Ura79 Опубликовано 14 января, 2009 Жалоба Поделиться Опубликовано 14 января, 2009 Вот сам лог: ---------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:09:08, on 13.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\VistaDriveIcon\VistaDrv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\Program Files\Total Commander XP\TOTALCMD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\del\23\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.09\RivaTuner.exe" /S O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O10 - Unknown file in Winsock LSP: vykgebaq.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{F3212771-6F1D-4BA9-9752-9EE4BB262327}: NameServer = 213.234.192.7 85.21.192.5 O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 6128 bytes --------------------------------------------------------------------------------------------- Очень бы хотелось услышать ответ знающих людей. Особо не понятен пинкт: O10 - Unknown file in Winsock LSP: vykgebaq.dll Заранее спасибо. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 января, 2009 Жалоба Поделиться Опубликовано 14 января, 2009 vykgebaq.dll - зловред похоже. А где все остальное? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 15 января, 2009 Автор Жалоба Поделиться Опубликовано 15 января, 2009 Вот логи, сделанные по инструкции. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 января, 2009 Жалоба Поделиться Опубликовано 16 января, 2009 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\WP504F.exe','');QuarantineFile('C:\WINDOWS\system32\by Jokep.exe','');QuarantineFile('C:\WINDOWS\system32\vykgebaq.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Изменено 16 января, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 16 января, 2009 Автор Жалоба Поделиться Опубликовано 16 января, 2009 Спасибо, понял. Может после запаковки в архив эти файлы удалить? Или они удалятся автоматом? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 января, 2009 Жалоба Поделиться Опубликовано 16 января, 2009 Я их удалю после анализа карантина. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 января, 2009 Жалоба Поделиться Опубликовано 16 января, 2009 Обязательно ознакомьтесь и подготовьтесь Проблемы с сетью после лечения. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\WP504F.exe');DeleteFile('C:\WINDOWS\system32\by Jokep.exe');DeleteFile('C:\WINDOWS\system32\vykgebaq.dll');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Есть подозрение, что один из файлов является Пинчем. Возможно прийдется сменить все пароли. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 19 января, 2009 Автор Жалоба Поделиться Опубликовано 19 января, 2009 Спасибо большое. У провайдера проблемы, пишу с работы. 2 первых файла я уже в ручную удалил, они уж точно не хорошие. Вечером удалю с помощью AVZ последний и пришлю логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 20 января, 2009 Автор Жалоба Поделиться Опубликовано 20 января, 2009 Выполнил скрипт, сделал логи. И еще заметил в оутпосте непонятную сетевую активность, раньше вроде такого не было. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 января, 2009 Жалоба Поделиться Опубликовано 21 января, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\systemproc.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 21 января, 2009 Автор Жалоба Поделиться Опубликовано 21 января, 2009 Карантин на почту отправил. Вот лог из программы Malwarebytes' Anti-Malware. Перед его выполнением запускал CureIT, он нашел несколько троянов, в том числе и systemproc.exe, который удалил. Откуда они только берутся, nod32 установлен с базами от 2000-12-15 и Outpost 4. Outpost блокирует кое что, а nod вообще ничего не находит. Посоветуйте какой лучше антивирус использовать или нужно несколько использовать? mbam_log_2009_01_21__22_15_51_.txt mbam_log_2009_01_21__22_15_51_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 января, 2009 Жалоба Поделиться Опубликовано 21 января, 2009 C:\WINDOWS\system32\systemproc.exe - Backdoor.Win32.Poison.qqw AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\systemproc.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ura79 Опубликовано 26 января, 2009 Автор Жалоба Поделиться Опубликовано 26 января, 2009 akoK, спасибо за помощь в борьбе с вирусами, очень признателен. Ссылка на комментарий Поделиться на другие сайты Поделиться
NIN Опубликовано 25 июля, 2009 Жалоба Поделиться Опубликовано 25 июля, 2009 А у меня вопрос такой, тоже про лог hijackthis, интересует конкретная строчка: O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe обнаружил её когда начал пользоваться и разбираться программой hijackthis. Получается это служба, в services.msc описание следующее: PunkBuster Servise Compnents (v1029) http://www.evenbalance.com И служба эта у меня от игры осталась (99,9%)которой на компе уже нет (call of duty). PunkBuster который используется игрой удалил через "удалить или изменить программу" - и тут его нет. Другие приложения у меня эту штуку не используют. Вопрос: Получается это у меня сорняк остался??? хочеться удалить:D чистинько просто люблю что бы было. Или подскажите пожалуйста что делать??:D через Misc Tools незнаю что вписать:1eye: PnkBstrA или PnkBstrA.exe :) баюся просто:) Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 25 июля, 2009 Жалоба Поделиться Опубликовано 25 июля, 2009 (изменено) NIN, можно так Выполните скрипт в AVZ beginDeleteService('PnkBstrA');DeleteFile('C:\Windows\system32\PnkBstrA.exe');ExecuteSysClean;RebootWindows(true);end. Компьютер перезагрузится. Изменено 25 июля, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
NIN Опубликовано 25 июля, 2009 Жалоба Поделиться Опубликовано 25 июля, 2009 thyrex "Перед выполнением скрипта необходимо отключить интернет, выгрузить антивирусное ПО." - это руководство перед выполнением скрипта. А что значит "выгрузить антивирусное ПО"? - удалить вообще на время антивирусник???!! Может достаточно исключить для этих дел его из автозагрузки???!! как и до селе я делал... И например Misc Tools тоже самое сделает? и сервис уберёт и из system32 тоже почистит , да? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 26 июля, 2009 Жалоба Поделиться Опубликовано 26 июля, 2009 Выгрузить антивирусное ПО - это значит его из автозапуска убрать на время. Насчет удаления файла не уверен, а вот службу Misc Tools уберет Ссылка на комментарий Поделиться на другие сайты Поделиться
NIN Опубликовано 26 июля, 2009 Жалоба Поделиться Опубликовано 26 июля, 2009 thyrex Спасибо за помощь:) почистил Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти