Проанализируйте лог.

[woodpeckerrr]

Сабж, Заранее спасибо!

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:44:58, on 11.11.2008Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.20661)Boot mode: NormalRunning processes:C:\WINDOWS.0\System32\smss.exeC:\WINDOWS.0\system32\csrss.exeC:\WINDOWS.0\system32\winlogon.exeC:\WINDOWS.0\system32\services.exeC:\WINDOWS.0\system32\lsass.exeC:\WINDOWS.0\system32\svchost.exeC:\WINDOWS.0\system32\svchost.exeC:\WINDOWS.0\System32\svchost.exeC:\WINDOWS.0\system32\svchost.exeC:\WINDOWS.0\system32\svchost.exeC:\WINDOWS.0\system32\svchost.exeC:\WINDOWS.0\system32\spoolsv.exeC:\WINDOWS.0\system32\nvsvc32.exeC:\WINDOWS.0\System32\alg.exeC:\WINDOWS.0\Explorer.EXEC:\WINDOWS.0\system32\wscntfy.exeC:\Program Files\Mail.Ru\Agent\MAgent.exeC:\Windows\kys7r.exeC:\Program Files\DrWeb\DRWEBSCD.EXEC:\WINDOWS.0\system32\System.exeC:\WINDOWS.0\system32\rundll32.exeC:\Program Files\DrWeb\spiderml.exeC:\PROGRA~1\DrWeb\spiderui.exeC:\Program Files\Windows Sidebar\Sidebar.exeC:\Program Files\LClock\LClock.exeC:\WINDOWS.0\system32\ctfmon.exeC:\Program Files\Windows Sidebar\Sidebar.exeC:\Documents and Settings\Администратор\Рабочий стол\DrWeb\HiJackThis\HijackThis.exeC:\Program Files\Opera\Opera.exeC:\Program Files\Windows Media Player\wmplayer.exeC:\WINDOWS.0\system32\wbem\wmiprvse.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cn/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиR3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dllR3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dllO1 - Hosts: 127.1 localhostO1 - Hosts: 127.1 fffff8888fsgfbghj88.cnO1 - Hosts: 127.1 61.134.37.12O1 - Hosts: 127.1 ko.ssa387.cnO1 - Hosts: 127.1 www.ndxrr.cnO1 - Hosts: 127.1 12345.ssa387.cnO1 - Hosts: 127.1 lihai88.comO1 - Hosts: 127.1 wwwwhf.cnO1 - Hosts: 127.1 a89369093.sq.u9idc.comO1 - Hosts: 127.1 www.mmd178.cnO1 - Hosts: 127.1 www.178mmd.cnO1 - Hosts: 127.1 www.wenzhuoyyy.cnO1 - Hosts: 127.1 tw.lovechina.tw.cnO1 - Hosts: 127.1 222.189.238.151O1 - Hosts: 127.1 222.179.185.78O1 - Hosts: 127.1 www.wq9q.cnO1 - Hosts: 127.1 593ffcey.cnO1 - Hosts: 127.1 set.yay520.cnO1 - Hosts: 127.1 tenmoc999.cnO1 - Hosts: 127.1 lihai88.comO1 - Hosts: 127.1 121.kcuf-01.comO1 - Hosts: 127.1 www.ew1q.cnO1 - Hosts: 127.1 www.b3sk.cnO1 - Hosts: 127.1 up.bizmd.cnO1 - Hosts: 127.1 www.ms2a.cnO1 - Hosts: 127.1 www.wo9188.cnO1 - Hosts: 127.1 www.fgetchr.cnO1 - Hosts: 127.1 www.e6zx.cnO1 - Hosts: 127.1 hai067.comO1 - Hosts: 127.1 hai088.comO1 - Hosts: 127.1 778899.jd8j.cnO1 - Hosts: 127.1 sql.78-11.netO1 - Hosts: 127.1 www.bbbirdy.comO1 - Hosts: 127.1 www.s1na1.com.cnO1 - Hosts: 127.1 www.dianyinjzd.cnO1 - Hosts: 127.1 www.dj5201314dj.comO1 - Hosts: 127.1 max-2.cnO1 - Hosts: 127.1 a.asp-o.cnO1 - Hosts: 127.1 b.asp-o.cnO1 - Hosts: 127.1 c.asp-o.cnO1 - Hosts: 127.1 x.kprobb.cnO1 - Hosts: 127.1 js.php-k.cnO1 - Hosts: 127.1 max-1.cnO1 - Hosts: 127.1 max-3.cnO1 - Hosts: 127.1 max-4.cnO1 - Hosts: 127.1 max-5.cnO1 - Hosts: 127.1 max-6.cnO1 - Hosts: 127.1 max-7.cnO1 - Hosts: 127.1 max-8.cnO1 - Hosts: 127.1 max-9.cnO1 - Hosts: 127.1 max-10.cnO1 - Hosts: 127.1 max-11.cnO1 - Hosts: 127.1 max-12.cnO1 - Hosts: 127.1 twocannon250.com.cnO1 - Hosts: 127.1 www.133mm.cnO1 - Hosts: 127.1 www.51vmm.cnO1 - Hosts: 127.1 www.7mmoo.cnO1 - Hosts: 127.1 www.99mmm.org.cnO1 - Hosts: 127.1 www.hdec.cnO1 - Hosts: 127.1 www.picc18.comO1 - Hosts: 127.1 www.kissdh.comO1 - Hosts: 127.1 www.x7v.cnO1 - Hosts: 127.1 biqulu.cnO1 - Hosts: 127.1 2008.qq2006.com.cnO1 - Hosts: 127.1 giaitrisex.comO1 - Hosts: 127.1 www.giaitrisex.comO1 - Hosts: 127.1 www.giaitrituoitre.netO1 - Hosts: 127.1 mekiep.comO1 - Hosts: 127.1 www.1sex1day.comO1 - Hosts: 127.1 a.9ymm.comO1 - Hosts: 127.1 bobo.7wyt.comO1 - Hosts: 127.1 www.591caobi.cnO1 - Hosts: 127.1 www.hrz008.cnO1 - Hosts: 127.1 asp-15.cnO1 - Hosts: 127.1 asp-12.cnO1 - Hosts: 127.1 www.jb88.netO1 - Hosts: 127.1 6.a88a.comO1 - Hosts: 127.1 w.b2c3.cnO1 - Hosts: 127.1 m.c5x8.comO1 - Hosts: 127.1 www.518sfw.cnO1 - Hosts: 127.1 www.jjyyzmj.cnO1 - Hosts: 127.1 u.cnmrx.netO1 - Hosts: 127.1 duowan.czm.cnO1 - Hosts: 127.1 xccxcxcxcxcx.cnO1 - Hosts: 127.1 google-yahoo.org.cnO1 - Hosts: 127.1 tudou-net.org.cnO1 - Hosts: 127.1 downloads.zango.comO1 - Hosts: 127.1 ftp.surfnet.nlO1 - Hosts: 127.1 bis.180solutions.comO1 - Hosts: 127.1 installs.hotbar.comO1 - Hosts: 127.1 www.hbdownloads.comO1 - Hosts: 127.1 static.zangocash.comO1 - Hosts: 127.1 www.qq-songli.cnO1 - Hosts: 127.1 aa.9234.netO1 - Hosts: 127.1 www.97love.infoO1 - Hosts: 127.1 97love.infoO1 - Hosts: 127.1 www.zyzhuiku.cnO1 - Hosts: 127.1 zyzhuiku.cnO1 - Hosts: 127.1 www.lang18.comO1 - Hosts: 127.1 lang18.comO1 - Hosts: 127.1 sao6666.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dllO2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dllO2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS.0\Downloaded Program Files\ThunderAdvise.dll (file missing)O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dllO4 - HKLM\..\Run: [MSN] C:\Windows\kys7r.exeO4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LMO4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [HBService32] System.exeO4 - HKLM\..\Run: [MPKrnl] rundll32 "C:\WINDOWS.0\MPKrnl.dll",KrnlMsgProcO4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agentO4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\Sidebar.exeO4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\Run: [KillCopy] "C:\WINDOWS.0\system32\killcopy.exe" /kcresume /startup (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\Run: [Aml Maple] C:\Program Files\AmlMaple\AmlMaple.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\Run: [sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\LClock.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')O8 - Extra context menu item: Найти в интернете - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/282O8 - Extra context menu item: Найти в словарях - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/283O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dllO9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exeO9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exeO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{6823864B-FCD7-4573-B7B4-379A415749D6}: NameServer = 80.243.64.67 80.243.68.34O17 - HKLM\System\CS1\Services\Tcpip\..\{6823864B-FCD7-4573-B7B4-379A415749D6}: NameServer = 80.243.64.67 80.243.68.34O20 - AppInit_DLLs: 01AFE3DC.dll,,HBmhly.dll,HBZHUXIAN.dllO21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dllO21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS.0\Downloaded Program Files\ThunderAdvise.dll (file missing)O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS.0\system32\upnpsrv.dllO23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exeO23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.0\system32\imapi.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exeO23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exeO23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS.0\system32\sessmgr.exeO23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.0\System32\SCardSvr.exeO23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exeO23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\smlogsvc.exeO23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.0\System32\vssvc.exeO23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.0\system32\wbem\wmiapsrv.exe--End of file - 11086 bytes

[akoK]

Еще логи AVZ нужны.

[woodpeckerrr]

avz_log.txt

И кстати, как обновить AVZ ?

avz_log.txt

Изменено 11 ноября, 2008 пользователем woodpeckerrr

[akoK]

Логи не те

8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

И кстати, как обновить AVZ ?

так

"Файл" => "Обновление баз"

[Steker]

Что конкретно интересует в AVZ логе?

[woodpeckerrr]

так

Цитата

"Файл" => "Обновление баз"

Впринципе логично, но дело в том, что е обновляется. Пишет, "ошибка загрузки файла с описанием обновления".

Выкладываю логи. Извиняюсь за невнимательность! =)

Что конкретно интересует в AVZ логе?

Конкретно... Хотелось бы анализа моего лога, и рекомендаций по возможному лечению системы.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 11 ноября, 2008 пользователем akoK

[akoK]

C:\WINDOWS.0\system32\hbzhuxian.dll - Trojan.Win32.SmallGame.w

virusinfo_cure.zip - это карантин его нельзя вылаживать в паблик...

[Steker]

Для общей безопастности Панел управления-->Администрмирирование-->службы Оключите следующие службы:

RemoteRegistry (Удаленный реестр)

TermService (Службы терминалов)

SSDPSRV (Служба обнаружения SSDP)

Schedule (Планировщик заданий)

RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Так же отключите доступ к жискам анонимному пользователю Сделать это можно с помощью реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa содать параметр RestrictAnonymous со зночением 1 типа REG_DWORD

[akoK]

Так же отключите доступ к жискам анонимному пользователю Сделать это можно с помощью реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa содать параметр RestrictAnonymous со зночением 1 типа REG_DWORD

Если есть "шары" в сети не отключайте.

P>S> Это можно сделать через AVZ...меньше мороки для юзера

[akoK]

Что конкретно интересует в AVZ логе?

Зловреды ;) например эти

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('HBKernel32', 4);QuarantineFile('C:\WINDOWS.0\system32\hidec','');QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe','');QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe','');QuarantineFile('C:\WINDOWS.0\Downloaded Program Files\ThunderAdvise.dll','');QuarantineFile('C:\WINDOWS.0\system32\ctfmon.exe','');QuarantineFile('9CA963CA.dll','');QuarantineFile('B3721C07.dll','');QuarantineFile('C:\WINDOWS.0\system32\drivers\HBKernel32.sys','');QuarantineFile('C:\WINDOWS.0\system32\hbzhuxian.dll','');QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');QuarantineFile('C:\WINDOWS.0\0\system32\hal.dll','');QuarantineFile('C:\Windows\kys7r.exe','');QuarantineFile('C:\WINDOWS.0\system32\System.exe','');QuarantineFile('C:\WINDOWS.0\MPKrnl.dll','');QuarantineFile('C:\Program Files\Windows Sidebar\vKERNEL32.dll','');QuarantineFile('C:\Program Files\Windows Sidebar\vntdll.dll','');QuarantineFile('C:\Program Files\Windows Sidebar\vUSER32.dll','');QuarantineFile('c:\windows.0\system32\system.exe','');QuarantineFile('c:\windows\kys7r.exe','');DeleteFile('c:\windows.0\system32\system.exe');DeleteFile('c:\windows\kys7r.exe');DeleteFile('C:\WINDOWS.0\system32\System.exe');DeleteFile('C:\Windows\kys7r.exe');DeleteFile('C:\WINDOWS.0\system32\hbzhuxian.dll');DeleteFile('C:\WINDOWS.0\MPKrnl.dll');DeleteFile('C:\WINDOWS.0\system32\drivers\HBKernel32.sys');DeleteFile('08223B03.dll');DeleteFile('59964D2B.dll');DeleteFile('93DEE065.dll');DeleteFile('9CA963CA.dll');DeleteFile('B3721C07.dll');DeleteFile('C:\WINDOWS.0\system32\HBZHUXIAN.dll');DeleteFile('E4814792.dll');DeleteFile('C:\WINDOWS.0\Downloaded Program Files\ThunderAdvise.dll');DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe');DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe');DeleteService('HBKernel32');DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}');BC_ImportALL;ClearHostsFile;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: hbzhuxian.dll,HBZHUXIAN.dll 

Изменено 11 ноября, 2008 пользователем akoK