-
Junior Member
- Вес репутации
- 61
vdo_3560-750c.sys
Подхватил такую заразу.. как бороца???
Трафу гонит немерено!!!
Лог HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:52:31, on 24.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\usr\Apache2\bin\Apache.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
D:\usr\Apache2\bin\ApacheMonitor.exe
D:\usr\mysql\bin\mysqld-nt.exe
D:\usr\mysql\bin\winmysqladmin.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
D:\usr\Apache2\bin\Apache.exe
D:\антивирус\avz4\avz.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Total Commander XP\TOTALCMD.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\антивирус\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:mozilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 1:1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = www.ad.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 172.16.2.110 gudzon
O1 - Hosts: 127.0.0.2 www.ad.ru
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [QIP2005] D:\qip\qip.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WinMySQLadmin.lnk = D:\usr\mysql\bin\winmysqladmin.exe
O4 - Startup: егс.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = D:\usr\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Создание избранного на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Web Development Studio - {5541FAF3-07B6-4582-8968-C5C8EE902447} - http://delphiworld.narod.ru/wds.html (file missing)
O9 - Extra 'Tools' menuitem: Web Development Studio - {5541FAF3-07B6-4582-8968-C5C8EE902447} - http://delphiworld.narod.ru/wds.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Apache2 - Apache Software Foundation - D:\usr\Apache2\bin\Apache.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySql - Unknown owner - D:/usr/mysql/bin/mysqld-nt.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
End of file - 6237 bytes
Помоги вылечить... вторую неделю воюю с троянами и вирусами...
Заранее благодарен!
Последний раз редактировалось devais; 24.07.2007 в 01:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В начале темы читаем внимательно - Все просьбы о помощи ... и жмём на ссылку.
1. Убрать из вложений virusinfo_cure, и вместо него прицепить virusinfo_syscure.
AVZ - Файл >>> Выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\vdo_3560-796c.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\vdo_3560-796c.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прислать карантин нажав на ссылку Прислать запрошенные файлы в начале темы, и повторить все логи (virusinfo_syscheck, virusinfo_syscure, HijackThis).
Последний раз редактировалось RiC; 24.07.2007 в 01:32.
Причина: Добавлено сообщение
-
-
Junior Member
- Вес репутации
- 61
RiC,
Карантин я присылал...
Скрипт выполнил!
А стандартные скрипты выполняются....
выложу логи через несколько минут...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:44:15, on 24.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\DrWeb\spiderml.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\Messenger\msmsgs.exe
D:\usr\Apache2\bin\Apache.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\usr\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
D:\usr\Apache2\bin\ApacheMonitor.exe
D:\usr\mysql\bin\winmysqladmin.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\Program Files\Total Commander XP\TOTALCMD.EXE
D:\usr\Apache2\bin\Apache.exe
D:\антивирус\avz4\avz.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\антивирус\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:mozilla
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 172.16.2.110 gudzon
O1 - Hosts: 127.0.0.2 www.ad.ru
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [QIP2005] D:\qip\qip.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WinMySQLadmin.lnk = D:\usr\mysql\bin\winmysqladmin.exe
O4 - Startup: егс.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = D:\usr\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Создание избранного на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Web Development Studio - {5541FAF3-07B6-4582-8968-C5C8EE902447} - http://delphiworld.narod.ru/wds.html (file missing)
O9 - Extra 'Tools' menuitem: Web Development Studio - {5541FAF3-07B6-4582-8968-C5C8EE902447} - http://delphiworld.narod.ru/wds.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{57C66558-E7E5-4B9C-875C-A7126644D342}: NameServer = 89.113.49.98
O23 - Service: Apache2 - Apache Software Foundation - D:\usr\Apache2\bin\Apache.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySql - Unknown owner - D:/usr/mysql/bin/mysqld-nt.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
End of file - 6202 bytes
-
Junior Member
- Вес репутации
- 61
Вообще я думаю все хорошо.. так как уже трафик не гоница.....
Но все равно высылаю логи AVZ
virusinfo_syscure.zip
virusinfo_syscheck.zip
Последний раз редактировалось Shu_b; 24.07.2007 в 08:39.
-
Уберите карантин из сообщения!!
и прикрепите логи(все три) как положено.
-
-
Junior Member
- Вес репутации
- 61
Muzzle,
Млин..... Те вложения были логами.. просто я сделал сначала несколько сообщений, а потом пересобрал в Одно ..... Вот и получилось так!....
Да и вроде все сделали.....
А трояна я выслал в архиве как написано было в http://virusinfo.info/showthread.php?t=4567
теме...
ТАк что наказали мну не за что...
В ПиВе сила, в ваде микробЫ!
-
virusinfo_cure.zip - уберите из сообщения (это карантин)!
вы наверно плохо читаете правила...
C:\WINDOWS\System32\vdo_3560-796c.sys - Packed.Win32.Tibs.w (По Касперскому)
Настоятельно рекомендую обновить систему до SP2,так же обновить Internet Explorer (уже 7 версия) иначе вы можете стать постоянным гостем раздела "Помогите"
В логах больше ничего подозрительного не вижу,если проблем больше нет.то лечение можно считать законченным.
Советую работать за компьютером с правами ограниченного пользователя.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Последний раз редактировалось Muzzle; 24.07.2007 в 08:31.
Причина: добавил
-
-
Junior Member
- Вес репутации
- 61
SP2 ставить не хочу.. не нравица...
В виде броузера стоит Макстон, понятно что ИЕшный... но мне нравица... ИЕ вообще была всегда большой дирой...
За Лечение спасибо.. у мя все хорошо...А то винду переставлять было в лом.....
Спасибо...
Ака Devais!
В ПиВе сила, в ваде микробЫ!
-
Чем SP2 не нравиться?Он закрывает множество дырок через которые к вам могут попадать вирусы.Довольно мифическое представление,что SP2 является чем-то не обязательным и не нужным,не стоит пренебрегать обновлениями операционной системы. Хотя дело конечно ваше
http://www.microsoft.com/rus/windowsxp/sp2/default.mspx
Последний раз редактировалось Muzzle; 25.07.2007 в 03:31.
Причина: дополнил
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\vdo_3560-796c.sys - Packed.Win32.Tibs.w (DrWEB: BackDoor.Groan)
-