Помогите найти заразу
lozdok
Акула пера
4/25/2010, 5:42:46 PM
55.txt
мож чо не так сделал.
а проблема в том, что выскакивает оповещение о фишинг странице практически везде. даже когда захожу на яндекс. и виндус дефендер какоето предупреждение выплевывает. но я его еще не догадался заскринить. с начала закрыл, а потом подумал, что скрин надо было сделать.
высылаю скрины после перезагрузки
Хостинг фотографий
мож чо не так сделал.
а проблема в том, что выскакивает оповещение о фишинг странице практически везде. даже когда захожу на яндекс. и виндус дефендер какоето предупреждение выплевывает. но я его еще не догадался заскринить. с начала закрыл, а потом подумал, что скрин надо было сделать.
высылаю скрины после перезагрузки
Хостинг фотографий
Алексеев
Мастер
4/25/2010, 6:19:07 PM
Продублирую здесь содержимое архива.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:25, on 25.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
O1 - Hosts: 195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: SkyTel.EXE
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: nwiz.exe /install
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: RunDll32 cm112.cpl,CMICtrlWnd
O4 - HKLM\..\Run: RTHDCPL.EXE
O4 - HKLM\..\Run: ALCMTR.EXE
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: "C:\Program Files\Ad Muncher\AdMunch.exe" "%1"
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mgjwin32.exe
O4 - Startup: NETBYNET.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll
O8 - Extra context menu item: SmarThru4 Сохранение выделенного - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Сохранить выбранный текст - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Сохранить как HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54B72DC-B4BD-4254-9ABD-4BF08818B5F0}: NameServer = 212.1.224.53 212.1.230.111
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба Google Update (gupdate1caba5324855450) (gupdate1caba5324855450) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 10740 bytes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:25, on 25.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
O1 - Hosts: 195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: SkyTel.EXE
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: nwiz.exe /install
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: RunDll32 cm112.cpl,CMICtrlWnd
O4 - HKLM\..\Run: RTHDCPL.EXE
O4 - HKLM\..\Run: ALCMTR.EXE
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: "C:\Program Files\Ad Muncher\AdMunch.exe" "%1"
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mgjwin32.exe
O4 - Startup: NETBYNET.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll
O8 - Extra context menu item: SmarThru4 Сохранение выделенного - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Сохранить выбранный текст - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Сохранить как HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54B72DC-B4BD-4254-9ABD-4BF08818B5F0}: NameServer = 212.1.224.53 212.1.230.111
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба Google Update (gupdate1caba5324855450) (gupdate1caba5324855450) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 10740 bytes
Алексеев
Мастер
4/25/2010, 7:08:25 PM
Чесслово, стыдна, но с логами Хайджекзиса раньше почти не работал, поэтому попытаюсь здесь сделать показательный разбор. Раз уж тема пошла. Если кто заметит косяки, надеюсь, молчать не будет.
Итак, секцио номер раз: Running Process. Ничего подозрительного.
Далее: R0 - настроки стартовой страницы и поискового асситенита для IE - ничего.
R1 - настройки интернет-поиска - ничего.
O1 - настройки файла hosts - тут уже интереснее.
O1 - Hosts: 195.82.147.147 *какое-то порнухо*
O1 - Hosts: 195.82.147.120 *ещё порнухо*
O2 - Плагины и расширения браузера - чисто.
О3 - Дополнительные панели IE - чисто
O4 - Автоматически загружающиеся программы.
O4 - Startup: mgjwin32.exe - вот она, искомая зараза.
O4 - Startup: NETBYNET.lnk = ? - фиг знает, что такое. Лично у меня особого доверия не вызывает.
О8 - Дополнительные пункты контекстного меню IE. Ничего.
O9 - Дополнительные кнопки на главной панели IE. Ничего.
O17 - Изменения домена или ДНС-сервера.
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54B72DC-B4BD-4254-9ABD-4BF08818B5F0}: NameServer = 212.1.224.53 212.1.230.111 Похоже на вбитые рукаме ДНС провайдера или на причину ругани Каспрера на Яндекс. Одно из двух. Пока оставим.
O18 - Изменение существующих протоколов и фильтров. Ничего.
O20 - Уведомления Winlogon. Ничего.
O23 - работающие службы. Ничего.
Итог: Заразу нашли, осталось прибить, убрать из автозапуска и удалить, почистить hosts и сверить DNS-настройки. Активной заразы тут не видно, нужны логи AVZ. Собсна все :)
Итак, секцио номер раз: Running Process. Ничего подозрительного.
Далее: R0 - настроки стартовой страницы и поискового асситенита для IE - ничего.
R1 - настройки интернет-поиска - ничего.
O1 - настройки файла hosts - тут уже интереснее.
O1 - Hosts: 195.82.147.147 *какое-то порнухо*
O1 - Hosts: 195.82.147.120 *ещё порнухо*
O2 - Плагины и расширения браузера - чисто.
О3 - Дополнительные панели IE - чисто
O4 - Автоматически загружающиеся программы.
O4 - Startup: mgjwin32.exe - вот она, искомая зараза.
O4 - Startup: NETBYNET.lnk = ? - фиг знает, что такое. Лично у меня особого доверия не вызывает.
О8 - Дополнительные пункты контекстного меню IE. Ничего.
O9 - Дополнительные кнопки на главной панели IE. Ничего.
O17 - Изменения домена или ДНС-сервера.
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54B72DC-B4BD-4254-9ABD-4BF08818B5F0}: NameServer = 212.1.224.53 212.1.230.111 Похоже на вбитые рукаме ДНС провайдера или на причину ругани Каспрера на Яндекс. Одно из двух. Пока оставим.
O18 - Изменение существующих протоколов и фильтров. Ничего.
O20 - Уведомления Winlogon. Ничего.
O23 - работающие службы. Ничего.
Итог: Заразу нашли, осталось прибить, убрать из автозапуска и удалить, почистить hosts и сверить DNS-настройки. Активной заразы тут не видно, нужны логи AVZ. Собсна все :)
lozdok
Акула пера
4/25/2010, 9:15:21 PM
NETBYNET - это мой провайдер. инет в авто загрузке. попробую сделать логи avz, если получится.
Алексеев
Мастер
4/25/2010, 9:28:15 PM
Ясно. Ну да, инфу о ресурсах с айпишниками 212.1.224.53 и 212.1.230.111 стоило посмотреть сразу. Справедливо для обоих:
role: TI NOC
address: NetByNet holding
address: Moscow, Russia, 117105
address: Varshavskoe highway, 9 bld. 1B
Ждем логов :)
role: TI NOC
address: NetByNet holding
address: Moscow, Russia, 117105
address: Varshavskoe highway, 9 bld. 1B
Ждем логов :)
lozdok
Акула пера
4/25/2010, 10:14:56 PM
DELETED
Акула пера
4/25/2010, 10:35:16 PM
CODE begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Hijackthis:
Пофиксить все O1
195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Hijackthis:
Пофиксить все O1
195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
lozdok
Акула пера
4/25/2010, 10:50:59 PM
(JeyLo @ 25.04.2010 - время: 18:35) CODE begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Hijackthis:
Пофиксить все O1
195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
извините, а что означает Ваш пост? мне нужно что то сделать
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Hijackthis:
Пофиксить все O1
195.82.147.147 !!!!! ставьте ссылки на торренты только размещенные на форуме !!!!! static.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
195.82.147.120 bt.!!!!! ставьте ссылки на торренты только размещенные на форуме !!!!!
извините, а что означает Ваш пост? мне нужно что то сделать
DELETED
Акула пера
4/25/2010, 10:56:57 PM
https://sxn.io/index.php?act=artic...=one_art&a=1122
Начиная с "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл"
Начиная с "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл"
Алексеев
Мастер
4/25/2010, 11:58:03 PM
Составил примерно такой же скрипт, но меня опередили :)
Вроде все элементарно и просто. Удобно однако :)
Вроде все элементарно и просто. Удобно однако :)
lozdok
Акула пера
4/26/2010, 1:03:27 AM
(JeyLo @ 25.04.2010 - время: 18:56) https://sxn.io/index.php?act=artic...=one_art&a=1122
Начиная с "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл"
так я же выложил уже логи avz. что дальше то делать? я из Вашего поста не понял ничего. там написано компьютерным языком, а я мебельщик. Вы мне по русски напишите, удалить, сохранить или еще как нибудь. и что именно.
Начиная с "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл"
так я же выложил уже логи avz. что дальше то делать? я из Вашего поста не понял ничего. там написано компьютерным языком, а я мебельщик. Вы мне по русски напишите, удалить, сохранить или еще как нибудь. и что именно.
DELETED
Акула пера
4/26/2010, 2:12:50 AM
Откройте страницу по ссылке и найдите слова "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл". Там в четыре шага со скриншотами показано, как выполнить в AVZ указанный скрипт.
lozdok
Акула пера
4/26/2010, 3:00:34 AM
я делал все, как на картинках. кто нить мне скажет, получились логи avz или нет? зачем мне делать два раза одно и тоже? если не получились, буду делать заново. и вообще, причем здесь логи avz, если я говорю совсем про другой пост, где написано "пофиксить".
DELETED
Акула пера
4/26/2010, 3:05:17 AM
Если гора не идет к Магомету, значит Магомет идет к горе.
Из текста по ссылке:
Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл
Выбираем пункт "Выполнить скрипт"
.. и или вставляем скопированный в буфер обмена скрипт ..
или открываем с ранее сохраненный ...
и нажимаем кнопку "Запустить"...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Из текста по ссылке:
Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл
Выбираем пункт "Выполнить скрипт"
.. и или вставляем скопированный в буфер обмена скрипт ..
или открываем с ранее сохраненный ...
и нажимаем кнопку "Запустить"...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe','');
TerminateProcessByName('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
BC_DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\mgjwin32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
lozdok
Акула пера
4/26/2010, 6:00:35 PM
virusinfo_syscure.zip
virusinfo_syscheck.zip
лог avz после обновления баз. если опять не то, что нужно, значит я вообще ничего не понимаю.
virusinfo_syscheck.zip
лог avz после обновления баз. если опять не то, что нужно, значит я вообще ничего не понимаю.
DELETED
Акула пера
4/26/2010, 9:00:16 PM
CODE begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
RebootWindows(true);
end.
Кстати, klif.sys - это Касперский.
После перезагрузки выполните скрипт:
CODE begin
SearchRootkit(true, true);
end.
И сделайте логи.
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
RebootWindows(true);
end.
Кстати, klif.sys - это Касперский.
После перезагрузки выполните скрипт:
CODE begin
SearchRootkit(true, true);
end.
И сделайте логи.
lozdok
Акула пера
4/26/2010, 10:13:48 PM
я не понимаю, что означает текст в рамочках и как сделать скрипт того, что Вы просите. я незнаю где все это искать.
DELETED
Акула пера
4/26/2010, 10:57:49 PM
Вы издеваетесь? Чуть выше я вам уже в скриншотах в топик скопировал куда нажимать и куда чего вставлять.
Пятый раз:
Открываем AVZ.
Меню Файл.
Подменю "Выполнить скрипт".
Копируем скрипт, вставляем.
Нажимаем кнопочку "выполнить".
Пятый раз:
Открываем AVZ.
Меню Файл.
Подменю "Выполнить скрипт".
Копируем скрипт, вставляем.
Нажимаем кнопочку "выполнить".