проблема с csrcs [Архив]

[v]enom

13.01.2009, 01:05

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\TWEAKM~1\TMTray.exe
C:\Program Files\TrafficCompressor\TCompres.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: TweakMASTER Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\PROGRA~1\TWEAKM~1\TweakBHO.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TweakMASTER] "C:\PROGRA~1\TWEAKM~1\TMTray.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [sXe Injected] C:\Program Files\sXe Injected\sXe Injected.exe
O4 - HKLM\..\Run: [TrafficCompressor] C:\Program Files\TrafficCompressor\TCompres.exe /Autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813349330466188719AB689201522886B092C BD44BD8689220221DD3257
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A57A3341-C7C5-4ED6-93F7-FDBDBE2BC5C6}: NameServer = 217.21.51.1,213.184.232.33
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - http://www.zeh.ru/shm/photo/lightning/1.jpg

--
End of file - 10781 bytes

[I]Добавлено через 12 минут

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 12.01.2009 23:50:05
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501044 (284)
Функция NtCreateKey (29) перехвачена (80618BF8->F74100E0), перехватчик sphz.sys
Функция NtCreateSection (32) перехвачена (8059F212->BA405C60), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtCreateThread (35) перехвачена (805C5ACC->BA4027F0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtEnumerateKey (47) перехвачена (80619438->F742ECA2), перехватчик sphz.sys
Функция NtEnumerateValueKey (49) перехвачена (806196A2->F742F030), перехватчик sphz.sys
Функция NtOpenFile (74) перехвачена (8056E254->BA4046C9), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtOpenKey (77) перехвачена (80619F8E->F74100C0), перехватчик sphz.sys
Функция NtOpenProcess (7A) перехвачена (805BFB74->BA4041B0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtProtectVirtualMemory (89) перехвачена (805AC4B6->BA403F20), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtQueryKey (A0) перехвачена (8061A2B2->F742F108), перехватчик sphz.sys
Функция NtQuerySystemInformation (AD) перехвачена (80606356->BA404CAE), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtQueryValueKey (B1) перехвачена (80616CB2->F742EF88), перехватчик sphz.sys
Функция NtReadVirtualMemory (BA) перехвачена (805A81C0->BA403A00), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtSetContextThread (D5) перехвачена (805C61EE->BA404070), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtSetValueKey (F7) перехвачена (806172B8->F742F19A), перехватчик sphz.sys
Функция NtSuspendThread (FE) перехвачена (805C93F6->BA403C3F), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtTerminateThread (102) перехвачена (805C76BE->BA403DCF), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtWriteVirtualMemory (115) перехвачена (805A82CA->BA405117), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Проверено функций: 284, перехвачено: 18, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=BA40B410 C:\Program Files\sXe Injected\ddsxei.sys
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D81F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 288
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DFA333.tmp
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 91155, извлечено из архивов: 74031, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.01.2009 23:59:26
Сканирование длилось 00:09:22
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[I]Добавлено через 38 секунд

http://d/games/2

[I]Добавлено через 1 минуту

не знаю блин... никак не удаляеццо :( и не видно его в систем 32 хотя ProcessXP утверждает что путь систем32 - csrcs.exe