Ликер_81 | ||
Где-то в конце марта - начале апреля случилось со мной одно компьютерное происшествие. Сперва преамбула. Подцепил я заразу на вполне респектабельном с виду сайте. Симптомы выразились в выносе меня из и-нета, начал грузиться проц и еще чего-то, чего не помню. Комп перезагрузил, причем в нормальном режиме. Запустил Авторанс Руссиновича и увидел новичка с погонялом nyakngm.dll, спрятавшимся в system32 и прописанным в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls. Отключив автозапуск злавреда, перезагрузился, вышел в и-нет, сгоглил nyakngm.dll и сразу вышел на сайт Вирусинфо с рецептом истребления хулигана, примененным мной с позитивным результатом (можете повторить гогление: по-моему, выдается единственная запись). Таперича амбула. По истреблении злавреда утилитой Зайцева, в Авторансе, ессно появилась добавка "Файл не найден". Запись в реестре я удалил и думал, что с делом покончено. Но не тут-то было. Спустя некоторое время в Авторансе опять появилась запись вида: C:\Windows\system32\nyakngm.dllC:\Windows\system32\adxtbu.dll правда, с обнадеживающей припиской "Филе нот фоунд" в графе Имаге патх. Отключаю автозапуск без правки реестра. Через некоторое время запись появляется вновь, но уже в виде C:\Windows\system32\nyakngm.dllC:\Windows\system32\adxtbu.dllC:\Windows\system32\adxtbu.dll И так по нескольку раз добавляется запись C:\Windows\system32\adxtbu.dll. File not found остается по-прежнему. Комп работает нормально. Стало быть, какая-то злобная тварь по-прежнему без спросу юзает мою тачку и ищет этот dll-ник, причем под разными именами. Эпилог. Как мне вычислить этого негодяя? Я присматриваюсь к ProcMon'у от того же Руссиновича (в девичестве RegMon). Но там надо устанавливать фильтр. А руководственные указания к этой проге излагают, в основном, способы установки фильтров на программы. Ну, это чтоб узнать, чтО и куда известная прога пишет в реестр. А мне надо решить обратную задачу: как узнать, какая прога пишет в известную ветвь реестра. К тому же и инструкции написаны на программерском жаргоне, который я как-то ...м-м-м... (впрочем, об этом не обязательно). Может есть какие-то иные решения с другими программами? Как быть? ЗЫ. Сканирование бесплатным Авиром, Каспером, Куреитом результатов не дало. *** *** *** ЗЗЫ. На всякий пожарный привожу запись в реестре, куды меня джампирует Марк Исакыч (по моим ассемблерным дарованиям, к теме имеет отношение только последняя гексятина Appinit_Dlls). [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "IconServiceLib"="IconCodecService.dll" "DdeSendTimeout"=dword:00000000 "DesktopHeapLogging"=dword:00000001 "GDIProcessHandleQuota"=dword:00002710 "ShutdownWarningDialogTimeout"=dword:ffffffff "USERPostMessageLimit"=dword:00002710 "USERProcessHandleQuota"=dword:00002710 @="mnmsrvc" "DeviceNotSelectedTimeout"="15" "Spooler"="yes" "TransmissionRetryTimeout"="90" "LoadAppInit_DLLs"=dword:00000001 "Appinit_Dlls"=hex(43e285):43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,\ 33,32,5c,6e,79,61,6b,6e,67,6d,2e,64,6c,6c,43,3a,5c,57,69,6e,64,6f,77,73,5c,\ 53,79,73,74,65,6d,33,32,5c,61,64,78,74,62,75,2e,64,6c,6c,43,3a,5c,57,69,6e,\ 64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c,6e,79,61,6b,6e,67,6d,2e,64,6c,6c,\ 43,3a,5c,57,69,6e,64,6f,77,73,5c,53,79,73,74,65,6d,33,32,5c,61,64,78,74,62,\ 75,2e,64,6c,6c,00,00 |
||
Vertigo | ||
vov1346, предупреждение по п.1.5 правил Компьютерного форума. Автор, сделайте логи. Это сообщение отредактировал Vertigo - 09-06-2011 - 12:54 |
||
Ликер_81 | ||
Выкладываю лог с Хиджака. Затаившийся гад здесь прописан в разделе О20. Но я его неоднократно фиксил. Через какое-то время запись появляется снова, хотя и с утешительной пометкой в Авторане "Файл не найден". Зайцева выложу позже тк только включил комп. Logfile of HijackThis v1.99.1 Scan saved at 16:41:50, on 09.06.2011 Platform: Unknown Windows (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.17037) Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\TOSHIBA\Utilities\KeNotify.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe c:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\TosBtProc.exe C:\totalcmd\TOTALCMD.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\Toshiba\Downloads\Antivirus\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU5090.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe O4 - HKLM\..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - Global Startup: Bluetooth Manager.lnk = ? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{8EE175AE-3507-4C31-9C34-65B1FC534024}: NameServer = 195.34.32.116 212.188.4.10 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPO\TempoSVC.exe O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe |
||
Ликер_81 | ||
Посылаю результаты протокола от Зайцева. Вначале отмечу одну штукень, всегда возникающую при сканировании этой утилитой: Зайцев всегда мне ставит на вид автозапуск с сидюка. Между тем автозапуск у меня отключен, в т.ч. и самим Зайцевым (там у него есть мастер поиска и устранения или еще что-то, не помню, какой подпрограммой). Да и самого автозапуска не происходит. Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 09.06.2011 16:56:11 Загружена база: сигнатуры - 326632, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2010 23:24 Загружены микропрограммы эвристики: 378 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 185557 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.0.6000, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 56 Количество загруженных модулей: 492 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Users\Toshiba\AppData\Local\Temp\avz_2096_1.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 355653, извлечено из архивов: 177095, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 09.06.2011 17:22:04 Сканирование длилось 00:25:55 |
||
Vertigo | ||
Выложите, пожалуйста, полный лог АВЗ. | ||
Ликер_81 | ||
Выкладываю повторное сканирование. Вроде, включил все параметры сканирования кроме автоматического исправления. Гвардеец тоже был успешно загружен. Если и этот лог неполный, то дайте инструкцию как сделать полное сканирование. Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 09.06.2011 20:02:46 Загружена база: сигнатуры - 326632, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2010 23:24 Загружены микропрограммы эвристики: 378 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 185557 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.0.6000, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Видимый процесс с PID=2964, имя = "\Device\HarddiskVolume3\Windows\System32\wbem\WMIADAP.exe" >> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe" Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 57 Количество загруженных модулей: 492 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 12 TCP портов и 21 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 355647, извлечено из архивов: 177095, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 09.06.2011 20:26:46 Сканирование длилось 00:24:03 |
||
Vertigo | ||
Сами архивы с логами нужны. sys_check и sys_cure | ||
Ликер_81 | ||
Я ваще-то про sys_check и sys_cure и не подозревал даже. Полез на ВирусИнфо, прочел инструкцию. Сделал п.1: 1. Отключитесь от сети Интернет, выгрузите антивирусную программу и сетевой экран (если они у Вас есть); закройте игры, текстовые редакторы и любые другие программы, запустите только браузер (например, Internet Explorer). У меня правда ГуглХром был запущен. Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscure.zip. У меня в этой папке оказались файлы virusinfo_syscheck.htm virusinfo_syscheck.xml virusinfo_syscheck.zip Приступил к выполнению п.2 инструкции: 2. Подключитесь к сети Интернет, запустите браузер (например, Internet Explorer). у меня опять же был ГуглХром Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscheck.zip. В папке снова virusinfo_syscheck.htm virusinfo_syscheck.xml virusinfo_syscheck.zip Только перезаписанные. Иными словами, sys_cure у меня не выходит. Что я сделал не так??? поскольку способа прикрепления к сообщению ЗИПа я не нашел, попробую отправить syscheck.htm текстовым образом Протокол исследования системы AVZ 4.35 http://z-oleg.com/secur/avz/ Список процессов Имя файла PID Описание Copyright MD5 Информация c:\program files\avira\antivir desktop\avguard.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2132 Antivirus On-Access Service Copyright © 2000 - 2009 Avira GmbH. All rights reserved. ?? 180.75 кб, rsAh, создан: 06.06.2009 20:40:36, изменен: 07.08.2009 19:15:03 Командная строка: "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" c:\program files\intel\intel matrix storage manager\iaanotif.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1780 Event Monitor User Notification Tool Copyright© Intel Corporation 2003-2007 ?? 170.77 кб, rsAh, создан: 20.10.2007 13:46:07, изменен: 25.04.2007 12:18:52 Командная строка: "C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe" c:\program files\intel\intel matrix storage manager\iaantmon.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2356 RAID Monitor Copyright© Intel Corporation 2003-2007 ?? 346.77 кб, rsAh, создан: 20.10.2007 13:46:07, изменен: 25.04.2007 12:18:56 Командная строка: "C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe" c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2380 SMSvcHost.exe © Microsoft Corporation. All rights reserved. ?? 129.00 кб, rsAh, создан: 27.03.2009 20:47:00, изменен: 27.03.2009 20:47:00 Командная строка: "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" Обнаружено:54, из них опознаны как безопасные 52 Имя модуля Handle Описание Copyright MD5 Используется процессами C:\Program Files\Avira\AntiVir Desktop\aeheur.dll Скрипт: Kарантин, Удалить, Удалить через BC 32112640 AntiVir Engine Module for Windows Copyright © 2011 Avira GmbH. All rights reserved. -- 2132 C:\Program Files\Avira\AntiVir Desktop\aeoffice.dll Скрипт: Kарантин, Удалить, Удалить через BC 20774912 AntiVir Engine Module for Windows Copyright © 2011 Avira GmbH. All rights reserved. -- 2132 C:\Program Files\Avira\AntiVir Desktop\aesbx.dll Скрипт: Kарантин, Удалить, Удалить через BC 18612224 AntiVir Engine Module for Windows Copyright © 2010 Avira GmbH. All rights reserved. -- 2132 C:\Windows\assembly\NativeImages_v2.0.50727_32\SMSvcHost\15aed76bc4dbf005b2260e07f6e6bae8\SMSvcHost.ni.exe Скрипт: Kарантин, Удалить, Удалить через BC 1801912320 SMSvcHost.exe © Microsoft Corporation. All rights reserved. -- 2380 Обнаружено модулей:483, из них опознаны как безопасные 479 Модули пространства ядра Модуль Базовый адрес Размер в памяти Описание Производитель C:\Windows\System32\Drivers\dump_iaStor.sys Скрипт: Kарантин, Удалить, Удалить через BC 8AB42000 0BE000 (778240) Обнаружено модулей - 165, опознано как безопасные - 164 Службы Служба Описание Статус Файл Группа Зависимости IAANTMON Служба: Стоп, Удалить, Отключить, Удалить через BC Intel® Matrix Storage Event Monitor Работает C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe Скрипт: Kарантин, Удалить, Удалить через BC Обнаружено - 147, опознано как безопасные - 146 Драйверы Служба Описание Статус Файл Группа Зависимости ATE_PROCMON Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC ATE_PROCMON Не запущен C:\Program Files\Anti Trojan Elite\ATEPMon.sys Скрипт: Kарантин, Удалить, Удалить через BC blbdrive Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC blbdrive Не запущен C:\Windows\system32\drivers\blbdrive.sys Скрипт: Kарантин, Удалить, Удалить через BC catchme Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC catchme Не запущен C:\Users\Toshiba\AppData\Local\Temp\catchme.sys Скрипт: Kарантин, Удалить, Удалить через BC Base IpInIp Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IP in IP Tunnel Driver Не запущен C:\Windows\system32\DRIVERS\ipinip.sys Скрипт: Kарантин, Удалить, Удалить через BC Tcpip NETw5v32 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit Не запущен C:\Windows\system32\DRIVERS\NETw5v32.sys Скрипт: Kарантин, Удалить, Удалить через BC NDIS NwlnkFlt Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IPX Traffic Filter Driver Не запущен C:\Windows\system32\DRIVERS\nwlnkflt.sys Скрипт: Kарантин, Удалить, Удалить через BC NwlnkFwd NwlnkFwd Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IPX Traffic Forwarder Driver Не запущен C:\Windows\system32\DRIVERS\nwlnkfwd.sys Скрипт: Kарантин, Удалить, Удалить через BC Partizan Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Partizan Не запущен C:\Windows\system32\drivers\Partizan.sys Скрипт: Kарантин, Удалить, Удалить через BC Boot Bus Extender rkhdrv40 Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Rootkit Unhooker Driver Не запущен rkhdrv40.sys Скрипт: Kарантин, Удалить, Удалить через BC TpChoice Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Touch Pad Detection Filter driver Не запущен C:\Windows\system32\DRIVERS\TpChoice.sys Скрипт: Kарантин, Удалить, Удалить через BC Pointer Port USBAAPL Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Apple Mobile USB Driver Не запущен C:\Windows\system32\Drivers\usbaapl.sys Скрипт: Kарантин, Удалить, Удалить через BC Base Обнаружено - 254, опознано как безопасные - 243 Автозапуск Имя файла Статус Метод запуска Описание C:\MyProgram Files\Video mp3 Extractor\Video2Mp3.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video mp3 Extractor (2).lnk, C:\MyProgram Files\Video mp3 Extractor\Video2Mp3.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video mp3 Extractor.lnk, C:\Program Files\Bonjour\mDNSResponder.exe Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service, EventMessageFile C:\Program Files\EmEditor\EmEditor.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\EmEditor.lnk, C:\Program Files\IDM Computer Solutions\UltraCompare\uc.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UltraCompare Professional.lnk, C:\Program Files\IDM Computer Solutions\UltraEdit\Uedit32.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UltraEdit.lnk, C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\IAANTmon, EventMessageFile C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, IaNvSrv Удалить C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, IAAnotif Удалить C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml, C:\WindowsSystem32\IoLogMsg.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\vsmraid, EventMessageFile C:\Windows\SoftwareDistribution\Download\Install\WGAER_M.exe Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WGA Scanner, EventMessageFile C:\Windows\System32\Drivers\NETw5v32.sys Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\NETw5v32, EventMessageFile C:\Windows\System32\appmgmts.dll Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters, ServiceDll Удалить C:\Windows\System32\drivers\dwprot.sys Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\DwProt, EventMessageFile C:\Windows\System32\iPROSet.cpl Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, PROSet Tools Удалить C:\Windows\System32\igmpv2.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile C:\Windows\System32\ipbootp.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile C:\Windows\System32\iprip2.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile C:\Windows\System32\netprotocol.dll Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters, ServiceDll Удалить C:\Windows\System32\ws03res.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPNATHLP, EventMessageFile C:\Windows\System32\ws03res.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RasAuto, EventMessageFile C:\Windows\System32\ws03res.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RasMan, EventMessageFile C:\Windows\System32\ws03res.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RemoteAccess, EventMessageFile C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs C:\Windows\system32\psxss.exe Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix SDEvents.dll Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Spybot - Search & Destroy 2, EventMessageFile progman.exe Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell Удалить rdpclip Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms Удалить vgafix.fon Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon Удалить vgaoem.fon (продолжение следует) |
||
Ликер_81 | ||
Продолжение гг Модераторы!!!! Извиняйте, что я рамку нарушил. я ведь таких посланий отродясь никуда не писал. Снесите в случае чего и объясните как надо. А то я не разобрался как ЗИПы цеплять. Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon Удалить vgasys.fon Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon Удалить Обнаружено элементов автозапуска - 723, опознано как безопасные - 689 Модули расширения Internet Explorer (BHO, панели ...) Имя файла Тип Описание Производитель CLSID Модуль расширения {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} Удалить Обнаружено элементов - 9, опознано как безопасные - 8 Модули расширения проводника Имя файла Назначение Описание Производитель CLSID lnkfile {00020d75-0000-0000-c000-000000000046} Удалить Color Control Panel Applet {b2c761c6-29bc-4f19-9251-e6195265baf1} Удалить Add New Hardware {7A979262-40CE-46ff-AEEE-7884AC3B6136} Удалить Get Programs Online {3e7efb4c-faf1-453d-89eb-56026875ef90} Удалить Taskbar and Start Menu {0DF44EAA-FF21-4412-828E-260A8728E7F1} Удалить ActiveDirectory Folder {1b24a030-9b20-49bc-97ac-1be4426f9e59} Удалить ActiveDirectory Folder {34449847-FD14-4fc8-A75A-7432F5181EFB} Удалить Sam Account Folder {C8494E42-ACDD-4739-B0FB-217361E4894F} Удалить Sam Account Folder {E29F9716-5C08-4FCD-955A-119FDB5A522D} Удалить Control Panel command object for Start menu {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} Удалить Default Programs command object for Start menu {E44E5D18-0652-4508-A4E2-8A090067BCB0} Удалить Folder Options {6dfd7c5c-2451-11d3-a299-00c04f8ef6af} Удалить Explorer Query Band {2C2577C2-63A7-40e3-9B7F-586602617ECB} Удалить View Available Networks {38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b} Удалить Contacts folder {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} Удалить Windows Firewall {4026492f-2f69-46b8-b9bf-5654fc07e423} Удалить Problem Reports and Solutions {fcfeecae-ee1b-4849-ae50-685dcf7717ec} Удалить iSCSI Initiator {a304259d-52b8-4526-8b1a-a1d6cecc8243} Удалить .cab or .zip files {911051fa-c21c-4246-b470-070cd8df6dc4} Удалить Windows Search Shell Service {da67b8ad-e81b-4c70-9b91b417b5e33527} Удалить Microsoft.ScannersAndCameras {00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3} Удалить Windows Sidebar Properties {37efd44d-ef8d-41b1-940d-96973a50e9e0} Удалить Windows Features {67718415-c450-4f3c-bf8a-b487642dc39b} Удалить Windows Defender {d8559eb9-20c0-410e-beda-7ed416aecc2a} Удалить Mobility Center Control Panel {5ea4f148-308c-46d7-98a9-49041b1dd468} Удалить User Accounts {7A9D77BD-5403-11d2-8785-2E0420524153} Удалить SPTHandler {BD88A479-9623-4897-8546-BC62B9628F44} Удалить ColumnHandler AutorunsDisabled Удалить Обнаружено элементов - 292, опознано как безопасные - 264 Модули расширения системы печати (мониторы печати, провайдеры) Имя файла Тип Наименование Описание Производитель Обнаружено элементов - 7, опознано как безопасные - 7 Задания планировщика задач Task Scheduler Имя файла Имя задания Состояние задания Описание Производитель Обнаружено элементов - 2, опознано как безопасные - 2 Настройки SPI/LSP Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID Обнаружено - 6, опознано как безопасные - 6 Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание Обнаружено - 24, опознано как безопасные - 24 Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено Порты TCP/UDP Порт Статус Remote Host Remote Port Приложение Примечания Порты TCP 135 LISTENING 0.0.0.0 0 [1032] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 139 LISTENING 0.0.0.0 0 [4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 554 LISTENING 0.0.0.0 0 [2576] c:\program files\windows media player\wmpnetwk.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 990 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 5679 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 7438 LISTENING 0.0.0.0 0 [3436] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49152 LISTENING 0.0.0.0 0 [684] c:\windows\system32\wininit.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49153 LISTENING 0.0.0.0 0 [1064] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49154 LISTENING 0.0.0.0 0 [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49155 LISTENING 0.0.0.0 0 [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49156 LISTENING 0.0.0.0 0 [740] c:\windows\system32\lsass.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49157 LISTENING 0.0.0.0 0 [728] c:\windows\system32\services.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 49158 LISTENING 0.0.0.0 0 [3472] c:\windows\system32\alg.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить Порты UDP 53 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 67 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 68 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 137 LISTENING -- -- [4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 138 LISTENING -- -- [4] System Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 500 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1900 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3702 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 3702 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 4500 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 5004 LISTENING -- -- [2576] c:\program files\windows media player\wmpnetwk.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 5005 LISTENING -- -- [2576] c:\program files\windows media player\wmpnetwk.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 5355 LISTENING -- -- [1528] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 51086 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 51088 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 54448 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 57519 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 57520 LISTENING -- -- [1128] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 59759 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 59760 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 59864 LISTENING -- -- [1388] c:\windows\system32\svchost.exe Скрипт: Kарантин, Удалить, Удалить через BC, Завершить Downloaded Program Files (DPF) Имя файла Описание Производитель CLSID URL загрузки Обнаружено элементов - 0, опознано как безопасные - 0 Апплеты панели управления (CPL) Имя файла Описание Производитель C:\Windows\system32\iproset.cpl Скрипт: Kарантин, Удалить, Удалить через BC Intel PROSet/Wireless Control Panel Applet Copyright © Intel Corporation 1999-2008 Обнаружено элементов - 26, опознано как безопасные - 25 Active Setup Имя файла Описание Производитель CLSID Обнаружено элементов - 9, опознано как безопасные - 9 Файл HOSTS Запись файла Hosts 127.0.0.1 localhost Очистка файла Hosts Протоколы и обработчики Имя файла Тип Описание Производитель CLSID mscoree.dll Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} Удалить mscoree.dll Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} Удалить mscoree.dll Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D} Удалить Обнаружено элементов - 20, опознано как безопасные - 17 Подозрительные объекты Файл Описание Тип -------------------------------------------------------------------------------- Протокол антивирусной утилиты AVZ версии 4.35 Сканирование запущено в 10.06.2011 23:19:13 Загружена база: сигнатуры - 346503, нейропрофили - 2, микропрограммы лечения - 56, база от 31.05.2011 22:31 Загружены микропрограммы эвристики: 388 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 279390 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 6.0.6000, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=131B00) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82400000 SDT = 82531B00 KiST = 824807B4 (398) Функция NtCreateThread (4E) перехвачена (8261217B->9942B3BC), перехватчик не определен Функция NtOpenProcess (C2) перехвачена (82613AA7->9942B3A8), перехватчик не определен Функция NtOpenThread (C9) перехвачена (82613E07->9942B3AD), перехватчик не определен Функция NtTerminateProcess (152) перехвачена (8261B2B3->9942B3B7), перехватчик не определен Проверено функций: 398, перехвачено: 4, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена 2. Проверка памяти Количество найденных процессов: 52 Анализатор - изучается процесс 1780 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 2356 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Количество загруженных модулей: 483 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 13 TCP портов и 22 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll Ошибка выполнения команды ADDTOLOG, ошибка - RichEdit line insertion error Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 535, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 10.06.2011 23:19:59 Сканирование длилось 00:00:48 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в систему http://kaspersky-911.ru Выполняется исследование системы Исследование системы завершено Команды скрипта Добавить в скрипт команды:Нейтрализация перехватов функций при помощи антируткитаВключить AVZGuardУправление AVZPM (true-включить,false-отключить)BootCleaner - импорт списка удаленных файловBootCleaner - импортировать всеЧистка реестра после удаления файловExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблемBootCleaner - активацияПерезагрузкаВставить заготовку для QuarantineFile() - помещение файла в карантинВставить заготовку для BC_QrFile() - помещение файла в карантин через BCВставить заготовку для DeleteFile() - удаление файлаВставить заготовку для DelCLSID() - удаление CLSID класса из реестраДополнительные операции:Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)Оптимизация - отключить службу Schedule (Планировщик заданий)Оптимизация - безопасность - отключить автозапуск программ с CDОптимизация - безопасность - отключить административный доступ к локальным дискамОптимизация - безопасность - блокировать возможность подключения анонимных пользователей-------------------------------------------------------------------------------- Список файлов |
||
Vertigo | ||
Я же Вам дал ссылку, в которой есть подробные инструкции как сделать логи. Нужен сам архив "virusinfo_syscheck.zip", залейте его на filesonic.com. | ||
Алексеев | ||
Сломал правый глаз, пока читал эту абракадабру. Нашел каку
Остальное ниасилил, подождем логи в читаемом виде. |