Показано с 1 по 5 из 5.

Перезагрузка компа + Вопросы по анализу логов HijackThis и avz (заявка № 20134)

  1. #1
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    3
    Вес репутации
    37

    Exclamation Перезагрузка компа + Вопросы по анализу логов HijackThis и avz

    В борьбе с компьютерной нечистью неопытен. За “детские” вопросы и действия прошу сильно ногами не пинать!
    Все началось с того, что 3-4 недели назад Agnitum Outpost (старенькая версия) при загрузке компа (после введения пароля пользователя), а также каждые 1-2 часа загружает процессор до 50-60% примерно на 1 минуту. Решил проверить систему.
    Прошерстил папки Run в реестре и наткнулся на ntos.exe. Из папки \system32\ удаляться не захотел, пришлось искать помощи в Инете. Нашел такое: изменил в реестре(путь уже не помню, что-то связанное с userinit.exe) ntos.exe на что-то типа ntos.exe_. После этого в безопасном режиме удалил ntos.exe из папки \system32\. С помощью avz удалил остатки из реестра.
    Затем с помощью HijackThis пофиксил capesnp.dll(Trojan/Backdoor), а потом, вроде еще и вручную его удалил из папки \system32\. И с помощью Ad-Aware SE Personal добил еще каких-то троянов типа Backdoor.Luker, Backdoor.Daodan и Backdoor.Delf, которые лезли через UDP-порты(смотрел в avz). По крайней мере после этого их больше не наблюдалось.
    Но через 1-2 дня после удаления capesnp.dll комп частенько в течении 1-2 минут после полной загрузки снова перегружался при запуске какой-нибудь программы (например, Проводника), а потом все, как правило, становится нормально. Возможно, что-то криво удалил.


    Это было небольшое описание того, что я делал в ближайшие пару недель. А теперь несколько вопросов.
    1) Посмотрите, пожалуйста, логи HijackThis и avz. Осталось ли там что-нибудь нездоровое?
    2) Могло ли кривое удаление ntos.exe и capesnp.dll повлиять на начавшуюся перезагрузку компа в начале его работы(через примерно 1-2 минуту после полной загрузки компа)?
    3) По полезной ссылке HijackThis analyzer на главной странице этого сайта решил проверить лог HijackThis с capesnp.dll. Вот вырезка из проверки – вроде как ничего опасного? Хотя в Инете много ссылок, что это Trojan/Backdoor. Непонятно.
    O2 - BHO: (no name) - {61A858D1-3A7C-42A7-A474-424B4849B459} - C:\WINXP\system32\capesnp.dll и далее написано Fuzzy Algorithmcheck (3.91 / 5.00), Safe

    4) Что это значит? Значит ли это, что у меня уже сидит троян/Backdoor или просто сканируются порты? (В случае а) – в меню Сервис -> Открытые порты TCP\UDP -> вкладка “Порты UDP” строки были красными, а в случае б) - вкладка “Порты TCP” строки были черными)
    а)Из лога avz:
    6. Ïîèñê îòêðûòû&#245 ; ïîðòîâ TCP/UDP, èñïîëüçó&# 229;ìûõ âðåäîíîñ&# 237;ûìè ïðîãðàìì&# 224;ìè
    Â áàçå 317 îïèñàíè&#233 ; ïîðòîâ
    Íà äàííîì ÏÊ îòêðûòî 9 TCP ïîðòîâ è 10 UDP ïîðòîâ
    >> Îáðàòèò&#229 ; âíèìàíè&#229 ;: Ïîðò 1116 UDP - Backdoor.Lurker (c:\winxp\system32\svchost.exe - îïîçíàí êàê áåçîïàñí&# 251;é ïðîöåñ&#241
    Íà çàìåòêó: Çàïîäîçð&# 229;ííûå ôàéëû ÍÅ ñëåäóåò óäàëÿòü, èõ ñëåäóåò ïðèñëàò&#252 ; äëÿ àíàëèçà (ïîäðîáíî& #241;òè â FAQ è ñïðàâê&#229
    б) Из лога avz_ports.htm:
    Порт -- Статус -- Remote Host -- Remote Port -- Приложение -- Примечания
    2745 -- ESTABLISHED -- 81.176.238.9 -- 80 -- [2316] c:\program files\maxthon\maxthon.exe-- I-Worm.Bagle.i backdoor

    И вообще, что значит в меню Сервис -> Открытые порты TCP\UDP часто появляющиеся сообщения о Trojan/Backdoor в столбце “Категория”?
    5) Что значит выражение “Прямое чтение”? Опасно ли это?
    Лог-файл virusinfo_syscure.htm:
    Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117475.dll
    Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117476.exe
    Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117477.sys
    и пр.
    Просто в E:\System Volume Information\_restore{..}\RP..\ у меня DrWeb и Ad-Aware SE Personal периодически находят троянов. Последний троян – A0159350.exe – Program.RemoteAdmin нашел DrWeb как раз перед тем, как сделал логи HijackThis и avz.
    6) Лог HijackThis. Опасно ли это?
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

    Примечание. Лог-файл virusinfo_syscure.htm: E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip/{ZIP}/ap4kg.exe >>> подозрение на Trojan-Downloader.Win32.Agent.aqr
    И DrWeb, и Ad-Aware SE Personal молчали про этот архив, но на всякий случай удалил.

    Файл klavaspy.zip – исходник проги на CBuilder. Искал различную инфу по CBuilder, заодно и эту скачал, вроде, с www.ishodniki.ru. Это не опасно.

    Буду благодарен, если будут ответы, хотя бы на ряд моих вопросов!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 в логах чисто ... ( нужно только отключить восстановление системы на диске Е )
    2 нет
    3 capesnp.dll - враг ...
    4 это значит только то что у вас открыт порт используемый трояном (закройте )
    5 повторяю ( нужно только отключить восстановление системы на диске Е )
    6 нет не опасно... dumprep отвечает за создание дампа памяти в случае критической ошибки ...
    E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...

  4. #3
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    3
    Вес репутации
    37
    Цитата Сообщение от V_Bond Посмотреть сообщение
    E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...
    Ссылка на SonicFoundry.zip(на компашке осталась) - http://slil.ru/25601126

    После проверки сообщите результат, пожалуйста.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в приложении 3 правил написано куда отсылать запрошенные файлы ...

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) FireDragon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. перезагрузка компа
      От 123pavel в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.02.2010, 10:14
    2. Сайт для анализа логов Hijackthis
      От vladovs в разделе Другие программы по безопасности
      Ответов: 4
      Последнее сообщение: 09.01.2010, 16:58
    3. Ответов: 1
      Последнее сообщение: 17.08.2009, 14:41
    4. Перезагрузка компа.
      От Renni в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 08.08.2008, 13:37
    5. Перезагрузка компа
      От Blade в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.10.2007, 15:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 17 queries