Прочее

Severny · Отправлено: **13:08, 17-10-2007** | #2

Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

voler · Отправлено: **13:22, 17-10-2007** | #3

Еще я не уточнил все компы лезут в сеть через сервак win2003 sp2, на нем настроен NAT. Проверять на нем? Компов за серваком 50 штук.

PHP код:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:27:37, on 17.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesCommon FilesSymantec SharedSPBBCSPBBCSvc.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesSymantec AntiVirusDefWatch.exe
C:Program FilesFolderSizeFolderSizeSvc.exe
C:WINDOWSsystem32inetsrvinetinfo.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesCyberLinkShared filesRichVideo.exe
C:WINDOWSsystem32locator.exe
C:Program FilesSymantec AntiVirusRtvscan.exe
C:WINDOWSExplorer.EXE
C:Program FilesJavajre1.6.0_03binjusched.exe
C:WINDOWSsystem32trafinspag.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:PROGRA~1SYMANT~1VPTray.exe
C:Program FilesABBYY Lingvo 12Lvagent.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSuperCopier2SuperCopier2.exe
C:WINDOWSSystem32alg.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesTotal CommanderTotalcmd.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSsystem32inetsrvDavCData.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesThe Bat!thebat.exe
C:Program FilesPositive TechnologiesXSpider 7.5 DemoXSpider.exe
C:Program FilesPositive TechnologiesXSpider 7.5 Demobinptxscan.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.908.8472GoogleToolbarNotifier.exe
C:WINDOWSsystem32mstsc.exe
C:Documents and SettingsvsinyaevРабочий столHiJackThis_v2.exe
C:WINDOWSsystem32wbemwmiprvse.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:Program FilesTechSmithSnagIt 8SnagItBHO.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - %systemdrive%Program FilesFlashGetjccatch.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_03binssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:WINDOWSsystem32TrafInspAg_Tollbar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:Program FilesTechSmithSnagIt 8SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM..Run: [trafinspag.exe] C:WINDOWSsystem32trafinspag.exe
O4 - HKLM..Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM..Run: [vptray] C:PROGRA~1SYMANT~1VPTray.exe
O4 - HKLM..Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKLM..Run: [SetRefresh] C:Program FilesCOMPAQSetRefreshSetRefresh.exe
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [SuperCopier2.exe] C:Program FilesSuperCopier2SuperCopier2.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.908.8472GoogleToolbarNotifier.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUSS-1-5-19..Run: [SuperCopier2.exe] C:Program FilesSuperCopier2SuperCopier2.exe (User 'LOCAL SERVICE')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:WINDOWSsystem32spooldriversw32x863E_SRCV03.EXE
O4 - Global Startup: info on Desktop.lnk = C:WINDOWSsystem32GroupPolicyUserScriptsLogoninfo_on_alldesk.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - %systemdrive%Program FilesFlashGetFlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - %systemdrive%Program FilesFlashGetFlashGet.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=www.z-tec.ru
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = zevs.local
O17 - HKLMSoftware..Telephony: DomainName = zevs.local
O17 - HKLMSystemCCSServicesTcpip..{2029CB96-AE13-4941-94FF-634B8DE39040}: NameServer = 192.168.1.100,217.150.34.129
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = zevs.local
O17 - HKLMSystemCS1ServicesTcpip..{2029CB96-AE13-4941-94FF-634B8DE39040}: NameServer = 192.168.1.100,217.150.34.129
O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = zevs.local
O17 - HKLMSystemCS2ServicesTcpip..{2029CB96-AE13-4941-94FF-634B8DE39040}: NameServer = 217.150.34.129,217.150.35.129,192.168.1.100
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWSsystem32browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
O23 - Service: Монитор описаний Symantec AntiVirus (DefWatch) - Symantec Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:WINDOWSsystem32services.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:Program FilesFolderSizeFolderSizeSvc.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:WINDOWSsystem32imapi.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:WINDOWSsystem32services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Program FilesCyberLinkShared filesRichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec AntiVirusSavRoam.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSPBBCSPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:WINDOWSSystem32vssvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:Program FilesRealVNCVNC4WinVNC4.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:WINDOWSsystem32wbemwmiapsrv.exe

--
End of file - 9214 bytes

Severny · Отправлено: **13:30, 17-10-2007** | #4

А сколько компов-то?
Что-то я невнимательно прочитал

voler · Отправлено: **13:35, 17-10-2007** | #5

Компов за серваком 50 штук.

Angry Demon · Отправлено: **14:41, 17-10-2007** | #6

voler, проверять ВСЁ. Даже при наличии трояна на одной рабочей станции можешь получить головную боль с лавинным нарастанием трафика.

voler · Отправлено: **17:27, 17-10-2007** | #7

Сделал так.

На серваке, который раздает инет в опциях трафик инспектора поставил галку блокировки клиента, если он делает кол-во запросов больше 100 в минуту. И сразу поймал одного. При чем на том компе антивирус Symantec не нашел не одного вируса.

Проблема в том, что пользователи не умеют пользоваться антивирусами.

Severny · Отправлено: **21:56, 17-10-2007** | #8

Цитата voler:

Сделал так. »

Ну давай логи с этого компа.

Greyman · Конфигурация компьютера

Цитата voler:

И сразу поймал одного. При чем на том компе антивирус Symantec не нашел не одного вируса. »

У него случаем не стоит какого-нить клиента пиринговых сетей (торрент, емуль, казаа и пр.)? Они вполне могут генеритть большое кол-во запросов при определенных настройках. В этом случае вирусы будут не причем...

voler · Отправлено: **08:59, 18-10-2007** | #10

Я понял одно, что всем юзерам нужно прекрыть mail.ru