры].tmp

%Windir%\Temp\[случайные цифры].tmp_TMP.exe

%Temp%\[случайные цифры].tmp

%Temp%\[случайные цифры].tmp_TMP.exe

(Примечание: %System% - системная директория Windows. Например, для NT..Vista это обычно C:\Windows\System32)

Создает сервис "Windows Workstation".

Создает в реестре следующие записи:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1498DA0-135E-46EA-B01B-86042A31ED82}

HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}

HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82} HKEY_CURRENT_USER\IEFalgObj.IEFalgObj

HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1 HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82

HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1498DA0-135E-46EA-B01B-86042A31ED82}

Ищет на всех дисках файлы:

.cgi

.php

.jsp

.asp

.html

.htm

Копирует себя на все диски:

\Config.Msi\mscrss.exe

\Config.Msi\[имя_первоначально_запущенного_файла]

\AutoRun.inf

Заражает все .exe - файлы на всех дисках.

Пытается загрузить файл с URL: [http://]ieopen.yhgames.com/iedown/down/upbh[удалено]

ЗАЩИТА

Отключить функцию "Восстановление системы" (для Windows ME и XP)

Найти и остановить сервис, созданный вредоносной программой.

Полностью проверить систему антивирусом с обновлённой базой сигнатур

Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Вирус-червь для платформы Windows. Заражает исполняемые файлы (.exe), копирует себя на все диски, которым присвоена буква, а также внедряет в html-файлы код обращения к вредоносному сайту.

По данным лабаротории касперского:

Virus.Win32.Tufik.a («Лаборатория Касперского») также известен как: W32/Tufik.worm.gen (McAfee), Bloodhound.W32.1 (Symantec), Suspect File (Panda)

Вообще советую юзать фаервол KIS 7 или KIS 2009, а если уж совсем боишся за безопасность тогда ZoneAlarm

!

Предупреждение:

И не засиделся

Изменено 5 июля, 2008 пользователем akoK

[akoK]

Я и предлагаю, уважаемый, просто можно и без ваших логов разобратся.

А Вы это зря, есть хорошо отработанная и эффективная методика лечения....и переводить на рельсы ставь то или это не есть хорошо. Да и антивирусы не всегда могут увидеть, что живет….

[akoK]

Bepc3pk: это описание похожей модификации.

[Bepc3pk]

ну вроде после проверки cureit вирус больше не тревожит. через EVEREST удалил автозагрузку файла C:\WINDOWS\system\alg.exe