Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » поселился вирус TR/crypt.NSPM.Gen. Сделал Лог - файлы, что с ними делать дальше??

Ответить
Настройки темы
поселился вирус TR/crypt.NSPM.Gen. Сделал Лог - файлы, что с ними делать дальше??

Новый участник


Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip hijackthis.zip
(2.2 Kb, 1 просмотров)
Extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6

CPU 0: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 1: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Percentage of Memory in Use: 18%
Physical Memory (total/avail): 2047.04 MiB / 1659.06 MiB
Pagefile Memory (total/avail): 3939.58 MiB / 3647.19 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1942.38 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 0.01 GiB total, 0 GiB free.
D: is Fixed (NTFS) - 149.04 GiB total, 1.74 GiB free.
F: is Removable (FAT)
G: is Removable (No Media)
H: is CDROM (UDF)

\\.\PHYSICALDRIVE0 - ST3160021A - 149.05 GiB - 2 partitions
\PARTITION0 (bootable) - Устанавливаемая файловая система - 7.81 MiB - C:
\PARTITION1 - Расшир. Win95/98 c расшир. IRQ13 - 149.04 GiB - D:

\\.\PHYSICALDRIVE1 - USB2.0 KINGSTON SD0 USB Device - 980.53 MiB - 1 partition
\PARTITION0 - 16-битный FAT - 983.94 MiB - F:

\\.\PHYSICALDRIVE2 - USB2.0 KINGSTON SD1 USB Device



-- Security Center -------------------------------------------------------------

AUOptions is set to notify before download.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
FirewallDisableNotify is set.
UpdatesDisableNotify is set.

AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) Disabled Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Authoriz edApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Games\\Codemasters\\GRID\\GRID.exe"="D:\\Games\\Codemasters\\GRID\\GRID.exe:*:Enabled:GRID"
"D:\\Games\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="D:\\Games\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=D:\Documents and Settings\All Users.WINDOWS
APPDATA=D:\Documents and Settings\SaneK.SANEK-E14FE9204\Application Data
CLIENTNAME=Console
CommonProgramFiles=D:\Program Files\Common Files
COMPUTERNAME=SANEK-E14FE9204
ComSpec=D:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=D:
HOMEPATH=\Documents and Settings\SaneK.SANEK-E14FE9204
LOGONSERVER=\\SANEK-E14FE9204
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=D:\WINDOWS\system32;D:\WINDOWS;D:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 11, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f0b
ProgramFiles=D:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=D:
SystemRoot=D:\WINDOWS
TEMP=D:\DOCUME~1\SANEK~1.SAN\LOCALS~1\Temp
TMP=D:\DOCUME~1\SANEK~1.SAN\LOCALS~1\Temp
USERDOMAIN=SANEK-E14FE9204
USERNAME=SaneK
USERPROFILE=D:\Documents and Settings\SaneK.SANEK-E14FE9204
windir=D:\WINDOWS


-- User Profiles ---------------------------------------------------------------

SaneK.SANEK-E14FE9204 (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> D:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
--> D:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> D:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> D:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> D:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> D:\WINDOWS\UNRecode.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
ДубльГИС Иркутск --> "D:\Program Files\2gis\Irkutsk\unins000.exe"
Архиватор WinRAR (только удаление) --> D:\Program Files\WinRAR\uninstall.exe
Алиен шутер. Начало вторжения --> D:\games\Alawar.ru\Алиен шутер. Начало вторжения\uninstal.exe
Веселая ферма --> D:\games\ferma\Alawar.ru\Веселая ферма\uninstal.exe
Веселая ферма 2 --> D:\games\Alawar.ru\Веселая ферма 2\Uninstall.exe
Снежок. Обеденный переполох --> D:\games\Alawar.ru\Снежок. Обеденный переполох\uninstal.exe
Башенки --> D:\Games\Мини-игры\Alawar.ru\Башенки\Uninstall.exe
Рататуй --> D:\WINDOWS\IsUninstR.Exe -fD:\games\THQ\DISNEY~1\RATATO~1\DeIsL1.isu -cD:\games\THQ\DISNEY~1\RATATO~1\RATZ_R~1.DLL
Построй-ка --> D:\games\Alawar.ru\Построй-ка\Uninstall.exe
Adobe Flash Player ActiveX --> D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A80000000002}
Attansic Ethernet Utility --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe" -l0x9 -removeonly
Attansic L1 Gigabit Ethernet Driver --> rundll32.exe D:\WINDOWS\system32\Attansic\L1\atcInst.dll,AtcUninst D:\WINDOWS\system32\Attansic\L1 x86 1969 1048 L1
Avira AntiVir Personal – Free Antivirus --> D:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CA AllFusion Process Modeler --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{E7EE469C-E6C6-4762-92ED-90E8406A66EB}\Setup.exe"
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch --> D:\Program Files\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Fraps --> "D:\program files\Fraps\uninstall.exe"
FTPRush 1.0.0.617 Unicode --> "D:\Program Files\FTPRush\unins000.exe"
GRID --> "D:\Program Files\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x0009 -removeonly
High Definition Audio Driver Package - KB888111 --> "D:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2 --> "D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Java(TM) 6 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
K-Lite Codec Pack 3.8.4 Full RC1 --> "D:\Program Files\K-Lite Codec Pack\unins000.exe"
Mail.Ru Агент 5.1 (сборка 2198, для всех пользователей) --> D:\Program Files\Mail.Ru\Agent\magentsetup.exe -uninstalllm
Majestic Lighthouse Screensaver 1.3 --> "D:\Program Files\Majestic Lighthouse Screensaver\unins000.exe"
Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Office Visio Professional 2003 --> MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MuxaSoft Dialer 4 Final --> "D:\Program Files\MuxaSoft Dialer 4.0\unins000.exe"
Nero 7 Ultra Edition --> MsiExec.exe /I{38E0C491-5230-4373-B62E-F1A6E94B1049}
NVIDIA Drivers --> D:\WINDOWS\system32\nvuninst.exe UninstallGUI
OpenAL --> "D:\Program Files\OpenAL\OalinstGridRelease.exe" /U
QIP 2005 Uninstall --> "D:\Program Files\QIP\unqip.exe"
Realtek High Definition Audio Driver --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x19 -removeonly
Winamp (remove only) --> "D:\Program Files\Winamp\UninstWA.exe"


-- Application Event Log -------------------------------------------------------

Event Record #/Type2572 / Error
Event Submitted/Written: 07/26/2008 01:47:15 PM
Event ID/Source: 8 / crypt32
Event Description:
Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Сетевое подключение не существует.

Event Record #/Type2571 / Error
Event Submitted/Written: 07/26/2008 01:47:15 PM
Event ID/Source: 8 / crypt32
Event Description:
Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type2568 / Warning
Event Submitted/Written: 07/26/2008 01:40:25 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Crypt.XPACK.GenD:\Documents and Settings\SaneK.SANEK-E14FE9204\Local Settings\Temporary Internet Files\Content.IE5\R4O9ROLS\nadz[1].exe

Event Record #/Type2567 / Warning
Event Submitted/Written: 07/26/2008 01:40:21 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Crypt.NSPM.GenC:\program.exe

Event Record #/Type2566 / Warning
Event Submitted/Written: 07/26/2008 01:40:16 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Crypt.NSPM.GenD:\Documents and Settings\SaneK.SANEK-E14FE9204\Local Settings\Temporary Internet Files\Content.IE5\IZ6RQXUJ\x3[2].exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type9681 / Error
Event Submitted/Written: 07/26/2008 01:36:41 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Служба "Службы IPSEC" завершена из-за ошибки
%%2

Event Record #/Type9665 / Warning
Event Submitted/Written: 07/26/2008 10:48:36 AM
Event ID/Source: 11050 / dnscache
Event Description:
Службе DNS-клиента не удалось связаться ни с одним DNS-сервером за несколько
выполненных попыток. В течение следующих 30 секунд служба DNS-клиента
не будет использовать сеть, чтобы предотвратить перегрузку сети.
Она возобновит свое обычное поведение после истечения этого срока.
Если проблема сохранится, проверьте параметры настройки TCP/IP,
в особенности, проверьте настройку основного (и, возможно,
альтернативного) DNS-сервера. Если проблема сохранится, проверьте
состояние сети и наличие связи с этими DNS-серверами или обратитесь
к сетевому администратору.

Event Record #/Type9648 / Error
Event Submitted/Written: 07/26/2008 10:44:09 AM
Event ID/Source: 1 / sr
Event Description:
Произошла неожиданная ошибка фильтра восстановления системы '0xC000007F' при обработке файла 'Desktop.ini' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе.

Event Record #/Type9645 / Warning
Event Submitted/Written: 07/26/2008 10:18:52 AM
Event ID/Source: 11050 / dnscache
Event Description:
Службе DNS-клиента не удалось связаться ни с одним DNS-сервером за несколько
выполненных попыток. В течение следующих 30 секунд служба DNS-клиента
не будет использовать сеть, чтобы предотвратить перегрузку сети.
Она возобновит свое обычное поведение после истечения этого срока.
Если проблема сохранится, проверьте параметры настройки TCP/IP,
в особенности, проверьте настройку основного (и, возможно,
альтернативного) DNS-сервера. Если проблема сохранится, проверьте
состояние сети и наличие связи с этими DNS-серверами или обратитесь
к сетевому администратору.

Event Record #/Type9630 / Error
Event Submitted/Written: 07/26/2008 10:14:25 AM
Event ID/Source: 1 / sr
Event Description:
Произошла неожиданная ошибка фильтра восстановления системы '0xC000007F' при обработке файла 'Desktop.ini' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе.



-- End of Deckard's System Scanner: finished at 2008-07-26 13:47:23 ------------



main.txt
Deckard's System Scanner v20071014.68
Run by SaneK on 2008-07-26 13:46:34
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 1 Restore Point(s) --
1: 2008-07-26 04:46:38 UTC - RP250 - Deckard's System Scanner Restore Point


Backed up registry hives.
Performed disk cleanup.

System Drive D: has 1.74 GiB (less than 15%) free.


-- HijackThis (run as SaneK.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:02, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\SaneK.SANEK-E14FE9204\Рабочий стол\Лечение о вируса\dss.exe
D:\PROGRA~1\TRENDM~1\HIJACK~1\SaneK.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KillCopy] D:\Program Files\KillSoft\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\document.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - D:\WINDOWS\LogWatNT.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6082 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

All drivers whitelisted.


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Scheduler) - "d:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

S2 LogWatch (Event Log Watch) - d:\windows\logwatnt.exe
S3 NBService - d:\program files\nero\nero 7\nero backitup\nbservice.exe


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-06-26 and 2008-07-26 -----------------------------

2008-07-26 13:42:54 0 d-------- D:\Program Files\Trend Micro
2008-07-26 12:40:43 0 drahs---- D:\autorun.inf
2008-07-26 10:48:10 0 d-------- D:\Program Files\2gis
2008-07-08 19:43:55 0 dr------- D:\Documents and Settings\LocalService.NT AUTHORITY\Мои документы
2008-07-08 19:43:18 0 d-------- D:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Adobe
2008-07-05 22:42:12 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\ВеселаяФерма2
2008-07-03 23:57:23 0 d-------- D:\Program Files\Avira
2008-07-03 23:57:23 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-06-26 20:36:13 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\HipSoft


-- Find3M Report ---------------------------------------------------------------

2008-07-05 22:29:41 0 d-------- D:\Program Files\Alawar.ru
2008-07-02 10:14:11 0 d-------- D:\Program Files\QIP
2008-06-25 20:49:56 21907 --a------ D:\WINDOWS\system32\wincab.sys
2008-06-22 23:51:57 0 d-------- D:\Documents and Settings\SaneK.SANEK-E14FE9204\Application Data\Help
2008-06-14 21:06:56 402432 --a------ D:\WINDOWS\system32\killcopy.exe <Not Verified; Killer{R}; KillCopy>
2008-06-14 21:06:56 20992 --a------ D:\WINDOWS\system32\kc.exe
2008-06-14 21:06:56 0 d-------- D:\Program Files\KillSoft
2008-06-08 21:19:41 0 d--h----- D:\Program Files\InstallShield Installation Information
2008-06-07 13:42:21 0 d-------- D:\Program Files\OpenAL
2008-06-03 23:29:31 0 d-------- D:\Program Files\CA
2008-06-03 23:29:16 0 d-------- D:\Program Files\Common Files\InstallShield
2008-05-13 00:27:10 664 --a------ D:\WINDOWS\system32\d3d9caps.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [30.01.2008 17:12]
"nwiz"="nwiz.exe" [30.01.2008 17:12 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [30.01.2008 17:12]
"NeroFilterCheck"="D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [12.01.2006 21:40]
"MAgent"="D:\Program Files\Mail.Ru\Agent\MAgent.exe" [07.05.2008 10:27]
"RTHDCPL"="RTHDCPL.EXE" [07.05.2008 21:39 D:\WINDOWS\RTHDCPL.exe]
"Alcmtr"="ALCMTR.EXE" [04.05.2005 00:43 D:\WINDOWS\Alcmtr.exe]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [25.03.2008 04:28]
"KernelFaultCheck"="D:\WINDOWS\system32\dumprep 0 -k" []
"KillCopy"="D:\Program Files\KillSoft\KillCopy\kcresume.exe" [14.06.2008 21:06]
"Advanced DHTML Enable"="C:\document.exe" []
"avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [18.08.2004 21:00]
"DAEMON Tools"="D:\Program Files\DAEMON Tools\daemon.exe" [12.11.2006 19:48]

D:\Documents and Settings\All Users.WINDOWS\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Reader Speed Launch.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [23.10.2006 6:48:20]
Adobe Reader Synchronizer.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [23.10.2006 5:01:50]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15c93784-27b0-11dd-84f8-001bfccf3e84}]
auto\command- SVCH0ST.EXE e
AutoRun\command- D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SVCH0ST.EXE e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22f09720-2fbd-11dd-8514-001bfccf3e84}]
AutoRun\command- F:\n1deiect.com
explore\Command- F:\n1deiect.com
open\Command- F:\n1deiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a821712-0ab9-11dd-847b-001bfccf3e84}]
AutoRun\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
open\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66027d74-4752-11dd-856b-001bfccf3e84}]
AutoRun\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
open\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea9462fb-14c6-11dd-84ac-001bfccf3e84}]
AutoRun\command- F:\xn1i9x.com
explore\Command- F:\xn1i9x.com
open\Command- F:\xn1i9x.com


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe



-- End of Deckard's System Scanner: finished at 2008-07-26 13:47:23 ------------

что делать даль незнаю, помогите!! вылечить!!

Отправлено: 09:25, 26-07-2008

 

Аватара для DiMMMm

Ветеран


Сообщения: 595
Благодарности: 111

Профиль | Сайт | Отправить PM | Цитировать

сперва в HijackThis пофиксите O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\document.exe

-------
если Вы считаете эту информацию полезной, нажмите ниже Полезное сообщение
MCP, MCTS:Vista,Configuring

Отправлено: 10:08, 26-07-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Moderator


Сообщения: 53173
Благодарности: 15430

Профиль | Отправить PM | Цитировать

S_a_n_e_K, отключите восстановление системы.

AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить. На время выполнения скрипта отключите антивирус.
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 QuarantineFile('C:\document.exe','');
 DeleteFile('C:\document.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить еще скрипт:
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте мне в PM.

Судя по ветке MountPoints2, у вас были проблемы с Autorun-вирусами, поэтому примените этот твик реестра для отключения Autorun:
Код: Выделить весь код
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
и перезагрузитесь.
Еще желательно пролечить флешки (файлы Autorun.inf, SVCH0ST.EXE (с нулем в имени), n1deiect.com, ise32.exe, xn1i9x.com).

Цитата S_a_n_e_K:
AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) Disabled Outdated
Антивирус у вас обновляется?

Сделайте новые логи (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил).

Последний раз редактировалось Petya V4sechkin, 26-07-2008 в 15:07.

Отправлено: 14:13, 26-07-2008 | #3



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » поселился вирус TR/crypt.NSPM.Gen. Сделал Лог - файлы, что с ними делать дальше??

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] вирус Win32/Conficker.Gen sure777 Лечение систем от вредоносных программ 3 09-10-2009 12:49
[решено] Tenga.gen вирус и компания. ZLODYGA Лечение систем от вредоносных программ 5 13-02-2009 18:32
Получил в наследство лицензии. Что с ними делать ? gslawa Лицензирование продуктов Microsoft 8 30-05-2007 13:36
Странные файлы. Что с ними делать? vint29 Microsoft Windows 2000/XP 5 15-02-2007 15:14
Ошибки: что же с ними делать Dimas_83 Microsoft Windows NT/2000/2003 4 17-11-2006 10:19


« Предыдущая тема | Следующая тема »


 
Переход