проанализируйте лог, пожалуйста

[yura22]

Доброго времени суток! Сам, к сожалению, не разбираюсь в этом, поэтому надеюсь на вас! Гляньте лог и проконсультируйте всё ли нормально с моим компьютером, ежели нет, то подскажите как это устранить! ЗАРАНЕЕ БЛАГОДАРЮ!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 4:01:31, on 27.05.2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\vsnp2std.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)

O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Program Files\QIP\qip.exe (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F1F9B33-A1F4-4197-8CCC-8AA704857E5F}: NameServer = 192.168.250.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCB77AD-3053-42FA-AD03-228D49875E1E}: NameServer = 91.211.172.6 192.168.1.5

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F1F9B33-A1F4-4197-8CCC-8AA704857E5F}: NameServer = 192.168.250.3

O17 - HKLM\System\CS2\Services\Tcpip\..\{0F1F9B33-A1F4-4197-8CCC-8AA704857E5F}: NameServer = 192.168.250.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 6923 bytes

[GeoD]

Скан сделан 6 лет назад или часы установлены неверно?

[snifer67]

http://www.softboard.ru/index.php?showtopic=51343

[шпилька]

всё ли нормально с моим компьютером?

mssrv32.exe--троянская программа Trojan-Downloader.Win32.Small.evl(kaspersky)

При запуске копирует себя в %WinDir%\system32\mssrv32.exe

Инсталлирует собственную службу: Windows Security Update Service

Троян внедряется в систему, поэтому удалить/переменовать/скопировать/вырезать его не получится. В связи с этим его обнаружение затруднено в случае если он уже в системе.

Логи AVZ подготовьте, пожалуйста. :)

Изменено 12 марта, 2010 пользователем шпилька

[yura22]

4асы неверно установлены)))

[yura22]

+ AVZ LOG

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 27.05.2004 14:33:40

Загружена база: сигнатуры - 237871, нейропрофили - 2, микропрограммы лечения - 56, база от 21.08.2009 14:23

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 135524

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

>>>> Обнаружена маскировка процесса 524 c:\windows\system32\svchost.exe

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 37

Количество загруженных модулей: 345

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\cert8.db

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\content-prefs.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\cookies.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\cookies.sqlite-journal

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\downloads.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\formhistory.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\key3.db

Прямое чтение C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\signons.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Cookies\index.dat

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\Cache\_CACHE_001_

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\Cache\_CACHE_002_

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\Cache\_CACHE_MAP_

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Application Data\Mozilla\Firefox\Profiles\enc7ha8a.default\urlclassifier3.sqlite

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\NGLALog.txt

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DF8265.tmp

Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\Администратор\NTUSER.DAT

Прямое чтение C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db

Прямое чтение C:\Program Files\Alwil Software\Avast4\DATA\log\aswAr.log

Прямое чтение C:\Program Files\Alwil Software\Avast4\DATA\report\Резидентная защита.txt

Прямое чтение C:\System Volume Information\_restore{3DAD68E4-34A0-424F-BFF0-F54AC0B91486}\RP70\change.log

Прямое чтение C:\WINDOWS\SchedLgU.Txt

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\Antivirus.Evt

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\ODiag.evt

Прямое чтение C:\WINDOWS\system32\config\OSession.evt

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\software

Прямое чтение C:\WINDOWS\system32\config\software.LOG

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\mssrv32.exe

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINDOWS\Temp\Perflib_Perfdata_4b8.dat

Прямое чтение C:\WINDOWS\WindowsUpdate.log

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

>>> Обратите внимание - нестандартный диспетчер задач "C:\Documents and Settings\Администратор\Application Data\rthdti.exe"

>>> C:\WINDOWS\system32\mssrv32.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

>> Подмена диспетчера задач

Проверка завершена

Просканировано файлов: 67446, извлечено из архивов: 39093, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 27.05.2004 14:49:43

Сканирование длилось 00:16:04

[snifer67]

полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

[yura22]

где такие взять?

[шпилька]

Внимательно читаем пpaвилa:

http://www.softboard.ru/index.php?showtopic=51343

В AVZ в папке "LOG" сохраняются файлы: virusinfo_syscure.zip, virusinfo_syscheck.zip, эти логи необходимо прикрепить к сообщению.

Изменено 13 марта, 2010 пользователем шпилька

[yura22]

вот, пожалуйста!

i

Уведомление:

Убрал карантин

info.txt

log.txt

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscheck.zip

Изменено 15 марта, 2010 пользователем akoK

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');QuarantineFile('G:\autorun.inf','');QuarantineFile('C:\Documents and Settings\Администратор\Application Data\xaemd.exe','');QuarantineFile('C:\Documents and Settings\Администратор\Application Data\rthdti.exe','');QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe','');DeleteFile('C:\Documents and Settings\Администратор\csrss.exe');DeleteFile('C:\Documents and Settings\Администратор\Application Data\rthdti.exe');DeleteFile('C:\Documents and Settings\Администратор\Application Data\xaemd.exe');DeleteFile('G:\autorun.inf');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

- ПК перезагрузится.

- Выполнить скрипт в AVZ.

var qfolder: string; qname: string;begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false);end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

- Сделайте новые логи.