Internick Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Проблема такова. На компьютере появился вирус Packed.Win32.Krap.h. "Касперский" их вроде бы удалил. Но теперь при каждом запуске системы services.exe пытается выйти на фишнговые сайты (по формулировке "Касперского") и изменить некие параметры в реестре (по формулировке Outpost). Выкладываю лог из HJT и прошу помочь. Logfile of Trend Micro HijackThis v2.0.4Scan saved at 16:39:15, on 17.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe C:\WINDOWS\PixArt\PAC7302\Monitor.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\VistaDriveIcon\VistaDrv.exe C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Mozilla Firefox 4.0 Beta 5\firefox.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки F2 - REG:system.ini: Shell=%windir%\Explorer.exe F2 - REG:system.ini: UserInit=\windows\system32\userinit.exe,c:\windows\system32\owshchs.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe O4 - HKCU\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [iE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [iE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [iE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'Default user') O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\ie_banner_deny.htm O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll,c:\progra~1\kasper~1\kasper~1\kloehk.dll O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe O23 - Service: Служба Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 9867 bytes Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Профиксите в HijackThis.следующие строки. F2 - REG:system.ini: UserInit=\windows\system32\userinit.exe,c:\windows\system32\owshchs.exe, O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) Выполните логи AVZ и RSIT. Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Профиксите в HijackThis.следующие строки. F2 - REG:system.ini: UserInit=\windows\system32\userinit.exe,c:\windows\system32\owshchs.exe, O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) Выполните логи AVZ и RSIT. Как заставить Outpost ПЕРЕСТАТЬ запрещать HJT изменять реестр?.. Я поставил "разрешить все действия", а он всё равно запрещает. Если отключить Outpost-HJT не запускается Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Когда, выполняли фикс вы антивирус и файервул отключали? Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Если отключить антивирус и файервол, HJT не запускается! Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Нажмите -Пуск Выполнить-regedit переходим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon изменям значение userinit c \windows\system32\userinit.exe,c:\windows\system32\owshchs.exe, на C:\Windows\system32\userinit.exe, AVZ запускали? Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Нажмите -Пуск Выполнить-regedit переходим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon изменям значение userinit c \windows\system32\userinit.exe,c:\windows\system32\owshchs.exe, на C:\Windows\system32\userinit.exe, AVZ запускали? В общем, изменил этот параметр через HJT через безопасный режим (f8 при загрузке). Сейчас AVZ все диски поставили проверять... Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Лог RSIT не забудьте. Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Значит так. Подмененный проводник я исправил АВЗ-ом, грузится мозилла, авз, HJT. eset.com и virustotal.com тоже грузится. Но не грузятся сайты kaspersky.ru и esetnod32.ru. Выкладвыаю лог АВЗ, который создан СЕЙЧАС: Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Где логи? Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 RSIT чего-то не грузится, ни способом "сохранить объект как...", ни прямым кликом. Юзаю зеркало с вашего форума Вот лог из AVZ Так, господа, не загружается ни один файл (сохранить объект как...) и не работает ctrcl-alt-del. ЧЁРТ! ОН ВОССТАНОВИЛСЯ! avz_sysinfo.zip avz_sysinfo.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Internick Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 RSIT чего-то не грузится, ни способом "сохранить объект как...", ни прямым кликом. Юзаю зеркало с вашего форума Вот лог из AVZ Так, господа, не загружается ни один файл (сохранить объект как...) и не работает ctrcl-alt-del. ЧЁРТ! ОН ВОССТАНОВИЛСЯ! Итак. Картина такая: "Каспер" и АВЗ больше не говорят про модифицированный проводник, но снова не запускается АВЗ и Файрфокс( Ну что же делать? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Выполните скрипт авз beginExecuteRepair(13);RebootWindows(true);end. Компьютер перезагрузится. Повторите логи по правилам Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 + скрипт beginSetAVZGuardStatus(True);SearchRootkit(true, true);ExecuteRepair(13);ExecuteRepair(16); RebootWindows(true);end. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 (изменено) @Internick, Полиморфный АВЗ попробуйте запустить. http://gjf.hotbox.ru/mink.pif Изменено 17 октября, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти