Jump to content
СофтФорум - всё о компьютерах и не только

кто то просится в инет


Recommended Posts

Добый день!

У меня возникла проблемка!

При каждом подключении к инету выскакивает до 10 сообщений о блокировании исходящего трафика.

Непонятно кто просится в инет. Правада в 2 случаях из 8 постоянно проскакивает то же сообщение, только указано там что svhost рвется на свободу. Системе всего 2 недели свежие антивир базы аваста проверки ничего не выявили и в трее незнакомцев вроде не видно.

Помогите разобраться!

выкладываю log

Logfile of HijackThis v1.99.1

Scan saved at 15:29:25, on 20.06.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20978)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\VistaDriveIcon\VistaDrv.exe

C:\Program Files\Punto Switcher\punto.exe

C:\Program Files\louderit\LouderIt.exe

C:\Program Files\LClock\LClock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\D-Link\Программное обеспечение Bluetooth\BTTray.exe

C:\Program Files\AVerTV\QuickTV.exe

C:\Program Files\USBGuard\USBGuard.exe

C:\PROGRA~1\D-Link\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Winamp\winamp.exe

C:\Program Files\QIP Infium\infium.exe

C:\Program Files\Opera 10 Beta\opera.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Admin\Рабочий стол\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zvercd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\punto.exe

O4 - HKCU\..\Run: [louderit.exe] C:\Program Files\louderit\LouderIt.exe

O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe

O4 - Startup: USBGuard.lnk = C:\Program Files\USBGuard\USBGuard.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\D-Link\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{93EBE50A-86F5-4AB7-BDB8-C7AD741B3A49}: NameServer = 217.74.244.2 217.74.241.10

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\D-Link\Программное обеспечение Bluetooth\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

clip_image002.jpg

post-84484-1245502241_thumb.jpg

Link to comment
Share on other sites

Здравствуйте.

Прочтите, пожалуйста, и выполните правила http://www.softboard.ru/index.php?showtopic=51343

Дополнительно сделайте

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Link to comment
Share on other sites

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');QuarantineFile('srescan.sys','');DeleteFile('srescan.sys');DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделать новые логи. Лог gmer не нужно (он чист)

Link to comment
Share on other sites

Сделал все как указано, но проблема осталась.

AskBarDis - я как понимаю это какой то тулбар от zone alarm - не думаю что файрвол своих же не пускает. Я на всякий случай грохнул всю папку AskBarDis, но как уже написал выше - без изменений, так что скорее всего рвется на свободу что то другое. Для чистоты эксперимента карантинный архив отправил на проверку касперскому.

Выкладываю новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

rsit.rar

Link to comment
Share on other sites

Получил ответ от Касперского:

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

-----------------

С уважением, Гашкин Алексей

Вирусный аналитик

ЗАО "Лаборатория Касперского"

так что AskBarDis тут не причем однозначно!

Link to comment
Share on other sites

дело в том что у этого компьютера выходи в инет через gprs и конечный ip в сообщении ZA всегда будет ip MTC (сотовый оператор как прокси сервер) проверил по базе:

217.74.244.2

Город: Краснодар

Регион:

Страна: Россия

Код страны: RU

Сеть: 217.74.240.0 - 217.74.247.255

Описание сети: KUBANGSM-NET

поэтому к сожалению узнать куда конкретно ломится шпион не узнать

Link to comment
Share on other sites

У вас точно не настроины? 217.74.244.2 217.74.241.10 Они меня с толку сбили.

Если нет, тогда пофиксите в HJT

O17 - HKLM\System\CCS\Services\Tcpip\..\{93EBE50A-86F5-4AB7-BDB8-C7AD741B3A49}: NameServer = 217.74.244.2 217.74.241.10
Edited by wise-wistful
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...