Кто-то пишет в реестр

Ликер_81
6/8/2011, 10:33:05 PM
Где-то в конце марта - начале апреля случилось со мной одно компьютерное происшествие.

Сперва преамбула.

Подцепил я заразу на вполне респектабельном с виду сайте.
Симптомы выразились в выносе меня из и-нета, начал грузиться проц и еще чего-то, чего не помню.
Комп перезагрузил, причем в нормальном режиме. Запустил Авторанс Руссиновича и увидел новичка с погонялом nyakngm.dll, спрятавшимся в system32 и прописанным в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls.
Отключив автозапуск злавреда, перезагрузился, вышел в и-нет, сгоглил
nyakngm.dll
и сразу вышел на сайт Вирусинфо с рецептом истребления хулигана, примененным мной с позитивным результатом (можете повторить гогление: по-моему, выдается единственная запись).

Таперича амбула.

По истреблении злавреда утилитой Зайцева, в Авторансе, ессно появилась добавка "Файл не найден". Запись в реестре я удалил и думал, что с делом покончено.
Но не тут-то было.
Спустя некоторое время в Авторансе опять появилась запись вида:
C:\Windows\system32\nyakngm.dllC:\Windows\system32\adxtbu.dll
правда, с обнадеживающей припиской "Филе нот фоунд" в графе Имаге патх.
Отключаю автозапуск без правки реестра.
Через некоторое время запись появляется вновь, но уже в виде
C:\Windows\system32\nyakngm.dllC:\Windows\system32\adxtbu.dllC:\Windows\system32\adxtbu.dll
И так по нескольку раз добавляется запись C:\Windows\system32\adxtbu.dll.
File not found остается по-прежнему. Комп работает нормально.
Стало быть, какая-то злобная тварь по-прежнему без спросу юзает мою тачку и ищет этот dll-ник, причем под разными именами.

Эпилог.
Как мне вычислить этого негодяя?

Я присматриваюсь к ProcMon'у от того же Руссиновича (в девичестве RegMon).
Но там надо устанавливать фильтр.
А руководственные указания к этой проге излагают, в основном, способы установки фильтров на программы. Ну, это чтоб узнать, чтО и куда известная прога пишет в реестр. А мне надо решить обратную задачу: как узнать, какая прога пишет в известную ветвь реестра.
К тому же и инструкции написаны на программерском жаргоне, который я как-то ...м-м-м... (впрочем, об этом не обязательно).

Может есть какие-то иные решения с другими программами? Как быть?
ЗЫ. Сканирование бесплатным Авиром, Каспером, Куреитом результатов не дало.
***
***
***
ЗЗЫ. На всякий пожарный привожу запись в реестре, куды меня джампирует Марк Исакыч (по моим ассемблерным дарованиям, к теме имеет отношение только последняя гексятина Appinit_Dlls).


"IconServiceLib"="IconCodecService.dll"
"DdeSendTimeout"=dword:00000000
"DesktopHeapLogging"=dword:00000001
"GDIProcessHandleQuota"=dword:00002710
"ShutdownWarningDialogTimeout"=dword:ffffffff
"USERPostMessageLimit"=dword:00002710
"USERProcessHandleQuota"=dword:00002710
@="mnmsrvc"
"DeviceNotSelectedTimeout"="15"
"Spooler"="yes"
"TransmissionRetryTimeout"="90"
"LoadAppInit_DLLs"=dword:00000001
"Appinit_Dlls"=hex(43e285):43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,\
33,32,5c,6e,79,61,6b,6e,67,6d,2e,64,6c,6c,43,3a,5c,57,69,6e,64,6f,77,73,5c,\
53,79,73,74,65,6d,33,32,5c,61,64,78,74,62,75,2e,64,6c,6c,43,3a,5c,57,69,6e,\
64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c,6e,79,61,6b,6e,67,6d,2e,64,6c,6c,\
43,3a,5c,57,69,6e,64,6f,77,73,5c,53,79,73,74,65,6d,33,32,5c,61,64,78,74,62,\
75,2e,64,6c,6c,00,00
Vertigo
6/9/2011, 4:53:55 PM
(vov1346 @ 08.06.2011 - время: 20:30) .....самое действенное.....format c:....и всё по новой.....
vov1346, предупреждение по п.1.5 правил Компьютерного форума.

Автор, сделайте логи.
Ликер_81
6/9/2011, 8:52:57 PM
(Vertigo @ 09.06.2011 - время: 12:53)
Автор, сделайте логи.
Выкладываю лог с Хиджака.
Затаившийся гад здесь прописан в разделе О20.
Но я его неоднократно фиксил. Через какое-то время запись появляется снова, хотя и с утешительной пометкой в Авторане "Файл не найден".
Зайцева выложу позже тк только включил комп.



Logfile of HijackThis v1.99.1
Scan saved at 16:41:50, on 09.06.2011
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.17037)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\TosBtProc.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Toshiba\Downloads\Antivirus\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rambler.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU5090.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: C:\Windows\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EE175AE-3507-4C31-9C34-65B1FC534024}: NameServer = 195.34.32.116 212.188.4.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPO\TempoSVC.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Ликер_81
6/9/2011, 9:36:42 PM
Посылаю результаты протокола от Зайцева.
Вначале отмечу одну штукень, всегда возникающую при сканировании этой утилитой: Зайцев всегда мне ставит на вид автозапуск с сидюка. Между тем автозапуск у меня отключен, в т.ч. и самим Зайцевым (там у него есть мастер поиска и устранения или еще что-то, не помню, какой подпрограммой). Да и самого автозапуска не происходит.


Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 09.06.2011 16:56:11
Загружена база: сигнатуры - 326632, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2010 23:24
Загружены микропрограммы эвристики: 378
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 185557
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.0.6000, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 56
Количество загруженных модулей: 492
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\Toshiba\AppData\Local\Temp\avz_2096_1.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 355653, извлечено из архивов: 177095, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.06.2011 17:22:04
Сканирование длилось 00:25:55
Vertigo
6/9/2011, 10:07:45 PM
Выложите, пожалуйста, полный лог АВЗ.
Ликер_81
6/10/2011, 12:48:09 AM
(Vertigo @ 09.06.2011 - время: 18:07) Выложите, пожалуйста, полный лог АВЗ.
Выкладываю повторное сканирование. Вроде, включил все параметры сканирования кроме автоматического исправления. Гвардеец тоже был успешно загружен. Если и этот лог неполный, то дайте инструкцию как сделать полное сканирование.


Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 09.06.2011 20:02:46
Загружена база: сигнатуры - 326632, нейропрофили - 2, микропрограммы лечения - 56, база от 02.02.2010 23:24
Загружены микропрограммы эвристики: 378
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 185557
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.0.6000, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2964, имя = "\Device\HarddiskVolume3\Windows\System32\wbem\WMIADAP.exe"
>> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 57
Количество загруженных модулей: 492
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 12 TCP портов и 21 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 355647, извлечено из архивов: 177095, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.06.2011 20:26:46
Сканирование длилось 00:24:03


Vertigo
6/10/2011, 4:27:11 AM
Сами архивы с логами нужны. sys_check и sys_cure
Ликер_81
6/11/2011, 3:48:54 AM
Я ваще-то про sys_check и sys_cure и не подозревал даже.
Полез на ВирусИнфо, прочел инструкцию.

Сделал п.1:
1. Отключитесь от сети Интернет, выгрузите антивирусную программу и сетевой экран (если они у Вас есть); закройте игры, текстовые редакторы и любые другие программы, запустите только браузер (например, Internet Explorer).

У меня правда ГуглХром был запущен.

Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscure.zip.

У меня в этой папке оказались файлы
virusinfo_syscheck.htm
virusinfo_syscheck.xml
virusinfo_syscheck.zip

Приступил к выполнению п.2 инструкции:
2. Подключитесь к сети Интернет, запустите браузер (например, Internet Explorer). у меня опять же был ГуглХром

Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscheck.zip.

В папке снова

virusinfo_syscheck.htm
virusinfo_syscheck.xml
virusinfo_syscheck.zip
Только перезаписанные.
Иными словами, sys_cure у меня не выходит.
Что я сделал не так???

поскольку способа прикрепления к сообщению ЗИПа я не нашел, попробую отправить
syscheck.htm текстовым образом


Протокол исследования системы
AVZ 4.35 https://z-oleg.com/secur/avz/

Список процессов
Имя файла PID Описание Copyright MD5 Информация
c:\program files\avira\antivir desktop\avguard.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2132 Antivirus On-Access Service Copyright © 2000 - 2009 Avira GmbH. All rights reserved. ?? 180.75 кб, rsAh,
создан: 06.06.2009 20:40:36,
изменен: 07.08.2009 19:15:03
Командная строка:
"C:\Program Files\Avira\AntiVir Desktop\avguard.exe"
c:\program files\intel\intel matrix storage manager\iaanotif.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1780 Event Monitor User Notification Tool Copyright© Intel Corporation 2003-2007 ?? 170.77 кб, rsAh,
создан: 20.10.2007 13:46:07,
изменен: 25.04.2007 12:18:52
Командная строка:
"C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe"
c:\program files\intel\intel matrix storage manager\iaantmon.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2356 RAID Monitor Copyright© Intel Corporation 2003-2007 ?? 346.77 кб, rsAh,
создан: 20.10.2007 13:46:07,
изменен: 25.04.2007 12:18:56
Командная строка:
"C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe"
c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 2380 SMSvcHost.exe © Microsoft Corporation. All rights reserved. ?? 129.00 кб, rsAh,
создан: 27.03.2009 20:47:00,
изменен: 27.03.2009 20:47:00
Командная строка:
"C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"
Обнаружено:54, из них опознаны как безопасные 52
Имя модуля Handle Описание Copyright MD5 Используется процессами
C:\Program Files\Avira\AntiVir Desktop\aeheur.dll
Скрипт: Kарантин, Удалить, Удалить через BC 32112640 AntiVir Engine Module for Windows Copyright © 2011 Avira GmbH. All rights reserved. -- 2132
C:\Program Files\Avira\AntiVir Desktop\aeoffice.dll
Скрипт: Kарантин, Удалить, Удалить через BC 20774912 AntiVir Engine Module for Windows Copyright © 2011 Avira GmbH. All rights reserved. -- 2132
C:\Program Files\Avira\AntiVir Desktop\aesbx.dll
Скрипт: Kарантин, Удалить, Удалить через BC 18612224 AntiVir Engine Module for Windows Copyright © 2010 Avira GmbH. All rights reserved. -- 2132
C:\Windows\assembly\NativeImages_v2.0.50727_32\SMSvcHost\15aed76bc4dbf005b2260e07f6e6bae8\SMSvcHost.ni.exe
Скрипт: Kарантин, Удалить, Удалить через BC 1801912320 SMSvcHost.exe © Microsoft Corporation. All rights reserved. -- 2380
Обнаружено модулей:483, из них опознаны как безопасные 479

Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
C:\Windows\System32\Drivers\dump_iaStor.sys
Скрипт: Kарантин, Удалить, Удалить через BC 8AB42000 0BE000 (778240)
Обнаружено модулей - 165, опознано как безопасные - 164

Службы
Служба Описание Статус Файл Группа Зависимости
IAANTMON
Служба: Стоп, Удалить, Отключить, Удалить через BC Intel® Matrix Storage Event Monitor Работает C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
Скрипт: Kарантин, Удалить, Удалить через BC
Обнаружено - 147, опознано как безопасные - 146

Драйверы
Служба Описание Статус Файл Группа Зависимости
ATE_PROCMON
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC ATE_PROCMON Не запущен C:\Program Files\Anti Trojan Elite\ATEPMon.sys
Скрипт: Kарантин, Удалить, Удалить через BC
blbdrive
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC blbdrive Не запущен C:\Windows\system32\drivers\blbdrive.sys
Скрипт: Kарантин, Удалить, Удалить через BC
catchme
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC catchme Не запущен C:\Users\Toshiba\AppData\Local\Temp\catchme.sys
Скрипт: Kарантин, Удалить, Удалить через BC Base
IpInIp
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IP in IP Tunnel Driver Не запущен C:\Windows\system32\DRIVERS\ipinip.sys
Скрипт: Kарантин, Удалить, Удалить через BC Tcpip
NETw5v32
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit Не запущен C:\Windows\system32\DRIVERS\NETw5v32.sys
Скрипт: Kарантин, Удалить, Удалить через BC NDIS
NwlnkFlt
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IPX Traffic Filter Driver Не запущен C:\Windows\system32\DRIVERS\nwlnkflt.sys
Скрипт: Kарантин, Удалить, Удалить через BC NwlnkFwd
NwlnkFwd
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC IPX Traffic Forwarder Driver Не запущен C:\Windows\system32\DRIVERS\nwlnkfwd.sys
Скрипт: Kарантин, Удалить, Удалить через BC
Partizan
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Partizan Не запущен C:\Windows\system32\drivers\Partizan.sys
Скрипт: Kарантин, Удалить, Удалить через BC Boot Bus Extender
rkhdrv40
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Rootkit Unhooker Driver Не запущен rkhdrv40.sys
Скрипт: Kарантин, Удалить, Удалить через BC
TpChoice
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Touch Pad Detection Filter driver Не запущен C:\Windows\system32\DRIVERS\TpChoice.sys
Скрипт: Kарантин, Удалить, Удалить через BC Pointer Port
USBAAPL
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC Apple Mobile USB Driver Не запущен C:\Windows\system32\Drivers\usbaapl.sys
Скрипт: Kарантин, Удалить, Удалить через BC Base
Обнаружено - 254, опознано как безопасные - 243

Автозапуск
Имя файла Статус Метод запуска Описание
C:\MyProgram Files\Video mp3 Extractor\Video2Mp3.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video mp3 Extractor (2).lnk,
C:\MyProgram Files\Video mp3 Extractor\Video2Mp3.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video mp3 Extractor.lnk,
C:\Program Files\Bonjour\mDNSResponder.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service, EventMessageFile
C:\Program Files\EmEditor\EmEditor.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\EmEditor.lnk,
C:\Program Files\IDM Computer Solutions\UltraCompare\uc.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UltraCompare Professional.lnk,
C:\Program Files\IDM Computer Solutions\UltraEdit\Uedit32.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ярлык в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UltraEdit.lnk,
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\IAANTmon, EventMessageFile
C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, IaNvSrv
Удалить
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, IAAnotif
Удалить
C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk
Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk,
C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk
Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk,
C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml
Скрипт: Kарантин, Удалить, Удалить через BC Активен Файл в папке автозагрузки C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml,
C:\WindowsSystem32\IoLogMsg.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\vsmraid, EventMessageFile
C:\Windows\SoftwareDistribution\Download\Install\WGAER_M.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\WGA Scanner, EventMessageFile
C:\Windows\System32\Drivers\NETw5v32.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\NETw5v32, EventMessageFile
C:\Windows\System32\appmgmts.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters, ServiceDll
Удалить
C:\Windows\System32\drivers\dwprot.sys
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\DwProt, EventMessageFile
C:\Windows\System32\iPROSet.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, PROSet Tools
Удалить
C:\Windows\System32\igmpv2.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
C:\Windows\System32\ipbootp.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
C:\Windows\System32\iprip2.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
C:\Windows\System32\netprotocol.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters, ServiceDll
Удалить
C:\Windows\System32\ws03res.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPNATHLP, EventMessageFile
C:\Windows\System32\ws03res.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RasAuto, EventMessageFile
C:\Windows\System32\ws03res.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RasMan, EventMessageFile
C:\Windows\System32\ws03res.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\RemoteAccess, EventMessageFile
C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\Windows\system32\psxss.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
SDEvents.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Spybot - Search & Destroy 2, EventMessageFile
progman.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, shell
Удалить
rdpclip
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms
Удалить
vgafix.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon
Удалить
vgaoem.fon

(продолжение следует)
Ликер_81
6/11/2011, 3:55:01 AM
Продолжение

гг Модераторы!!!!
Извиняйте, что я рамку нарушил.
я ведь таких посланий отродясь никуда не писал.
Снесите в случае чего и объясните как надо. А то я не разобрался как ЗИПы цеплять.



Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon
Удалить
Обнаружено элементов автозапуска - 723, опознано как безопасные - 689

Модули расширения Internet Explorer (BHO, панели ...)
Имя файла Тип Описание Производитель CLSID
Модуль расширения {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
Удалить
Обнаружено элементов - 9, опознано как безопасные - 8

Модули расширения проводника
Имя файла Назначение Описание Производитель CLSID
lnkfile {00020d75-0000-0000-c000-000000000046}
Удалить
Color Control Panel Applet {b2c761c6-29bc-4f19-9251-e6195265baf1}
Удалить
Add New Hardware {7A979262-40CE-46ff-AEEE-7884AC3B6136}
Удалить
Get Programs Online {3e7efb4c-faf1-453d-89eb-56026875ef90}
Удалить
Taskbar and Start Menu {0DF44EAA-FF21-4412-828E-260A8728E7F1}
Удалить
ActiveDirectory Folder {1b24a030-9b20-49bc-97ac-1be4426f9e59}
Удалить
ActiveDirectory Folder {34449847-FD14-4fc8-A75A-7432F5181EFB}
Удалить
Sam Account Folder {C8494E42-ACDD-4739-B0FB-217361E4894F}
Удалить
Sam Account Folder {E29F9716-5C08-4FCD-955A-119FDB5A522D}
Удалить
Control Panel command object for Start menu {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}
Удалить
Default Programs command object for Start menu {E44E5D18-0652-4508-A4E2-8A090067BCB0}
Удалить
Folder Options {6dfd7c5c-2451-11d3-a299-00c04f8ef6af}
Удалить
Explorer Query Band {2C2577C2-63A7-40e3-9B7F-586602617ECB}
Удалить
View Available Networks {38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b}
Удалить
Contacts folder {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}
Удалить
Windows Firewall {4026492f-2f69-46b8-b9bf-5654fc07e423}
Удалить
Problem Reports and Solutions {fcfeecae-ee1b-4849-ae50-685dcf7717ec}
Удалить
iSCSI Initiator {a304259d-52b8-4526-8b1a-a1d6cecc8243}
Удалить
.cab or .zip files {911051fa-c21c-4246-b470-070cd8df6dc4}
Удалить
Windows Search Shell Service {da67b8ad-e81b-4c70-9b91b417b5e33527}
Удалить
Microsoft.ScannersAndCameras {00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3}
Удалить
Windows Sidebar Properties {37efd44d-ef8d-41b1-940d-96973a50e9e0}
Удалить
Windows Features {67718415-c450-4f3c-bf8a-b487642dc39b}
Удалить
Windows Defender {d8559eb9-20c0-410e-beda-7ed416aecc2a}
Удалить
Mobility Center Control Panel {5ea4f148-308c-46d7-98a9-49041b1dd468}
Удалить
User Accounts {7A9D77BD-5403-11d2-8785-2E0420524153}
Удалить
SPTHandler {BD88A479-9623-4897-8546-BC62B9628F44}
Удалить
ColumnHandler AutorunsDisabled
Удалить
Обнаружено элементов - 292, опознано как безопасные - 264

Модули расширения системы печати (мониторы печати, провайдеры)
Имя файла Тип Наименование Описание Производитель
Обнаружено элементов - 7, опознано как безопасные - 7

Задания планировщика задач Task Scheduler
Имя файла Имя задания Состояние задания Описание Производитель
Обнаружено элементов - 2, опознано как безопасные - 2

Настройки SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исп. файл Описание GUID
Обнаружено - 6, опознано как безопасные - 6
Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание
Обнаружено - 24, опознано как безопасные - 24
Результаты автоматического анализа настроек SPI Настройки LSP проверены. Ошибок не обнаружено


Порты TCP/UDP
Порт Статус Remote Host Remote Port Приложение Примечания
Порты TCP
135 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
139 LISTENING 0.0.0.0 0 System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
554 LISTENING 0.0.0.0 0 c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
990 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5679 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
7438 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49152 LISTENING 0.0.0.0 0 c:\windows\system32\wininit.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49153 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49154 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49155 LISTENING 0.0.0.0 0 c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49156 LISTENING 0.0.0.0 0 c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49157 LISTENING 0.0.0.0 0 c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
49158 LISTENING 0.0.0.0 0 c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
Порты UDP
53 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
67 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
68 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
137 LISTENING -- -- System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
138 LISTENING -- -- System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
500 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
1900 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
3702 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
4500 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5004 LISTENING -- -- c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5005 LISTENING -- -- c:\program files\windows media player\wmpnetwk.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
5355 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51086 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
51088 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
54448 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
57519 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
57520 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59759 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59760 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить
59864 LISTENING -- -- c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить

Downloaded Program Files (DPF)
Имя файла Описание Производитель CLSID URL загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты панели управления (CPL)
Имя файла Описание Производитель
C:\Windows\system32\iproset.cpl
Скрипт: Kарантин, Удалить, Удалить через BC Intel PROSet/Wireless Control Panel Applet Copyright © Intel Corporation 1999-2008
Обнаружено элементов - 26, опознано как безопасные - 25

Active Setup
Имя файла Описание Производитель CLSID
Обнаружено элементов - 9, опознано как безопасные - 9

Файл HOSTS
Запись файла Hosts



127.0.0.1 localhost





Очистка файла Hosts

Протоколы и обработчики
Имя файла Тип Описание Производитель CLSID
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
mscoree.dll
Скрипт: Kарантин, Удалить, Удалить через BC Protocol Microsoft .NET Runtime Execution Engine () © Microsoft Corporation. All rights reserved. {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
Удалить
Обнаружено элементов - 20, опознано как безопасные - 17

Подозрительные объекты
Файл Описание Тип


--------------------------------------------------------------------------------

Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 10.06.2011 23:19:13
Загружена база: сигнатуры - 346503, нейропрофили - 2, микропрограммы лечения - 56, база от 31.05.2011 22:31
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 279390
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.0.6000, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=131B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82400000
SDT = 82531B00
KiST = 824807B4 (398)
Функция NtCreateThread (4E) перехвачена (8261217B->9942B3BC), перехватчик не определен
Функция NtOpenProcess (C2) перехвачена (82613AA7->9942B3A8), перехватчик не определен
Функция NtOpenThread (C9) перехвачена (82613E07->9942B3AD), перехватчик не определен
Функция NtTerminateProcess (152) перехвачена (8261B2B3->9942B3B7), перехватчик не определен
Проверено функций: 398, перехвачено: 4, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 52
Анализатор - изучается процесс 1780 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
:Может работать с сетью
:Приложение не имеет видимых окон
:Записан в автозапуск !!
Анализатор - изучается процесс 2356 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
:Может работать с сетью
:Приложение не имеет видимых окон
:Записан в автозапуск !!
Количество загруженных модулей: 483
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 13 TCP портов и 22 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll
Ошибка выполнения команды ADDTOLOG, ошибка - RichEdit line insertion error
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 535, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 10.06.2011 23:19:59
Сканирование длилось 00:00:48
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему https://kaspersky-911.ru
Выполняется исследование системы
Исследование системы завершено

Команды скрипта
Добавить в скрипт команды:Нейтрализация перехватов функций при помощи антируткитаВключить AVZGuardУправление AVZPM (true-включить,false-отключить)BootCleaner - импорт списка удаленных файловBootCleaner - импортировать всеЧистка реестра после удаления файловExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблемBootCleaner - активацияПерезагрузкаВставить заготовку для QuarantineFile() - помещение файла в карантинВставить заготовку для BC_QrFile() - помещение файла в карантин через BCВставить заготовку для DeleteFile() - удаление файлаВставить заготовку для DelCLSID() - удаление CLSID класса из реестраДополнительные операции:Оптимизация - отключить службу SSDPSRV (Обнаружение SSDP)Оптимизация - отключить службу Schedule (Планировщик заданий)Оптимизация - безопасность - отключить автозапуск программ с CDОптимизация - безопасность - отключить административный доступ к локальным дискамОптимизация - безопасность - блокировать возможность подключения анонимных пользователей--------------------------------------------------------------------------------
Список файлов







Vertigo
6/12/2011, 11:47:00 PM
Я же Вам дал ссылку, в которой есть подробные инструкции как сделать логи. Нужен сам архив "virusinfo_syscheck.zip", залейте его на filesonic.com.
Алексеев
6/14/2011, 2:20:39 AM
Сломал правый глаз, пока читал эту абракадабру. Нашел каку C:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dllC:\Windows\system32\nyakngm.dllC:\Windows\System32\adxtbu.dll
Остальное ниасилил, подождем логи в читаемом виде.