-
Вирус или Adware?
Привет!
Хорошо, что я случайно наткнулась на этот сайт.
На протяжении года у меня постоянно выскакивают рекламные сообщения о критических ошибках, заражениях и т. п. Естественно, при этом в сообщениях указывается веб адрес, по которому нужно пройти, чтобы избавиться от всего этого. Пару раз переустанавливала Винду (но не по причине этих сообщений) - и все равно они упорно продолжают появляться. Антивирусы (Dr. Web и Norton 2006) при неоднократных проверках ничего не обнаруживают.
Вот мои логи и очень надеюсь на помощь, потому что я разбираюсь в компьютерах хуже чайника
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Alex\LOCALS~1\Temp\Rar$EX01.547\Hijack This.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.narod.yandex.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program Files\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program Files\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Ярлык для AdMunch.lnk = C:\Program Files\Ad Muncher\AdMunch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05ba54d5...p/RdxIE601.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe
AVZ log
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (30) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=074C00)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D0000
SDT = 80544C00
KiST = 804FC624 (284)
Функция ZwAlertResumeThread (0C) перехвачена (8060781D->815C3B40), перехватчик не определен
Функция ZwAlertThread (0D) перехвачена (80562F2C->8145959, перехватчик не определен
Функция ZwAllocateVirtualMemory (11) перехвачена (8057DF4B->811DBE50), перехватчик не определен
Функция ZwConnectPort (1F) перехвачена (80565287->81530D9, перехватчик не определен
Функция ZwCreateKey (29) перехвачена (80563030->F7753300), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwCreateMutant (2B) перехвачена (80582A9F->815C69E, перехватчик не определен
Функция ZwCreateThread (35) перехвачена (8057F298->8122168, перехватчик не определен
Функция ZwDeleteKey (3F) перехвачена (80563D14->F77535A0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwDeleteValueKey (41) перехвачена (80563631->F7753CB0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwFreeVirtualMemory (53) перехвачена (8057E36E->8151EEF, перехватчик не определен
Функция ZwImpersonateAnonymousToken (59) перехвачена (8055735F->815C69B0), перехватчик не определен
Функция ZwImpersonateThread (5B) перехвачена (8055F8EF->815C3A6, перехватчик не определен
Функция ZwMapViewOfSection (6C) перехвачена (8057648D->8120842, перехватчик не определен
Функция ZwOpenEvent (72) перехвачена (8056735C->815C6B6, перехватчик не определен
Функция ZwOpenProcessToken (7B) перехвачена (8058147F->81598470), перехватчик не определен
Функция ZwOpenThreadToken (81) перехвачена (805845B3->8158700, перехватчик не определен
Функция ZwProtectVirtualMemory (89) перехвачена (8057CC95->F9AD3C50), перехватчик C:\WINDOWS\System32\drivers\wpsdrvnt.sys
Функция ZwQueryValueKey (B1) перехвачена (80575D81->815338F, перехватчик не определен
Функция ZwResumeThread (CE) перехвачена (8057F394->814CBB1, перехватчик не определен
Функция ZwSetContextThread (D5) перехвачена (80607F6A->8157000, перехватчик не определен
Функция ZwSetInformationProcess (E4) перехвачена (8057F45A->815B8E50), перехватчик не определен
Функция ZwSetInformationThread (E5) перехвачена (8058372D->8152500, перехватчик не определен
Функция ZwSetValueKey (F7) перехвачена (80563215->F7753F10), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS
Функция ZwShutdownSystem (F9) перехвачена (8061AE18->F9AD3990), перехватчик C:\WINDOWS\System32\drivers\wpsdrvnt.sys
Функция ZwSuspendProcess (FD) перехвачена (8060777F->815C7DC0), перехватчик не определен
Функция ZwSuspendThread (FE) перехвачена (805ABF08->8151A00, перехватчик не определен
Функция ZwTerminateProcess (101) перехвачена (8056C6DC->814ACB9, перехватчик не определен
Функция ZwTerminateThread (102) перехвачена (8056CE2E->8152100, перехватчик не определен
Функция ZwUnmapViewOfSection (10B) перехвачена (8056B931->814FC840), перехватчик не определен
Функция ZwWriteVirtualMemory (115) перехвачена (8057F7E6->811BCA2, перехватчик не определен
Проверено функций: 284, перехвачено: 30, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 51
Количество загруженных модулей: 429
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 19 TCP портов и 18 UDP портов
>>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 122798, извлечено из архивов: 95508, найдено вредоносных программ 0
Сканирование завершено в 17.04.2006 17:25:58
Сканирование длилось 00:48:12
Кто-то что-то у меня перехватывает - не знаю что, но все равно неприятно
Помогите, пожалуйста.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@Cyber Cherry
Пару раз переустанавливала Винду (но не по причине этих сообщений) - и все равно они упорно продолжают появляться.
от таких зверей вовеки не избавиться, если гулять по сети с Интернет Эксплорер и посылать почту через Аутлук Экспресс. .
А Нортон АВ - это тоже нехорошая программа.
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
Если есть возможность-удалите эту программу через Установки/Программы . Если не получится - удалите в безопасном модусе с помощью Hijackthis эту запись (поставить крючок+FIX CHECKED )- и потом удалите всю папку Aveo\*.*
EDIT: совсем забыл: пожалуйста не забывйте запостить в логфайле "голову" с данными по системе.
Последний раз редактировалось Rene-gad; 17.04.2006 в 19:40.
-
-
Спасибо за помощь - я удалила Attune, но сообщения все равно выскакивают. Честно говоря, я не пользуюсь Outlook Express, он у меня даже не настроен. А почему нельзя пользоваться Internet Explorer и где еще может сидеть такой рассыльщик сообщений?
-
-
И еще я забыла спросить: а что значат записи из AVZ лога о том, что у меня какие-то функции перехвачены и найдены таблицы экспорта? Кто-то мой компьютер держит как на ладони?
-
-
@Cyber Cherry
Спасибо за помощь - я удалила Attune, но сообщения все равно выскакивают.
если Ваши сообщения похожи на эти, поступите так, как описано .
А почему нельзя пользоваться Internet Explorer
Можно. Но из соображений безопасности не рекомендутся.Одну статью я Вам подвешу, остальные можете поискать через гуглу.
А насчёт АВЗ - не могу Вам помочь, т.к. мой Винд Made in Germany не поддерживает кодировку интерфейса
Последний раз редактировалось Rene-gad; 18.04.2006 в 13:45.
-
-
Сообщение от
Cyber Cherry
Спасибо за помощь - я удалила Attune, но сообщения все равно выскакивают.
Пожалуйста внимательно прочитайте правила ( http://virusinfo.info/showthread.php?t=1235 ), и сделайте логи согласно им.
-
-
Спасибо большое за советы и за статью. Я к тому же проверила систему Ad-Aware и оказалось, что у меня на компьютере аж 7 adware. Все удалила - теперь никаие сообщения не всплывают.
А может быть знает кто-нибудь какие-нибудь программы для чистки реестра - а то там столько всего накопилось за долгое время?
-
-
Скажите пожалуйста, а что это за файл такой SERVIC~1.EXE - он системный?
-
-
В какой-то степени. Это программа от мобильника.
-
-
Сообщение от
Cyber Cherry
А может быть знает кто-нибудь какие-нибудь программы для чистки реестра - а то там столько всего накопилось за долгое время?
попробуйте вот эту: http://www.hoverdesk.net/freeware.htm
-
-
Visiting Helper
- Вес репутации
- 76
C:\WINDOWS\htpatch.exe
Вышлите плз
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-