Помощь в лечении систем от нечисти

[ser208]

s1ngl0

Перезагрузок было всего 2,меня больше удивляет отключение компа - он потом не включается минут 5.

Проверь температуры программой Everest или Speedfan (проверяй под нагрузкой). Лучше всего это делать с помощью программы S&M. Включи S&M и запусти тест. А в Everest или Speedfan отслеживай температуры.

.:KAIN:.

Исче 2 вопроса-када мышку глючитЪ(то есть стрелка мышки на екране вылетает резко вверх,а в Call of Duty камера наводиться вверх и вертиться пока мышкой не шевельнешь) ето от вирусов или в настройках покапаться надо?

Используй поверхность для мышки без резкого перехода цветов.

P.S. Может обойдешься в следующий раз без этого идиотского сленга?

Изменено 29 мая, 2007 пользователем ser208

[.:KAIN:.]

Нажал исследование системы,сис инфо поставил куда сохранить,нажал пуск-AVZ не отвечает

[.:KAIN:.]

Исследовал-вот файл

avz_sysinfo.htm

avz_sysinfo.htm

[torch777]

.:KAIN:.: Выложи еще лог HijackThis

Похоже у тебя червь

Случаем не получал из контакта в аське сообщение с ссылкой типа, Check this, My photo и т.д.

[Saule]

Исследовал-вот файл

Newdotnet в данном случае - это лишь безобидная мелочь, по сравнению со всем остальным. Поэтому легче будет удалить всю заразу с помощью функции выполнения скриптов в AVZ (если что-то вдруг будет вам не понятно, то спрашивайте).

1. В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('D:\WINDOWS1\System32\confmms.dll');DeleteFile('D:\WINDOWS1\System32\confjfg.dll');DeleteFile('D:\WINDOWS1\System32\confnxs.dll');DeleteFile('D:\WINDOWS1\System32\confxxn.dll');DeleteFile('D:\WINDOWS1\System32\diagisr.dll');DeleteFile('D:\WINDOWS1\System32\e1.dll');DeleteFile('D:\WINDOWS1\system32\instcat.dll');DeleteFile('D:\WINDOWS1\system32\jpgmgr32.dll');DeleteFile('D:\WINDOWS1\system32\jpgstat.dll');DeleteFile('D:\WINDOWS1\system32\jfgmgr32.dll');DeleteFile('D:\WINDOWS1\system32\jfgstat.dll');DeleteFile('D:\WINDOWS1\system32\mmsmgr32.dll');DeleteFile('D:\WINDOWS1\system32\mmsstat.dll');DeleteFile('D:\WINDOWS1\system32\mqqmdisp.dll');DeleteFile('D:\WINDOWS1\system32\slbipsch.dll');DeleteFile('D:\WINDOWS1\system32\brwmgr32.dll');DeleteFile('D:\WINDOWS1\system32\confnss.dll');DeleteFile('D:\WINDOWS1\system32\wmvmgr32.dll');DeleteFile('D:\Program Files\NewDotNet\newdotnet7_48.dll');DeleteFile('D:\WINDOWS1\system32\svhst32.exe');DeleteFile('D:\WINDOWS1\c.5.0.exe');DeleteFile('D:\WINDOWS1\fdd.exe');DeleteFile('D:\WINDOWS1\system32\brwconf.exe');DeleteFile('D:\WINDOWS1\system32\c.6.0.exe');DeleteFile('D:\WINDOWS1\system32\c.8.0.exe');DeleteFile('D:\WINDOWS1\system32\jfgconf.exe');DeleteFile('D:\WINDOWS1\system32\jpgconf.exe');DeleteFile('D:\WINDOWS1\system32\mmsconf.exe');DeleteFile('D:\WINDOWS1\system32\wmvconf.exe');DeleteFile('D:\WINDOWS1\system32:lzx32.sys:$DATA');DeleteFile('D:\WINDOWS1\system32:lzx32.sys');DeleteFile('D:\WINDOWS1\System32\drivers\runtime.sys');DeleteFile('D:\WINDOWS1\System32\drivers\runtime2.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('PE386');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_LogFile(GetAVZDirectory + 'boot_clr.log');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки.

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

Плюс предварительно, на всякий случай, скачайте LSPfix, чтобы в случае проблем с интернетом после чистки системы, это можно было бы починить (также, как вы делали это раньше - т.е. он сам вам покажет ошибку, если она будет иметь место в системе).

2. Затем желательно повторить лог исследования системы с помощью AVZ.

[.:KAIN:.]

LSP сказал No Problems founded

вот лог

Спасибо огромное-интернет теперь не тормозит,но ошибку newdotnet7_48.dll все-равно выдает

avz_sysinfo.htm

avz_sysinfo.htm

[torch777]

.:KAIN:.:

Скинь лог HijackThis

[.:KAIN:.]

y M9 HETy Hijack'a

[ser208]

y M9 HETy Hijack'a

В шапке ссылка и инструктаж.

[Serg-is-Saynogorska]

Здравствуйте! На компьютере для защиты установлен NOD32, Outpost с последними базами, а почитал тему и теперь появились сомнения. Значит получаеться нужно ещё устанавливать программы. Посоветуйте, чего не хватает? И ещё, если не затруднит посмотрите мой лог. Заранее благодарен!

Logfile of HijackThis v1.99.1

Scan saved at 14:57:38, on 02.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\PureSoft\Hide Folder 3.0\HF30Service.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe

C:\Program Files\Punto Switcher\Punto Switcher\ps.exe

C:\Program Files\processkiller\prkiller.exe

C:\Program Files\SBRunScr\SBRunScr.exe

C:\Program Files\Time Sync Pro\timesync.exe

C:\Program Files\Часы\apClock.exe

C:\Program Files\PowerOff53-22betaR\PowerOff53-22betaR.exe

C:\Program Files\SpeedFan\speedfan.exe

C:\taskmgr.exe

C:\progra~1\statistxp\StatistXP.exe

C:\Program Files\Totalcmd 7.0RC3\TOTALCMD.EXE

C:\Program Files\QIP\qip.exe

C:\Program Files\TrafficCompressor\TCompres.exe

C:\Program Files\Agnitum\Outpost Firewall Pro\op_viewer.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe /startup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [prkiller] C:\Program Files\processkiller\prkiller.exe

O4 - HKCU\..\Run: [sBRunScr] C:\Program Files\SBRunScr\SBRunScr.exe

O4 - Startup: Clock.lnk = ?

O4 - Startup: PowerOff.lnk = C:\Program Files\PowerOff53-22betaR\PowerOff53-22betaR.exe

O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Startup: StatistXP.lnk = C:\Program Files\StatistXP\run_statistxp.cmd

O4 - Startup: taskmgr.lnk = C:\taskmgr.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D1B7B66-4721-44BE-AB32-5E92FD7DDBF8}: NameServer = 10.10.30.3 10.10.30.4

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: HF30Service - Unknown owner - C:\Program Files\PureSoft\Hide Folder 3.0\HF30Service.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall Pro\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

[ser208]

C:\taskmgr.exe

Ты сам устанавливал?

Это подчисть

O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file)

O4 - Startup: Clock.lnk = ?

Изменено 2 июня, 2007 пользователем ser208

[Serg-is-Saynogorska]

C:\taskmgr.exe

Ты сам устанавливал?

Да сам.

Это подчисть

O21 - SSODL: Binadmin - {CA40DDE1-B67E-46C8-AE1A-F7F5D643E6A8} - (no file)

O4 - Startup: Clock.lnk = ?

Clock.lnk -тоже сам (часики)

[ser208]

Clock.lnk -тоже сам (часики)

Если не считать разные часики-сменялки обоев само по себе заразой -- то все вроде нормально.

[Serg-is-Saynogorska]

А анти-троян посоветуйте. Пробовал Agnitum tauscan1.7build1414, так он ни чего по-моему не ловит.

И ещё вопрос: обновлять страницу на форуме лучше через какой промежуток(я первый раз и у меня дорогущий GPRS).

[Iomhar Dealgach]

2. Скачай триал-версию Ewido Security Suite

http://www.ewido.net/en/download/

Инсталируй и сразу сделай его update.

...

Сделай полное сканирование системы с помощью Ewido Security Suite. Он найдет всё, что не отображаеться в логе HijackThis и находиться в скрытых папках системы.

Когда он закончит, сохрани его лог (кнопка Save report, которая в конце покажеться внизу его окошка).

А кроме ESS что еще может найти "...все, что не отображаетЬся в логе HijackThis и находитЬся в скрытых папках системы."?

Что-нибудь из бесплатных (freeware) делает ЭТО?

Сенкс!

[Saule]

Спасибо огромное-интернет теперь не тормозит,но ошибку newdotnet7_48.dll все-равно выдает

NewDotNet можно попробовать удалить обычным способом (это будет самое правильное):

1. Через Start > Control Panel > Add or Remove Programs (Пуск > Панель управления > Установка и удаление программ).

Найдите что-то похожее на 'New.net' и деинсталлируйте.

2. Если по каким-то причинам удалить таким образом не удается, то можно использовать специальный деинсталлятор -

NNuninstall

(не смотря на то, что антивирусы детектируют adware и в деинсталляторе - это не вирус).

Что касается остального, то желательно всё же скачать HijackThis :) - для того, чтобы немного дочистить реестр (удалить с его помощью записи, ранее принадлежавшие вирусам). Сами по себе эти записи уже не опасны, но тем не менее (т.е. это на ваше личное усмотрение).

Итак, нужно будет нажать на кнопку "Do a system scan only" и отметить галочкой следующее, если это еще будет присутствовать в логе:

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS1\Temp\startdrv.exe

O4 - HKCU\..\Run: [WinFixer2005] "D:\Program Files\WinFixer 2005\uwfx5.exe"

O20 - AppInit_DLLs: confnss.dll jpgstat.dll jfgstat.dll mmsstat.dll e1.dll diagisr.dll confxxn.dll confnxs.dll confmms.dll confjfg.dll

O20 - Winlogon Notify: brwmgr - D:\WINDOWS1\System32\brwmgr32.dll (file missing)

O20 - Winlogon Notify: instcat - D:\WINDOWS1\System32\instcat.dll (file missing)

O20 - Winlogon Notify: jfgmgr - D:\WINDOWS1\System32\jfgmgr32.dll (file missing)

O20 - Winlogon Notify: jpgmgr - D:\WINDOWS1\System32\jpgmgr32.dll (file missing)

O20 - Winlogon Notify: mmsmgr - D:\WINDOWS1\System32\mmsmgr32.dll (file missing)

O20 - Winlogon Notify: wmvmgr - D:\WINDOWS1\System32\wmvmgr32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Изменено 2 июня, 2007 пользователем Saule

[Saule]

А кроме ESS что еще может найти "...все, что не отображаеться в логе HijackThis и находиться в скрытых папках системы."?

Что-нибудь из бесплатных (freeware) делает ЭТО?

Что касается Ewido и скрытых папок системы, то речь в той ситуации шла о конкретном случае заражения (rogue anti-spyware и приложения с ними связанные). Поэтому ваш вопрос некорректный + находится совсем не в том месте (т.к. эта тема рассматривает конкретные случаи и по сути не может подразумевать общих рекомендаций).

[Iomhar Dealgach]

Что касается Ewido и скрытых папок системы, то речь в той ситуации шла о конкретном случае заражения (rogue anti-spyware и приложения с ними связанные). Поэтому ваш вопрос некорректный + находится совсем не в том месте (т.к. эта тема рассматривает конкретные случаи и по сути не может подразумевать общих рекомендаций).

Простите если вопрос показался Вам некорректным...

Тогда я подойду с другой стороны:

Выходит из Ваших слов что HijackThis по большому счету видит не все -

скрытые папки и файлы например нет - так получается?

Следовательно нужны иные софтины - понятно что для каждого случая разные, но...

НО тогда как догадаться какие - Ewido Или AVZ например...

Какие мануалы тогда почитать в первую очередь (в какой ветке форума)?

Будьте снисходительны плиз если Вы считаете что я опять не в это ветке спросил...

Думаю Ваш ответ будет полезен многим посетителям и этой ветки форума (надеюсь!)!

[Saule]

Выходит из Ваших слов что HijackThis по большому счету видит не все -

скрытые папки и файлы например нет - так получается?

Да, HijackThis всего видеть не может. И даже больше - его основные возможности сводятся только к тому, что он может показывать обычные изменения в настройках наиболее уязвимых областей операционной системы. И при этом ему абсолютно не важно, какая конкретно программа эти изменения сделала - "нормальное" приложение пользователя или действительно вирус. Тем более ни о каких скрытых папках и файлах там и речи быть даже не может, т.к. у HijackThis совсем другие задачи.

На основе выданной им информации, как правило, можно сделать определенные выводы относительно общего состояния Windows + выявить большую часть активных на тот момент вредоносных программ. Ведь для того, чтобы программа начала выполняться, она должна запуститься (в противном случае толку для неё нет никакого, пусть она даже и "нашла себе скрытую папку"). К тому же HijackThis очень удобно использовать в ситуациях, когда человеку нужна помощь именно такого характера (через форум, когда нет возможности вдаваться в детали происходящего на компьютере, но без деталей - зачастую рекомендаций не дать).

Тем не менее здесь есть несколько НО, наиболее значимые из которых:

1. во-первых, HijackThis 1.99.1 был выпущен еще в феврале 2005 года (в Trend Micro HijackThis 2 кардинальных изменений также, к сожалению, не внесли). И было бы очень наивно полагать, что за это время методы автозапуска вирусов никак не изменялись.

2. во-вторых, от HijackThis довольно просто маскироваться (например, можно запускаться и под видом абсолютно "нормальной" программы, на которую никто, кроме, самого пользователя внимания в логе никогда не обратит - т.к. посторонний человек не может знать о том, что вы, к примеру, никогда не устанавливали ICQ5; либо программа может умышленно занести себя в список исключений HijackThis: Config... > Ignorelist и т.п.).

3. в-третьих, вирусы, которые живут исключительно благодаря заражению исполняемых файлов системы, с помощью HijackThis также вполне могут не детектироваться (если первый запуск был сделан из такого же зараженного exe-файла, без создания каких-то опреденных ключей).

Соответственно важно также знать следующее:

1. время от времени (т.е. по мере необходимости) обязательно нужно использовать программы для детектирования руткитов (кратко о руткитах), так как в последнее время они всё чаще и чаще встречаются на компьютерах обычных пользователей.

   Здесь можно использовать AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню: Файл > Исследование системы. В результате вы получите протокол, который по своим данным будет значительно превосходить лог HijackThis).

2. не стесняйтесь обращать внимание, спрашивать или уточнять, если какие-то строки в логе вас по каким-то причинам смущают или кажутся подозрительными.

   Плюс чем подробнее вы расскажете о проблеме, тем больше шансов будет от этой проблемы избавиться.

3. перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.

   Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan; анти-троян: Ewido anti-spyware.

По поводу остального ("иного софта") - ничего конкретного сказать не могу, так как либо вам нужно задавать вопросы более конкретно, либо мне придется отвечать слишком расплывчато.

[torch777]

Saule: Отличный ответ... + Не один антивирус не может дать 100% гарантию того, что он найдет и удалит вирус из системы, лично на себе проверял=)

Так же может возникнуть вопрос, а зачем вообще тогда лог HijackThis, если можно сделать исследование системы AVZ? Ответ прост, некоторые вирусы оставляют за собой мусор, иногда безобидный, а иногда нет. Например вирус оставил себя в строке автозагрузки и (или) в каком-нибудь контекстном меню.

[Speed]

сегодня сканировал систему , и нашёл вот такое

C:\VundoFix Backups\aciarhrc.dll.bad - a variant of Win32/BHO.G trojan

чё ж такое , одной прого удаляю гадость , ею же себе новую и приношу ... :(

у вас прочитал про этот вундофикс ..чё они там с этой прожкой мутят ... скажите !

логг

Logfile of HijackThis v1.99.1

Scan saved at 21:31:08, on 03.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS1\System32\smss.exe

C:\WINDOWS1\system32\winlogon.exe

C:\WINDOWS1\system32\services.exe

C:\WINDOWS1\system32\lsass.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\Ati2evxx.exe

C:\WINDOWS1\Explorer.EXE

C:\WINDOWS1\system32\spoolsv.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS1\system32\ctfmon.exe

C:\Program Files\KillSoft\KillWatcher\kwatch.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS1\system32\HPZipm12.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\system32\wuauclt.exe

C:\WINDOWS1\system32\WISPTIS.EXE

C:\Program Files\Eset\nod32.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\1.Adam.ADAM\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.videoediting.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe

O4 - HKCU\..\Run: [KillWatcher] C:\Program Files\KillSoft\KillWatcher\kwatch.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{312709CB-2E86-40D6-8AA0-822546FE9547}: NameServer = 192.168.0.1 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C94771-C042-4094-BF4E-54AEAB67E5D1}: NameServer = 195.5.11.210,195.5.6.10

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS1\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS1\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS1\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS1\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS1\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS1\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS1\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS1\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS1\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS1\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS1\system32\wbem\wmiapsrv.exe

[Saule]

сегодня сканировал систему , и нашёл вот такое

C:\VundoFix Backups\aciarhrc.dll.bad - a variant of Win32/BHO.G trojan

чё ж такое , одной прого удаляю гадость , ею же себе новую и приношу ... :(

у вас прочитал про этот вундофикс ..чё они там с этой прожкой мутят ... скажите !

Backups - папка, в которую автоматически сохраняются любые удаленные программой файлы (в данном случае речь идет о программе - VundoFix).

Это необходимо для того, чтобы кто-нибудь вот также не сказал - ...а с какой стати эта прожка удалила из моей системы dll-ки..?

Другими словами, это стандартный механизм в подобных ситуациях (резервная копия на тот случай, если пользователь по каким-либо причинам захочет восстановить удаленное). Если вы что-то пробовали удалять с помощью HijackThis, то обратите внимание - в его папке тоже будет автоматически создана новая директория backups.

Просто удалите папку VundoFix Backups со всем её содержимым + программой должен был создаться лог, также в корне системного диска:

C:\VundoFix.txt

Его тоже удалите.

И в любом случае вредоносный файл опасным для вас не был, так как при всем его желании запуститься он не мог по той простой причине, что VundoFix изменил его расширение (с .dll на .dll.bad; bad = плохой).

[Speed]

спасибо ..глупый был вопрос учитывая папку где они лежали )

вот лог из авз

помогите ..тачка живёт , но уверненности нет ..аутпост не хочет ключи жрать , и сессия , некогда виндой заяться (

Имя файла PID Описание Copyright MD5 Информация

c:\windows1\system32\alg.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1312 Application Layer Gateway Service © Microsoft Corporation. All rights reserved. ?? 43.50 кб, rsAh,

создан: 14.04.2007 20:14:33,

изменен: 17.08.2004 16:04:38

Командная строка:

C:\WINDOWS1\System32\alg.exe

c:\windows1\explorer.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1468 Проводник © Корпорация Майкрософт. Все права защищены. ?? 1008.50 кб, rsAh,

создан: 14.04.2007 20:14:46,

изменен: 17.08.2004 16:04:48

Командная строка:

C:\WINDOWS1\Explorer.EXE

c:\program files\java\jre1.6.0_01\bin\jusched.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1624 Java Platform SE binary Copyright © 2004 ?? 81.65 кб, rsAh,

создан: 16.05.2007 20:22:46,

изменен: 14.03.2007 3:43:44

Командная строка:

"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

c:\program files\killsoft\killwatcher\kwatch.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1660 Killer{R} ?? 947.00 кб, rsAh,

создан: 23.04.2007 20:50:14,

изменен: 16.05.2004 8:45:40

Командная строка:

"C:\Program Files\KillSoft\KillWatcher\kwatch.exe"

c:\windows1\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC 732 LSA Shell (Export Version) © Microsoft Corporation. All rights reserved. ?? 13.00 кб, rsAh,

создан: 14.04.2007 20:14:52,

изменен: 17.08.2004 16:04:52

Командная строка:

C:\WINDOWS1\system32\lsass.exe

c:\program files\eset\nod32krn.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1948 NOD32 Kernel Service Copyright © 1992-2005 Eset ?? 539.13 кб, rsAh,

создан: 22.05.2007 23:52:54,

изменен: 22.05.2007 23:52:40

Командная строка:

"C:\Program Files\Eset\nod32krn.exe"

c:\program files\eset\nod32kui.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1632 NOD32 Control Center GUI Copyright © 1992-2005 Eset ?? 927.13 кб, rsAh,

создан: 22.05.2007 23:52:54,

изменен: 22.05.2007 23:52:40

Командная строка:

"C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

c:\program files\qip\qip.exe

Скрипт: Kарантин, Удалить, Удалить через BC 2892 Quiet Internet Pager ?? 3183.00 кб, rsAh,

создан: 21.04.2007 20:35:12,

изменен: 21.04.2007 20:35:12

Командная строка:

"C:\Program Files\QIP\qip.exe"

c:\windows1\system32\spoolsv.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1544 Spooler SubSystem App © Microsoft Corporation. All rights reserved. ?? 56.50 кб, rsAh,

создан: 14.04.2007 20:15:08,

изменен: 17.08.2004 16:05:08

Командная строка:

C:\WINDOWS1\system32\spoolsv.exe

c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1044 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh,

создан: 14.04.2007 20:15:08,

изменен: 17.08.2004 16:05:08

Командная строка:

C:\WINDOWS1\System32\svchost.exe -k netsvcs

c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1092 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh,

создан: 14.04.2007 20:15:08,

изменен: 17.08.2004 16:05:08

Командная строка:

C:\WINDOWS1\system32\svchost.exe -k NetworkService

c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC 1180 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh,

создан: 14.04.2007 20:15:08,

изменен: 17.08.2004 16:05:08

Командная строка:

C:\WINDOWS1\system32\svchost.exe -k LocalService

c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC 972 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 кб, rsAh,

создан: 14.04.2007 20:15:08,

изменен: 17.08.2004 16:05:08

Командная строка:

C:\WINDOWS1\system32\svchost -k rpcss

c:\program files\total commander\totalcmd.exe

Скрипт: Kарантин, Удалить, Удалить через BC 3956 Total Commander 32 bit international version, file manager replacement for Windows Copyright © 1993-2006 Christian Ghisler ?? 824.25 кб, rsAh,

создан: 26.01.2006 1:00:00,

изменен: 26.01.2006 1:00:00

Командная строка:

"C:\Program Files\Total Commander\Totalcmd.exe"

Обнаружено:29, из них опознаны как безопасные 23

Имя модуля Handle Описание Copyright MD5 Используется процессами

C:\Program Files\ASCON\KOMPAS-3D V8\Bin\kThumb.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 38076416 КОМПАС-3D Thumb DLL © ЗАО АСКОН, 1989-2005. Все права защищены. -- 1468, 3956

C:\Program Files\Eset\nod32krn.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 NOD32 Kernel Service Copyright © 1992-2005 Eset ?? 1948

C:\Program Files\Eset\nod32kui.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 NOD32 Control Center GUI Copyright © 1992-2005 Eset ?? 1632

C:\Program Files\Eset\nodshex.dll

Скрипт: Kарантин, Удалить, Удалить через BC 15532032 -- 1468

C:\Program Files\Eset\ps_amon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 542113792 NOD32 AMON - on-access scanner Copyright © 1992-2005 Eset -- 1948

C:\Program Files\Eset\ps_dmon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 567279616 NOD32 DMON - document scanning support Copyright © 1992-2005 Eset -- 1948

C:\Program Files\Eset\ps_emon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 571473920 NOD32 EMON - e-mail scanning support Copyright © 1992-2005 Eset -- 1948

C:\Program Files\Eset\ps_nod32.dll

Скрипт: Kарантин, Удалить, Удалить через BC 545259520 NOD32 - on-demand scanner Copyright © 1992-2005 Eset -- 1948

C:\Program Files\Eset\ps_upd.dll

Скрипт: Kарантин, Удалить, Удалить через BC 538968064 NOD32 Update module Copyright © 1992-2005 Eset -- 1948

C:\Program Files\Eset\pu_amon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 544210944 NOD32 AMON - on-access scanner Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Eset\pu_dmon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 568328192 NOD32 DMON - document scanning support Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Eset\pu_emon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 572522496 NOD32 EMON - e-mail scanning support Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Eset\pu_imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 550502400 NOD32 IMON - Internet scanning support Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Eset\pu_nod32.dll

Скрипт: Kарантин, Удалить, Удалить через BC 547356672 NOD32 - on-demand scanner Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Eset\pu_upd.dll

Скрипт: Kарантин, Удалить, Удалить через BC 541065216 NOD32 Update module Copyright © 1992-2005 Eset -- 1632

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Java Platform SE binary Copyright © 2004 ?? 1624

C:\Program Files\KillSoft\KillWatcher\kwatch.exe

Скрипт: Kарантин, Удалить, Удалить через BC 67108864 Killer{R} ?? 1660

C:\Program Files\QIP\qip.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Quiet Internet Pager ?? 2892

C:\Program Files\Total Commander\Totalcmd.exe

Скрипт: Kарантин, Удалить, Удалить через BC 4194304 Total Commander 32 bit international version, file manager replacement for Windows Copyright © 1993-2006 Christian Ghisler ?? 3956

C:\PROGRA~1\AIMPCL~1\System\AIMP_S~1.DLL

Скрипт: Kарантин, Удалить, Удалить через BC 34537472 AIMP ShellExt Artem Izmaylov -- 1468

C:\WINDOWS1\system32\HPTcpMUI.dll

Скрипт: Kарантин, Удалить, Удалить через BC 13959168 Standard TCP/IP Port Monitor UI DLL Copyright © Hewlett Packard Corp. 1996-2005 -- 1544

C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC 548405248 NOD32 IMON - Internet scanning support Copyright © 1992-2005 Eset -- 1312, 732, 1948, 2892, 1044, 1092, 1180, 972

Обнаружено модулей:314, из них опознаны как безопасные 292

Модули пространства ядраМодуль Базовый адрес Размер в памяти Описание Производитель

F8452000 018000 (98304)

\SystemRoot\system32\drivers\amon.sys

Скрипт: Kарантин, Удалить, Удалить через BC BAB96000 07B000 (503808) Amon monitor Copyright © 1992-2005 Eset

\SystemRoot\system32\DRIVERS\cdrblock.sys

Скрипт: Kарантин, Удалить, Удалить через BC F89DA000 003000 (12288) CD-ROM Block Filter Driver Copyright © 2005 Canopus Co., Ltd. All rights reserved.

\SystemRoot\system32\DRIVERS\cdrport.sys

Скрипт: Kарантин, Удалить, Удалить через BC F8A52000 002000 (8192) Canopus DREngine Port I/O Driver © Canopus Corporation. All rights reserved.

\SystemRoot\System32\Drivers\dump_atapi.sys

Скрипт: Kарантин, Удалить, Удалить через BC EBAE9000 018000 (98304)

\SystemRoot\System32\Drivers\dump_WMILIB.SYS

Скрипт: Kарантин, Удалить, Удалить через BC F8A54000 002000 (8192)

\??\C:\WINDOWS1\system32\drivers\EIO.sys

Скрипт: Kарантин, Удалить, Удалить через BC F8A8A000 002000 (8192) ASUS Kernel Mode Driver for NT Copyright 2004 ASUSTeK Computer Inc.

\??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Скрипт: Kарантин, Удалить, Удалить через BC EBDAB000 02D000 (184320)

\SystemRoot\system32\drivers\nod32drv.sys

Скрипт: Kарантин, Удалить, Удалить через BC F8A50000 002000 (8192)

\??\C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Скрипт: Kарантин, Удалить, Удалить через BC EBC51000 04F000 (323584)

\SystemRoot\system32\DRIVERS\vusbbus.sys

Скрипт: Kарантин, Удалить, Удалить через BC F8A0E000 003000 (12288) Virtual USB bus driver Copyright ©2004 By Chingachguk & Denger2k

Обнаружено модулей - 137, опознано как безопасные - 126

СлужбыСлужба Описание Статус Файл Группа Зависимости

NOD32krn NOD32 Kernel Service Работает "C:\Program Files\Eset\nod32krn.exe"

Скрипт: Kарантин, Удалить, Удалить через BC

Обнаружено - 44, опознано как безопасные - 43

ДрайверыСлужба Описание Статус Файл Группа Зависимости

AMON AMON Работает \SystemRoot\system32\drivers\amon.sys

Скрипт: Kарантин, Удалить, Удалить через BC

cdrblock cdrblock Работает system32\DRIVERS\cdrblock.sys

Скрипт: Kарантин, Удалить, Удалить через BC

cdrport cdrport Работает system32\DRIVERS\cdrport.sys

Скрипт: Kарантин, Удалить, Удалить через BC

EIO EIO Работает \??\C:\WINDOWS1\system32\drivers\EIO.sys

Скрипт: Kарантин, Удалить, Удалить через BC

nod32drv nod32drv Работает \SystemRoot\system32\drivers\nod32drv.sys

Скрипт: Kарантин, Удалить, Удалить через BC

SandBox Outpost Firewall Sandbox Driver Работает \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Скрипт: Kарантин, Удалить, Удалить через BC

VFILT Outpost Firewall Kernel Driver Работает VFILT.sys

Скрипт: Kарантин, Удалить, Удалить через BC

vusbbus Virtual Usb Bus Enumerator Работает system32\DRIVERS\vusbbus.sys

Скрипт: Kарантин, Удалить, Удалить через BC Extended Base

Обнаружено - 105, опознано как безопасные - 97

АвтозапускИмя файла Статус Метод запуска Описание

C:\DOCUME~1\1ADAM~1.ADA\LOCALS~1\Temp\_uninstop.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, outpost_uninst

C:\Program Files\Eset\nod32kui.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, nod32kui

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, SunJavaUpdateSched

C:\Program Files\KillSoft\KillWatcher\kwatch.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, KillWatcher

Обнаружено элементов автозапуска - 54, опознано как безопасные - 50

Модули расширения Internet Explorer (BHO, панели ...)Имя файла Тип Описание Производитель CLSID

Обнаружено элементов - 5, опознано как безопасные - 5

Модули расширения проводникаИмя файла Назначение Описание Производитель CLSID

deskpan.dll

Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея {42071714-76d4-11d1-8b24-00a0c9068ff3}

Расширения оболочки для сжатия файлов {764BF0E1-F219-11ce-972D-00AA00A14F56}

Контекстное меню шифрования {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}

Панель задач и меню ''Пуск'' {0DF44EAA-FF21-4412-828E-260A8728E7F1}

rundll32.exe C:\WINDOWS1\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}

Учетные записи пользователей {7A9D77BD-5403-11d2-8785-2E0420524153}

C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll

Скрипт: Kарантин, Удалить, Удалить через BC AlcoholShellEx AXShlEx.dll Copyright© 2002-2005 Alcohol Soft Development Team {32020A01-506E-484D-A2A8-BE3CF17601C3}

C:\Program Files\Eset\nodshex.dll

Скрипт: Kарантин, Удалить, Удалить через BC NOD32 Context Menu Shell Extension {B089FE88-FB52-11D3-BDF1-0050DA34150D}

Обнаружено элементов - 175, опознано как безопасные - 167

Модули расширения системы печати (мониторы печати, провайдеры)Имя файла Тип Наименование Описание Производитель

Обнаружено элементов - 10, опознано как безопасные - 10

Задания планировщика задач Task SchedulerИмя файла Имя задания Состояние задания Описание Производитель

Обнаружено элементов - 0, опознано как безопасные - 0

Настройки SPI/LSP

Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID

Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание

NOD32 protected [MSAFD Tcpip [TCP/IP]] C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

NOD32 protected [MSAFD Tcpip [uDP/IP]] C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

NOD32 protected [MSAFD Tcpip [RAW/IP]] C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

NOD32 protected [RSVP UDP Service Provider] C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

NOD32 protected [RSVP TCP Service Provider] C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

NOD32 C:\WINDOWS1\system32\imon.dll

Скрипт: Kарантин, Удалить, Удалить через BC Copyright © 1992-2005 Eset (2, 70, 23 )

Обнаружено - 25, опознано как безопасные - 19

Результаты автоматического анализа настроек SPI

Настройки LSP проверены. Ошибок не обнаружено

Порты TCP/UDPПорт Статус Remote Host Remote Port Приложение Примечания

Порты TCP

135 LISTENING 0.0.0.0 59543 [972] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

139 LISTENING 0.0.0.0 20610 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

139 TIME_WAIT 192.168.1.116 2179 [0]

445 LISTENING 0.0.0.0 38974 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

1027 LISTENING 0.0.0.0 51268 [1312] c:\windows1\system32\alg.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1723 LISTENING 0.0.0.0 43153 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

2820 ESTABLISHED 192.168.0.1 1723 [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

2907 ESTABLISHED 192.168.0.1 3128 [2892] c:\program files\qip\qip.exe

Скрипт: Kарантин, Удалить, Удалить через BC

3014 ESTABLISHED 192.168.0.1 3128 [2892] c:\program files\qip\qip.exe

Скрипт: Kарантин, Удалить, Удалить через BC

11657 LISTENING 0.0.0.0 63703 [2892] c:\program files\qip\qip.exe

Скрипт: Kарантин, Удалить, Удалить через BC

Порты UDP

123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

123 LISTENING -- -- [1044] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

137 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

138 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

445 LISTENING -- -- [4] System

Скрипт: Kарантин, Удалить, Удалить через BC

500 LISTENING -- -- [732] c:\windows1\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1032 LISTENING -- -- [1092] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1283 LISTENING -- -- [1092] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

1900 LISTENING -- -- [1180] c:\windows1\system32\svchost.exe

Скрипт: Kарантин, Удалить, Удалить через BC

4500 LISTENING -- -- [732] c:\windows1\system32\lsass.exe

Скрипт: Kарантин, Удалить, Удалить через BC

Downloaded Program Files (DPF)Имя файла Описание Производитель CLSID URL загрузки

Обнаружено элементов - 3, опознано как безопасные - 3

Апплеты панели управления (CPL)Имя файла Описание Производитель

Обнаружено элементов - 25, опознано как безопасные - 25

Active SetupИмя файла Описание Производитель CLSID

Обнаружено элементов - 10, опознано как безопасные - 10

Файл HOSTSЗапись файла Hosts

127.0.0.1 localhost

Протоколы и обработчикиИмя файла Тип Описание Производитель CLSID

Обнаружено элементов - 27, опознано как безопасные - 27

Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 03.06.2007 21:56:56

Загружена база: 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.04.2007 15:26

Загружены микропрограммы эвристики: 369

Загружены цифровые подписи системных файлов: 58493

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]

Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]

Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]

Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]

Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]

Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]

Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]

Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]

Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]

Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]

Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]

Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]

Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]

Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]

Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]

Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]

Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]

Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]

Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]

Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]

Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]

Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]

Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]

Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]

Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]

Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]

Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]

Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]

Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]

Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]

Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]

Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]

Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]

Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]

Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]

Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]

Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]

Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]

Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]

Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]

Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->EBC660B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtClose (19) перехвачена (805675D9->EBC55DD0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateFile (25) перехвачена (8057164C->EBC53460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateKey (29) перехвачена (8056F063->EBC5BBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EFB00), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys

Функция NtCreateProcess (2F) перехвачена (805B3543->EBC638D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateProcessEx (30) перехвачена (805885D3->EBC63FA0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSection (32) перехвачена (80564B1B->EBC52720), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->EBC5B980), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtCreateThread (35) перехвачена (8057F262->EBDBE070), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Функция NtDeleteFile (3E) перехвачена (805D8CF7->EBC5A940), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteKey (3F) перехвачена (8059D6BD->EBC5CE10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtDeleteValueKey (41) перехвачена (80597430->EBC61880), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtEnumerateKey (47) перехвачена (8056F76A->F84F0388), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys

Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FBBF0), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys

Функция NtLoadDriver (61) перехвачена (805A6B26->EBC62310), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->EBC5B210), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenFile (74) перехвачена (805715E7->EBC54D10), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenKey (77) перехвачена (805684D5->EBC5C7F0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenProcess (7A) перехвачена (8057459E->EBC64680), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtOpenSection (7D) перехвачена (805766CC->EBC52E20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtProtectVirtualMemory (89) перехвачена (8057494D->EBC66F50), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->EBC562E0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryKey (A0) перехвачена (8056F473->EBC5D860), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtQueryValueKey (B1) перехвачена (8056B9A8->EBC5DFB0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtReplaceKey (C1) перехвачена (8064D892->EBC5F280), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtRestoreKey (CC) перехвачена (8064C3B0->EBC61140), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKey (CF) перехвачена (8064C457->EBC602D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->EBC60A00), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetInformationFile (E0) перехвачена (80579E7E->EBC57490), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FB390), перехватчик C:\WINDOWS1\system32\Drivers\a347bus.sys

Функция NtSetValueKey (F7) перехвачена (80575527->EBC5E730), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtTerminateProcess (101) перехвачена (8058AE1E->EBDBEA20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS

Функция NtTerminateThread (102) перехвачена (8057E97C->EBC658B0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtUnloadDriver (106) перехвачена (80618B6E->EBC62A20), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Функция NtWriteVirtualMemory (115) перехвачена (8057C123->EBC667D0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS

Проверено функций: 284, перехвачено: 36, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [bAFB316D] C:\WINDOWS1\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [bAFB2FC2] C:\WINDOWS1\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 30

Количество загруженных модулей: 294

Проверка памяти завершена

3. Сканирование дисков

D:\универ\I cemecстр\рефы\Религия\религ\mirovye_religii_1.zip Invalid file - not a PKZip file

D:\универ\I cemecстр\рефы\Религия\религ\vladimir.zip Invalid file - not a PKZip file

D:\универ\Психология\реферат\kursovik_psixolo.zip Invalid file - not a PKZip file

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 201954, извлечено из архивов: 170513, найдено вредоносных программ 0

Сканирование завершено в 03.06.2007 22:14:05

Сканирование длилось 00:17:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

[Bernadotte]

отчистил комп от вирусов и теперь при двойном щелчке на локальные диски появляется надпись

44.bmp

44.bmp

[ser208]

http://forum.oszone.net/attachment.php?attachmentid=4685

Попробуй это.

Если не поможет, то по тексту (файл прикреплен).

autoran.txt

autoran.txt

Изменено 5 июня, 2007 пользователем ser208