-
Kaspersky 4.5, проблема с монитором.
Установила я Антивирус Касперского для Windows Workstations версия 4.5.0.104. Машины с W2k SP4 (русские и английские). На некоторых машинах (но не на всех) происходит странное - AVP Monitor не стартуется. В AVP Control Center написанно "Сбой", на AVP Network Control Center не отсылается вообще ничего (никакого предупреждения). В логах системы пишется событие с ID 7031 "Служба KAV Monitor Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Нет действия."
Кроме того, иногда, стартовав, монитор вылетает где-нибудь в середине дня с тем же сообщением об ошибке. Попробовала задать в сервисах, чтобы KAV Monitor service перестартовывал в случае ошибки. Это помогает, но не сильно - вирусы блокируются (и даже звук об их обнаружении раздается), но окошко с сообщением на рабочей станции не выскакивает и на AVP Network Control Center сообщение не отправляется.
Вирусов на этих машинах нет - проверяла неоднократно.
Кто-нибудь сталкивался с чем-то подобным и может что-то посоветовать?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"У меня новая фишка Касперик монитор опять не работает.
Долго не мог понять пока не открыл настройки
в настройках вместо дисков
стоит какаято хрень
А именнно
вместо A: !:
C: #:
D: $:
и так далее.
Каспер 4,5"
Конечно не совсем то..
Загляни на ИМХО в ветку обсуждения Касперского - возможно там есть что-то
http://www.imho.ws/showthread.php?t=33382
-
-
Сообщение от
OlK
Установила я Антивирус Касперского для Windows Workstations версия 4.5.0.104.
А почему старую версию? Она и по возможностям хуже, и тормозит значительно сильнее чем 5.
-
-
А почему старую версию? Она и по возможностям хуже, и тормозит значительно сильнее чем 5.
Насчет возможностей и стабильности - действительно. А насчет тормозов, доказывать и успорять не буду, 4.5. у меня в сетке у юзеров бегает шустрее и заметно. Это мои наблюдения.
OlK, где-то я уже такое встречал. Причин основных три. Неправильная работа services.exe. Соответственно и RPC. Настройки служб, то есть глючит какая-то из служб. Ну, и всем известный Msblast.
А как проверка происходила? Если Вы тут же пишете, что находит вирусы, а потом - вирусов нет, проверяла и т.д. Как понять?
Заплаточки есть к Винде? Сервис-пак 4 стоит?
Тут нужно вдуматься. Что имеем. Стоит локаль. Стоят разные машины 2000 (кстати XP есть либо другие? Как там себя система ведет?). Теперь обратимся к KAV. Его очень непросто прибить, то есть завершить работу. Там он себя контролирует разными способами. И сразу вырубить его сложно, он будет писать, что это системный процесс и т.д....
Конечно, можно было бы предположить, что KAV встал криво. Но. Например, согласимся, что он встал криво. А теперь зададим себе вопрос. Сразу на нескольких машинах встал криво? Вывод очевиден. Стоит нормально. Не в нем дело.
Также может быть глюк с драйверами протоколов и т.д., но тогда бы сетка криво работала, поэтому тоже отпадает.
Остается: Вирусы и службы.
Есть смысл глянуть в журнал самой системы.
Также попробовать выполнить команду regedit.exe. Если не выполнится - 99,99% - вирус.
Mblast - стоит. Это мое мнение. Но это догадки только.
Сначала посмотрите здесь
http://virusinfo.info/forum/showthread.php?t=1235
Это не просто так писалось. Начнем с этого. Логи нужны. Информации мало.
Вот после этого можно будет делать определенные выводы, а пока только догадки.
-
-
orvman
Отвечаю по порядку.
Ситуация следующая. Ранее на всех машинах стоял Касперский Персонал Про 3.5. Но с недавних пор (точнее с начала этого года) начал он работать не очень стабильно. Подобная проблема была на этом форуме описана (http://virusinfo.info/forum/showthread.php?t=2112) Поэтому решили перейти на Kaspersky 4.5 Сейчас часть машин на 3.5, часть на 4.5. С теми машинами, на которые поставили 4.5 и начались проблемы, описанные в этой ветке.
Переустановка происходила следующим образом: KAV 3.5 удалялся через "Установка/удаление програм" на панели управления, затем машина перегружалась. Вручную удалялись папки \Program Files\Common Files\AVP Shared Files и \Program Files\Kaspersky Lab.
После этого ставился Касперский для Windows Workstations 4.5.
Проверка на вирусы происходит сканером из того же Касперского. Проверка работоспособности монитора Касперского при помощи тестовой дискетки с вирусами. При попытке их скопировать монитор сигналит.
На проблемных машинах - W2k русские с SP4 и SP3, также W2k английские c SP4. Более поздних заплаток нет. На машинах с ХР (Prof Corporate + MUI) проблем пока что не возникало.
Логи с дувух машин с русским и английским W2k.
1. На всех машинах Ad-Aware обнаружил критические обьекты Alexa. Обьекты я удалил, но проблему это не решило.
Ad-Aware SE Build 1.05
Logfile Created on:20 мая 2005 г. 10
19
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R46 17.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):9 total references
MRU List(TAC index:0):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file
Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects
20.05.2005 1019 - Scan started. (Smart mode)
Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 108
ThreadCreationTime : 20.05.2005 6:09:08
BasePriority : Normal
#:2 [csrss.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 136
ThreadCreationTime : 20.05.2005 6:09:18
BasePriority : Normal
#:3 [winlogon.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 156
ThreadCreationTime : 20.05.2005 6:09:19
BasePriority : High
#:4 [services.exe]
FilePath : C:\WINNT\system32\
ProcessID : 184
ThreadCreationTime : 20.05.2005 6:09:21
BasePriority : Normal
FileVersion : 5.00.2195.6700
ProductVersion : 5.00.2195.6700
ProductName : Операционная система Microsoft (R) Windows (R) 2000
CompanyName : Корпорация Майкрософт
FileDescription : Приложение служб и контроллеров
InternalName : services.exe
LegalCopyright : (C) Корпорация Майкрософт (Microsoft Corp.), 1981-1999
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : C:\WINNT\system32\
ProcessID : 196
ThreadCreationTime : 20.05.2005 6:09:21
BasePriority : Normal
FileVersion : 5.00.2195.6695
ProductVersion : 5.00.2195.6695
ProductName : Операционная система Microsoft (R) Windows (R) 2000
CompanyName : Корпорация Майкрософт
FileDescription : Модуль и библиотека сервера LSA (экспортная версия)
InternalName : lsasrv.dll and lsass.exe
LegalCopyright : (C) Корпорация Майкрософт (Microsoft Corp.), 1981-1999
OriginalFilename : lsasrv.dll and lsass.exe
#:6 [svchost.exe]
FilePath : C:\WINNT\system32\
ProcessID : 348
ThreadCreationTime : 20.05.2005 6:09:24
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe
#:7 [winmgmt.exe]
FilePath : C:\WINNT\System32\WBEM\
ProcessID : 380
ThreadCreationTime : 20.05.2005 6:09:25
BasePriority : Normal
FileVersion : 1.50.1085.0100
ProductVersion : 1.50.1085.0100
ProductName : Инструментарий управления Windows
CompanyName : Корпорация Майкрософт
FileDescription : Инструментарий управления Windows
InternalName : WINMGMT
LegalCopyright : © Корпорация Майкрософт, 1995-1999
#:8 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 236
ThreadCreationTime : 20.05.2005 6:14:39
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE
#:9 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 256
ThreadCreationTime : 20.05.2005 600
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved
Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0
Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuText
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuStatusBar
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Script
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : HotIcon
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : ButtonText
Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
Rootkey : HKEY_USERS
Object : S-1-5-21-1547161642-1004336348-839522115-500\software\microsoft\internet explorer\extensions\cmdmapping
Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}
Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 9
Objects found so far: 9
Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 9
Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 9
Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Disk Scan Result for C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 9
Disk Scan Result for C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 9
Disk Scan Result for C:\DOCUME~1\9335~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 9
Scanning Hosts file......
Hosts file location:"C:\WINNT\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»
Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 9
MRU List Object Recognized!
Location: : C:\Documents and Settings\Администратор\recent
Description : list of recently opened documents
MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d
MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X
MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplicatio n
Description : most recent application to use microsoft directdraw
MRU List Object Recognized!
Location: : S-1-5-21-1547161642-1004336348-839522115-500\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14
1055 Scan Complete
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:36.359
Objects scanned:34385
Objects identified:9
Objects ignored:0
New critical objects:9
2. AVZ вирусов не обнаружил.
3. Лог HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 11:42:02, on 20.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ABBYY Lingvo\LvAgent.exe
C:\WINNT\system32\ntvdm.exe
C:\0\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://programmer/photo/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = MPS:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ABBYY Lingvo 7.0 Launcher .lnk = C:\Program Files\ABBYY Lingvo\LvAgent.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = transatlantic.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = transatlantic.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = transatlantic.ru
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe
StartupList report, 20.05.2005, 11:42:19
StartupList version: 1.52.2
Started from : C:\0\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Showing rarely important sections
==================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ABBYY Lingvo\LvAgent.exe
C:\WINNT\system32\ntvdm.exe
C:\0\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка]
ABBYY Lingvo 7.0 Launcher .lnk = C:\Program Files\ABBYY Lingvo\LvAgent.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Synchronization Manager = mobsync.exe /logon
SoundMAXPnP = C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
SoundMAX = "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
IgfxTray = C:\WINNT\System32\igfxtray.exe
HotKeysCmds = C:\WINNT\System32\hkcmd.exe
IMONTRAY = C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
AVPCC = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
internat.exe = internat.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP
E /CALLER:WINNT /user /install
[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
--------------------------------------------------
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\system32\ssstars.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINNT\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in C:\WINNT
- .reg open command is normal (regedit.exe %1)
- Company name NOT OK: 'Корпорация Майкрософт'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Редактор системного реестра'
Registry check failed!
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
--------------------------------------------------
Enumerating Download Program Files:
[XML DOM Document 4.0]
InProcServer32 = %SystemRoot%\System32\msxml4.dll
CODEBASE = file://C:\TempEI4\EI40_\msxml4.cab
[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...100.0634027778
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab
--------------------------------------------------
Enumerating Windows NT/2000/XP services
Среда сетевой поддержки AFD: \SystemRoot\System32\drivers\afd.sys (autostart)
Оповещатель: %SystemRoot%\System32\services.exe (autostart)
AVP Control Centre Service: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (autostart)
Обозреватель компьютеров: %SystemRoot%\System32\services.exe (autostart)
DHCP-клиент: %SystemRoot%\System32\services.exe (autostart)
Диспетчер логических дисков: %SystemRoot%\System32\services.exe (autostart)
DNS-клиент: %SystemRoot%\System32\services.exe (autostart)
Журнал событий: %SystemRoot%\system32\services.exe (autostart)
Драйвер класса HID Microsoft: System32\DRIVERS\hidusb.sys (autostart)
Intel(R) Active Monitor: C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe (autostart)
iSMBIOS: \??\C:\WINNT\System32\drivers\iSMBIOS.SYS (autostart)
KAV Monitor Service: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (autostart)
Сервер: %SystemRoot%\System32\services.exe (autostart)
Рабочая станция: %SystemRoot%\System32\services.exe (autostart)
Служба поддержки TCP/IP NetBIOS: %SystemRoot%\System32\services.exe (autostart)
Служба сообщений: %SystemRoot%\System32\services.exe (autostart)
Сетевой вход в систему: %SystemRoot%\System32\lsass.exe (autostart)
Съемные ЗУ: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
Агент политики IPSEC: %SystemRoot%\System32\lsass.exe (autostart)
Защищенное хранилище: %SystemRoot%\system32\services.exe (autostart)
Служба удаленного управления реестром: %SystemRoot%\system32\regsvc.exe (autostart)
Удаленный вызов процедур (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Remote Administrator Service: "C:\WINNT\system32\r_server.exe" /service (autostart)
Диспетчер учетных записей безопасности: %SystemRoot%\system32\lsass.exe (autostart)
Планировщик заданий: %SystemRoot%\system32\MSTask.exe (autostart)
Служба RunAs: %SystemRoot%\system32\services.exe (autostart)
Уведомление о системных событиях: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
SIODRV: \??\C:\WINNT\System32\drivers\SIODRV.SYS (autostart)
SoundMAX Agent Service: C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (autostart)
Диспетчер очереди печати: %SystemRoot%\system32\spoolsv.exe (autostart)
Клиент отслеживания изменившихся связей: %SystemRoot%\system32\services.exe (autostart)
Служба времени Windows: %SystemRoot%\System32\services.exe (autostart)
Инструментарий управления Windows: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
Автоматическое обновление: %systemroot%\system32\svchost.exe -k wugroup (autostart)
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll
--------------------------------------------------
End of report, 10 085 bytes
Report generated in 0,234 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
4. Лог AVZ
Протокол антивирусной утилиты AVZ версии 3.43
Сканирование запущено в 20.05.2005 11:42:36
Загружена база: 13515 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29994
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll
oadLibraryA (484) перехвачена, метод ProcAddressHijack.GetProcAddress ->793FFFC4<>793B05CF
Функция kernel32.dlloadLibraryExA (485) перехвачена, метод ProcAddressHijack.GetProcAddress ->793FFFD3<>793B0606
Функция kernel32.dlloadLibraryExW (486) перехвачена, метод ProcAddressHijack.GetProcAddress ->793FFFF1<>793BA952
Функция kernel32.dlloadLibraryW (487) перехвачена, метод ProcAddressHijack.GetProcAddress ->793FFFE2<>793B52C5
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 81667BE8 (261)
>>> Внимание, таблица KiST перемещена ! (804742B8(24
->81667BE8(261))
Функция ZwClose (1 перехвачена (8044F9A8->B7A387E0), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateProcess (29) перехвачена (804A9212->B7A38500), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateSection (2B) перехвачена (8049F7F1->B7A38970), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateThread (2E) перехвачена (804A89AD->B7A390CE), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwOpenProcess (6A) перехвачена (804A7D22->B7A38300), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwQueryInformationFile (82) перехвачена (804987C1->B7A38E2E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwQuerySystemInformation (97) перехвачена (80493B5B->B7A38F6E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwSetInformationProcess (C6) перехвачена (804A812B->B7A3AE60), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwTerminateProcess (E0) перехвачена (804A9BF3->B7A38CF0), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwTerminateThread (E1) перехвачена (804A9D2E->B7A38800), перехватчик C:\WINNT\system32\Drivers\klif.sys
Проверено функций: 248, перехвачено: 10, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 27
Количество загруженных модулей: 280
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
>>> C:\Program Files\ABBYY Lingvo\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\ABBYY Lingvo\LvHook.dll>>> Нейросеть: файл с вероятностью 99.58% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 14 TCP портов и 7 UDP портов
>>> Опасно: Порт 4899 TCP - Remote Admin ()
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 9967, найдено вирусов 0
Сканирование завершено в 20.05.2005 11:51:35
Сканирование длилось 00:08:58
ВТОРАЯ МАШИНА С W2K английской
Logfile of HijackThis v1.99.1
Scan saved at 10:17:52, on 20.05.05
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Common Files\Real\Update_OB\realevent.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\0\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http://MPS:80
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_ 7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_ 7_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: Windows Commander 32.lnk = C:\Program Files\wincmd\WINCMD32.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\System32\r_server.exe" /service (file missing)
StartupList report, 20.05.05, 10:18:26
StartupList version: 1.52.2
Started from : C:\0\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
* Showing rarely important sections
==================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Common Files\Real\Update_OB\realevent.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\0\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\Administrator.DOMAIN\Start Menu\Programs\Startup]
Windows Commander 32.lnk = C:\Program Files\wincmd\WINCMD32.EXE
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Synchronization Manager = mobsync.exe /logon
IgfxTray = C:\WINNT\System32\igfxtray.exe
HotKeysCmds = C:\WINNT\System32\hkcmd.exe
Smapp = C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
Promon.exe = Promon.exe
IMONTRAY = C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
LoadQM = loadqm.exe
AVPCC = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
internat.exe = internat.exe
Yahoo! Pager = C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINNT\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APPE /CALLER:WINNT /user /install
[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\System32\ie4uinit.exe
[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl
--------------------------------------------------
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=(NONE)
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINNT\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_ 7_0.dll - {02478D38-C3F9-4efb-9B51-7695ECA05670}
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
--------------------------------------------------
Enumerating Download Program Files:
[YInstStarter Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\yinsthelper.dll
CODEBASE = http://download.yahoo.com/dl/installs/yinst.cab
[YahooYMailTo Class]
InProcServer32 = C:\PROGRA~1\Yahoo!\Common\ymmapi20040613.dll
CODEBASE = http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
[MsnMessengerSetupDownloadControl Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
CODEBASE = http://messenger.msn.com/download/Ms...Downloader.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab
--------------------------------------------------
Enumerating Windows NT/2000/XP services
AFD Networking Support Environment: \SystemRoot\System32\drivers\afd.sys (autostart)
Alerter: %SystemRoot%\System32\services.exe (autostart)
AVP Control Centre Service: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (autostart)
Computer Browser: %SystemRoot%\System32\services.exe (autostart)
DHCP Client: %SystemRoot%\System32\services.exe (autostart)
Logical Disk Manager: %SystemRoot%\System32\services.exe (autostart)
DNS Client: %SystemRoot%\System32\services.exe (autostart)
Event Log: %SystemRoot%\system32\services.exe (autostart)
hardlock: \??\C:\WINNT\system32\drivers\hardlock.sys (autostart)
Haspnt: \DosDevices\C:\WINNT\system32\Drivers\Haspnt.sys (autostart)
Microsoft HID Class Driver: System32\DRIVERS\hidusb.sys (autostart)
Intel(R) Active Monitor: C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe (autostart)
iSMBIOS: \??\C:\WINNT\System32\drivers\iSMBIOS.SYS (autostart)
KAV Monitor Service: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (autostart)
Server: %SystemRoot%\System32\services.exe (autostart)
Workstation: %SystemRoot%\System32\services.exe (autostart)
TCP/IP NetBIOS Helper Service: %SystemRoot%\System32\services.exe (autostart)
Messenger: %SystemRoot%\System32\services.exe (autostart)
Net Logon: %SystemRoot%\System32\lsass.exe (autostart)
Removable Storage: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
NVKEYNT: \??\C:\WINNT\System32\DRIVERS\NVKEYNT.SYS (autostart)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC Policy Agent: %SystemRoot%\System32\lsass.exe (autostart)
Protected Storage: %SystemRoot%\system32\services.exe (autostart)
Remote Registry Service: %SystemRoot%\system32\regsvc.exe (autostart)
Remote Procedure Call (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Remote Administrator Service: "C:\WINNT\System32\r_server.exe" /service (autostart)
Security Accounts Manager: %SystemRoot%\system32\lsass.exe (autostart)
Task Scheduler: %SystemRoot%\system32\MSTask.exe (autostart)
RunAs Service: %SystemRoot%\system32\services.exe (autostart)
System Event Notification: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
SIODRV: \??\C:\WINNT\System32\drivers\SIODRV.SYS (autostart)
Print Spooler: %SystemRoot%\system32\spoolsv.exe (autostart)
Distributed Link Tracking Client: %SystemRoot%\system32\services.exe (autostart)
Windows Time: %SystemRoot%\System32\services.exe (autostart)
Windows Management Instrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
Automatic Updates: %systemroot%\system32\svchost.exe -k wugroup (autostart)
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll
--------------------------------------------------
End of report, 10 473 bytes
Report generated in 0,109 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
-
-
Протокол антивирусной утилиты AVZ версии 3.43
Сканирование запущено в 20.05.05 10:18:56
Загружена база: 13515 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29994
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (486) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C5C9FC4<>7C5901D5
Функция kernel32.dlloadLibraryExA (487) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C5C9FD3<>7C590296
Функция kernel32.dlloadLibraryExW (48 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C5C9FF1<>7C5904FD
Функция kernel32.dlloadLibraryW (489) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C5C9FE2<>7C590286
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 81643008 (261)
>>> Внимание, таблица KiST перемещена ! (804742B8(24->81643008(261))
Функция ZwClose (1 перехвачена (8044F9A8->BB82A7E0), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateProcess (29) перехвачена (804A9212->BB82A500), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateSection (2B) перехвачена (8049F7F1->BB82A970), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwCreateThread (2E) перехвачена (804A89AD->BB82B0CE), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwOpenProcess (6A) перехвачена (804A7D22->BB82A300), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwQueryInformationFile (82) перехвачена (804987C1->BB82AE2E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwQuerySystemInformation (97) перехвачена (80493B5B->BB82AF6E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwSetInformationProcess (C6) перехвачена (804A812B->BB82CE60), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwTerminateProcess (E0) перехвачена (804A9BF3->BB82ACF0), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция ZwTerminateThread (E1) перехвачена (804A9D2E->BB82A800), перехватчик C:\WINNT\system32\Drivers\klif.sys
Проверено функций: 248, перехвачено: 10, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 27
Количество загруженных модулей: 288
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
>>> C:\Program Files\InterVideo\Common\Bin\KeybdHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\InterVideo\Common\Bin\KeybdHook.dll>>> Нейросеть: файл с вероятностью 99.94% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 10 TCP портов и 7 UDP портов
>>> Опасно: Порт 1034 TCP - I-Worm.Mydoom.m backdoor ()
>>> Опасно: Порт 4899 TCP - Remote Admin ()
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 14436, найдено вирусов 0
Сканирование завершено в 20.05.05 10:32:07
Сканирование длилось 00:13:10
-
-
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing) почему-то пишется что фалйы отсутствуют.
-
-
У меня так-же HjT реагирует когда тип запуска выставлен "вручную"
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
-
-
Geser
О как! И ведь действительно! Но файлы-то есть! Только что проверила специально. И чтобы это значило?
-
-
Сообщение от
OlK
Geser
О как! И ведь действительно! Но файлы-то есть! Только что проверила специально. И чтобы это значило?
Файлы есть именно по тому пути что указан? Может просто глюк HijackThis, но нужно проверить путь.
А почему бы в их поддержку не написать? И почему не поставить последнюю версию КАВ?
-
-
C:\Program Files\InterVideo\Common\Bin\KeybdHook.dll
C:\Program Files\ABBYY Lingvo\LvHook.dll
Необходимо прислать Олегу на [email protected] c пометкой "в базу безопасных файлов"
-
-
Файлы именно по этому пути.
В техподдержку попробую написать. Правда KAV не лецензионный, ответят ли? С пятеркой видимо буду пробовать, но сначала хотелось бы с этим разобраться...
-
-
Сообщение от
OlK
Файлы именно по этому пути.
В техподдержку попробую написать. Правда KAV не лецензионный, ответят ли? С пятеркой видимо буду пробовать, но сначала хотелось бы с этим разобраться...
А нет-ли какого-нибудь софта, который общий для всех машин где проблемы? Например:
C:\WINNT\system32\drivers\hardlock.sys
C:\WINNT\System32\drivers\SIODRV.SYS
-
-
HATTIFNATTOR
Отправленно.
Geser
Единственное, что приходит на ум - на всех машинах (кроме одной на которой подобное тоже происходит) установленн Microsoft WinSock Proxy Version 2.0. - клиент для MS Proxy 2.0 Но, скажем, из двух тех машин, логи которых я прислала - на одной он активен, на другой нет. Да и есть машины на которых он стоит, но все работает нормально.
-
-
Сообщение от
OlK
HATTIFNATTOR
Отправленно.
Geser
Единственное, что приходит на ум - на всех машинах (кроме одной на которой подобное тоже происходит) установленн Microsoft WinSock Proxy Version 2.0. - клиент для MS Proxy 2.0 Но, скажем, из двух тех машин, логи которых я прислала - на одной он активен, на другой нет. Да и есть машины на которых он стоит, но все работает нормально.
А железо общее?
-
-
Материнские платы - Intel (все интегрированное), чипсеты зависят от года покупки. Харды Maxtor и Seagate, есть старенькие Fujitsu. Вобщем, примерно одно и тоже...
-
-
2Интересующимся
Вобщем проблема решилась.
Глубинные причины мне по-прежнему неизвестны, но... Короче, Антивирус Касперского™ для Windows Workstations (Версия 4.5.0.104 Дата выпуска: 27.08.2004), входящий в состав Busines Optimal - кривой. Причем, как в русском, так и английском вариантах.
Стоило заменить его на более ранний вариант (Version 4.5.0.58 Dated: 14.07.2003), как все сразу заработало нормально на всех машинах. Уж и не знаю, что они там "усовершенствовали".
З.Ы. Кстати, на форуме Касперского ответа я так и не дождалась...
-
