|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » проведите пожалуйста анализ на вирус |
|
|
проведите пожалуйста анализ на вирус
|
Новый участник Сообщения: 2 |
Профиль | Отправить PM | Цитировать Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:51:43, on 08.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Documents and Settings\LocalService\Application Data\691447002.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Winamp Remote\bin\OrbTray.exe C:\WINDOWS\System32\avast!Antivirus.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\UPHClean\uphclean.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\TEMP\718B.tmp C:\WINDOWS\TEMP\718B.tmp C:\Program Files\Trend Micro\HijackThis\HijackThis.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.mail.ru R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing) R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing) O2 - BHO: Chrome copyright - {aff01325-0fc2-4749-8914-fbf0565ad9cc} - jbnmcd.dll (file missing) O2 - BHO: FieryAds advertising module v1.5.0 - {cf272101-7f6e-4cf2-9453-b4c5d2fc32c0} - C:\PROGRA~1\FieryAds\FieryAds.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file) O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [Malware Doctor] C:\Documents and Settings\LocalService\Application Data\691447002.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [Malware Doctor] C:\Documents and Settings\LocalService\Application Data\691447002.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Konfabulator.lnk = C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe O4 - Global Startup: BTTray.lnk = ? O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0ECD0610-A690-476B-8963-0AD39FB5DAF5}: NameServer = 212.1.224.34,212.1.230.111 O17 - HKLM\System\CCS\Services\Tcpip\..\{55FCCB86-993E-4DA0-9247-BC09DA634B1B}: NameServer = 212.1.224.34 212.1.230.111 O17 - HKLM\System\CS1\Services\Tcpip\..\{0ECD0610-A690-476B-8963-0AD39FB5DAF5}: NameServer = 212.1.224.34,212.1.230.111 O17 - HKLM\System\CS2\Services\Tcpip\..\{0ECD0610-A690-476B-8963-0AD39FB5DAF5}: NameServer = 212.1.224.34,212.1.230.111 O17 - HKLM\System\CS3\Services\Tcpip\..\{0ECD0610-A690-476B-8963-0AD39FB5DAF5}: NameServer = 212.1.224.34,212.1.230.111 O18 - Protocol: outline3d - {D0F6E6CD-666D-4578-87A5-26A015436CA2} - C:\Program Files\Common Files\ParallelGraphics\Outline3D\Outline3dProtocol.dll O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll O23 - Service: Apple Mobile Device (apple mobile device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast!antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Bonjour Service (bonjour service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Eset HTTP Server (ehttpsrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Сервис iPod (ipod service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 11266 bytes |
|
Отправлено: 03:03, 08-06-2009 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать Сделайте логи AVZ по правилам.
|
------- Отправлено: 09:56, 08-06-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать я всё сделала, ничего не получается
|
Отправлено: 10:38, 08-06-2009 | #3 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать olusik, где файлы "virusinfo_syscheck.zip" и "virusinfo_syscure.zip"?
А вирусы у Вас есть, я вижу по логу... Как только выложите полные логи, я дам Вам советы по лечению компьютера. Если у Вас не получается сделать логи, объясните, что именно у Вас не получается. http://forum.oszone.net/post-717373-2.html |
Последний раз редактировалось Котяра, 08-06-2009 в 11:47. Отправлено: 11:33, 08-06-2009 | #4 |
Модератор Сообщения: 16826
|
Профиль | Сайт | Отправить PM | Цитировать Цитата olusik:
|
||
------- Отправлено: 20:18, 08-06-2009 | #5 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать okshef, и не только он, еще там вижу явно строчки...
|
Отправлено: 20:26, 08-06-2009 | #6 |
Модератор Сообщения: 16826
|
Профиль | Сайт | Отправить PM | Цитировать Хотел в личку - ящик забит. Да я их тоже вижу, но не стал писать. Пофиксить можно, конечно, это решит часть проблем, во всяком случае исключим 1-2-3 из автозапуска, а там еще "размножились" - "12345yejdgset.exe,pif,ini,bat", и что толку?
|
------- Отправлено: 20:47, 08-06-2009 | #7 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Котяра, okshef, Может написать скрипт по логу HJT?
|
------- Отправлено: 21:00, 08-06-2009 | #8 |
Модератор Сообщения: 16826
|
Профиль | Сайт | Отправить PM | Цитировать olusik, отключите антивирус/файервол.
Запустите AVZ, меню "Файл" - "Выполнить скрипт" - Скопировать ниже написанный скрипт - Нажать кнопку "Запустить". Как выполнить скрипт AVZ. begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\Documents and Settings\LocalService\Application Data\691447002.exe'); TerminateProcessByName('C:\WINDOWS\System32\avast!Antivirus.exe'); TerminateProcessByName('C:\WINDOWS\TEMP\718B.tmp'); TerminateProcessByName('sndcfg16.exe'); SetServiceStart('sndcfg16.exe', 4); StopService('sndcfg16.exe'); SetServiceStart('C:\WINDOWS\System32\avast!Antivirus.exe', 4); StopService('C:\WINDOWS\System32\avast!Antivirus.exe'); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe',''); QuarantineFile('C:\WINDOWS\System32\avast!Antivirus.exe',''); QuarantineFile('C:\WINDOWS\TEMP\718B.tmp',''); QuarantineFile('sndcfg16.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL',''); QuarantineFile('jbnmcd.dll',''); QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll',''); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL',''); QuarantineFile('C:\WINDOWS\SYSTEM32\crypts.dll',''); DeleteFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe'); DeleteFile('C:\WINDOWS\System32\avast!Antivirus.exe'); DeleteFile('C:\WINDOWS\TEMP\718B.tmp'); DeleteFile('sndcfg16.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('jbnmcd.dll'); DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\WINDOWS\SYSTEM32\crypts.dll'); DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}'); DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}'); DelBHO('{cf272101-7f6e-4cf2-9453-b4c5d2fc32c0}'); DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DelCLSID('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}'); DeleteService('sndcfg16.exe'); DeleteService('C:\WINDOWS\System32\avast!Antivirus.exe'); DelWinlogonNotifyByFileName('C:\WINDOWS\SYSTEM32\crypts.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('C:\WINDOWS\System32\avast!Antivirus.exe'); BC_Activate; ExecuteRepair(6); ExecuteRepair(7); ExecuteRepair(8); ExecuteRepair(17); RebootWindows(true); end. После перезагрузки выполните еще один скрипт: quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com Полученный ответ сообщите здесь. После выполнения скриптов обновите базы АВЗ - меню "Файл"-"Обновление баз" и сделайте новые логи по правилам с обновленными базами. |
------- Последний раз редактировалось okshef, 09-06-2009 в 00:27. Причина: дополнил скрипт; thyrex, thanks! Отправлено: 22:50, 08-06-2009 | #9 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать + фикс (если останутся):
O2 - BHO: Chrome copyright - {aff01325-0fc2-4749-8914-fbf0565ad9cc} - jbnmcd.dll (file missing) O2 - BHO: FieryAds advertising module v1.5.0 - {cf272101-7f6e-4cf2-9453-b4c5d2fc32c0} - C:\PROGRA~1\FieryAds\FieryAds.dll O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - HKCU\..\Run: [Malware Doctor] C:\Documents and Settings\LocalService\Application Data\691447002.exe O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll |
Отправлено: 23:10, 08-06-2009 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Интерфейс - убрать пользователя со страницы приветствия "проведите пальцем, чтобы войти..." | benbor | Microsoft Windows 7 | 0 | 09-12-2009 19:38 | |
Достал этот вирус..помогите пожалуйста. | delara | Лечение систем от вредоносных программ | 1 | 01-08-2009 09:07 | |
[решено] Какая разница между "Сигнатурный анализ" и "Эвристический анализ"? | verdix | Хочу все знать | 3 | 10-11-2008 23:50 | |
Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? | Dionin | Защита компьютерных систем | 5 | 30-03-2005 08:27 | |
Анализ SQUID | TauRus | Общий по FreeBSD | 6 | 10-07-2003 01:02 |
|