|
| |||||||
| Регистрация | Сайт Spy | Список | Пожертвования | Поиск | Сегодняшние сообщения | Отметить форумы читать | Правила форума |
 |
 |
| | Резьба Инструменты |
|
#1
21 сен 2008, 12:02
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала LOGFILE от Trend Micro HijackThis v2.0.2 Сканирования сохраняются в 12:01:37 PM от 9/21/2008 Платформа: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Режим загрузки: Нормальный Запуск процессов: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ csrss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ ibmpmsvc.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe C: \ WINDOWS \ system32 \ Spoolsv.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Centenn.ial \ Аудит \ CAgent32.exe C: \ Centenn.ial \ Аудит \ xferwan.exe C: \ Program Files \ Cisco VPN Client \ cvpnd.exe C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe C: \ WINDOWS \ System32 \ TPHDEXLG.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe C: \ _integra \ Bin \ ccmagent.exe C: \ Program Files \ Lenovo \ System Update \ suservice.exe C: \ WINDOWS \ System32 \ alg.exe C: \ WINDOWS \ system32 \ calc.exe C: \ WINDOWS \ system32 \ calc.exe C: \ _integra \ Bin \ shstart.exe C: \ WINDOWS \ Explorer.EXE C: \ WINDOWS \ system32 \ tp4mon.exe C: \ WINDOWS \ system32 \ igfxtray.exe C: \ WINDOWS \ system32 \ hkcmd.exe C: \ WINDOWS \ system32 \ igfxpers.exe C: \ WINDOWS \ system32 \ NWTRAY.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe C: \ WINDOWS \ system32 \ igfxsrvc.exe C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe C: \ WINDOWS \ system32 \ TpShocks.exe C: \ Program Files \ Lenovo \ Hotkey \ TPONSCR.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe C: \ Program Files \ Lenovo \ Увеличить \ TpScrex.exe C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe C: \ WINDOWS \ system32 \ Taskmgr.exe C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ WINDOWS \ system32 \ wuauclt.exe C: \ WINDOWS \ system32 \ WBEM \ wmiprvse.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe C: \ WINDOWS \ system32 \ WBEM \ wmiprvse.exe F2 - REG: System.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ _inte Гра \ Bin \ shstart.exe O2 - BHO: AcroIEHlprObj класса - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ DLA \ tfswshx.dll O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [сохранение] C: \ WINDOWS \ system32 \ igfxpers.exe O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / R O4 - HKLM \ .. \ Run: [DLA] C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe O4 - HKLM \ .. \ Run: [TVT Планировщиком прокси] C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Пейджер] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихо O4 - HKUS \ S-1-5-19 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь местных СЕРВИС ') O4 - HKUS \ S-1-5-20 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь "пользователя по умолчанию ') O8 - Дополнительные контекстном меню пункт: E И Экспортировать в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000 O9 - Дополнительные кнопки: Исследования - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Дополнительные кнопки: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Экстра "Сервис" MENUITEM: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Агент 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): домен = keane.com O23 - Service: Lavasoft Ad-Aware обслуживания (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe O23 - Service: Управление приложениями обслуживания (AppMgSvc) - Неизвестный владелец - C: \ Program.exe (файл отсутствует) O23 - Service: BHCP обслуживания (BHsrv) - Неизвестный владелец - C: \ Program.exe (файл отсутствует) O23 - Service: Symantec Событие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: CentennialClientAgent - Столетие Software Limited - C: \ Centenn.ial \ Аудит \ CAgent32.exe O23 - Service: CentennialIPTransferAgent - Столетие Software Limited - C: \ Centenn.ial \ Аудит \ xferwan.exe O23 - Service: Клиент службы обновления для Novell (cusrvc) - Novell, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe O23 - Service: Cisco Systems, Inc VPN обслуживания (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN Client \ cvpnd.exe O23 - Service: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Intel (R) PROSet / Wireless Журнал событий (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe O23 - Service: ThinkPad PM обслуживания (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: Intel (R) PROSet / Wireless реестра обслуживания (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe O23 - Service: Intel (R) PROSet / Wireless обслуживания (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Сеть обслуживания водителей (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Обновление системы (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System Update \ suservice.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe O23 - Service: ThinkVantage реестра Monitor служба - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS логгинг обслуживания (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe O23 - Service: TVT Планировщиком - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe O23 - Service: Symantec LiveState Агента для Windows (WControl) - Symantec Corporation - C: \ _integra \ Bin \ ccmagent.exe -- Конец файла - 8621 байт |
|
#2
21 сен 2008, 15:30
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Загрузка Malwarebytes "Анти-вредоносных программ (MBAM)
Дополнительные Примечание: Если MBAM встреч файл, который трудно удалить, то вам будет предложен 1 2 подсказкам, нажмите "ОК", чтобы либо позволить MBAM и приступить к процессу дезинфекции, если запрос на перезагрузку компьютера, пожалуйста, сделайте это немедленно.
__________________  |
|
#3
21 сен 2008, 18:18
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Вредоносная программа не найдена, здесь доклад -------------------------------------------------- ---- 5.1.2600 Windows с пакетом обновления 2 9/21/2008 6:16:07 PM mbam-журнал-2008-09-21 (18-16-07). TXT Типы сканирования: быстрая проверка Объекты сканированный: 52621 Время прошло: 4 минут (ы), 41 секунд (ы) Памяти Процессов Зараженные: 0 Модули памяти Зараженные: 0 Ключи реестра Зараженные: 0 Зараженные реестра: 0 Реестр данные Зараженные: 0 Папки Зараженные: 0 Инфицированные файлы: 0 Памяти Процессов Зараженные: (Нет вредоносные элементы обнаружены) Модули памяти Зараженные: (Нет вредоносные элементы обнаружены) Зараженные ключи реестра: (Нет вредоносные элементы обнаружены) Зараженные реестра: (Нет вредоносные элементы обнаружены) Реестр данные Зараженные: (Нет вредоносные элементы обнаружены) Папки Зараженные: (Нет вредоносные элементы обнаружены) Зараженные файлы: (Нет вредоносные элементы обнаружены) |
|
#4
21 сен 2008, 18:40
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Существует нет вредоносной программы с указанием в любом журнале. Что же такое происходит?
__________________ |
|
#5
21 сен 2008, 19:23
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Несколько IEXPLORER.EXE процесса spwaning в процессе списка. Они сразу же появляются, если я убить их по одному. Иногда я слышу, как звучит один из тех Запуск любого браузера, но не видно. Существует безусловно, неправильно они не должны существовать. |
|
#6
21 сен 2008, 19:26
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Загрузить субтитры ComboFix по одной из ссылок ниже. Обязательно сохраните его рейтинг в Desktop. Ссылка # 1 Ссылка # 2 ** Примечание: Очень важно, что оно хранится прямо на Ваш рабочий стол Закройте все открытые веб-браузеров. (Firefox, Internet Explorer, и т.д.), прежде чем начинать ComboFix. Временно выключать ваш антивирус, А также любые защита от программ-шпионов Защита в реальном времени прежде выполнение сканирования. Нажмите эту ссылку для просмотра списка программ безопасности, которые должны быть отключены, и о том, как их отключить. Дважды щелкните combofix.exe И следуйте инструкциям на экране. После завершения ComboFix дадут журнал для вас. Разместить ComboFix журнала и новый HijackThis журнала В следующий ответ. Важно: Не mouseclick ComboFix окна во время его работы. Это может привести к ее срыва. Не забудьте снова включить ваш антивирус и антишпионских защиты, когда ComboFix завершена.
__________________ |
|
#7
21 сен 2008, 19:42
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала ComboFix Вход ----------------------- ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00] Запуск из: C: \ Keanetools \ ComboFix.exe * Создали новую точку восстановления ВНИМАНИЕ-Эта машина не имеет консоли восстановления установлен!! . Другие ((((((((((((((((((((((((((((((((((((((( Исключенные ))))))))) )))))))))))))))))))))))))))))))))))))))) . C: \ Documents и Settings \ LocalService \ Cookies \ system@ad.yieldmanag ER [1]. TXT C: \ WINDOWS \ system32 \ x64 . ((((((((((((((((((((((((((((((((((((((( Водители / Услуги )))))))) ))))))))))))))))))))))))))))))))))))))))) . ------- \ Legacy_BHSRV ------- \ Service_BHsrv ((((((((((((((((((((((((( Файлов, созданных с 2008-08-22 до 2008-09-22 ))))))))))) )))))))))))))))))))) . 2008-09-21 18:09. 2008-09-21 18:10 <DIR> D -------- C: \ Program Files \ Malwarebytes "Анти-вредоносных программ 2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Malwarebytes 2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents и Settings \012466 \ Application Data \ Malwarebytes 2008-09-21 18:09. 2008-09-10 00:04 38528 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys 2008-09-21 18:09. 2008-09-10 00:03 17200 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys 2008-09-21 11:07. 2008-09-21 11:07 <DIR> D -------- C: \ Program Files \ Lavasoft 2008-09-21 11:07. 2008-09-21 11:08 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Lavasoft 2008-09-21 11:06. 2008-09-21 11:06 <DIR> D -------- C: \ Program Files \ Common Files \ Мудрый Мастер установки 2008-09-20 23:40. 2008-09-20 23:40 <DIR> D -------- C: \ Program Files \ Trend Micro 2008-09-19 09:03. 2008-09-19 09:08 <DIR> D -------- C: \ WINDOWS \ SxsCaPendDel 2008-09-19 00:49. 2008-09-19 00:52 <DIR> D -------- C: \ Documents и Settings \012466 \. Housecall6.6 2008-09-19 00:27. 2008-09-19 09:04 <DIR> да ------ C: \ Documents и Settings \ All Users \ Application Data \ TEMP 2008-09-18 20:25. 2002-02-04 06:22 1230336 - одна ------ C: \ WINDOWS \ system32 \ msxml4.dll 2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe 2008-09-18 20:25. 2002-02-04 06:13 82432 - A ------ C: \ WINDOWS \ system32 \ msxml4r.dll 2008-09-18 20:25. 2002-02-04 06:13 44544 - A ------ C: \ WINDOWS \ system32 \ msxml4a.dll 2008-09-18 20:25. 2002-02-07 18:43 9679 - в ------ C: \ WINDOWS \ system32 \ msxml4r.cat 2008-09-18 20:25. 2002-02-07 18:43 9675 - в ------ C: \ WINDOWS \ system32 \ msxml4.cat 2008-09-18 20:25. 2002-02-06 20:31 3,489 - один ------ C: \ WINDOWS \ system32 \ msxml4.Manifest 2008-09-18 20:25. 2002-02-06 20:31 500 - один ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest 2008-09-18 20:21. 2008-09-18 20:21 <DIR> D -------- C: \ Program Files \ Common Files \ Lenovo 2008-09-18 18:27. 2008-09-21 11:54 21272 - A ------ C: \ WINDOWS \ system32 \ bynpea.key 2008-09-18 18:25. 2008-09-18 18:25 1 - ------ C: \ WINDOWS \ system32 \004fdb9.imi 2008-09-15 14:23. 2008-09-15 14:23 332800 --- HS ---- C: \ WINDOWS \ system32 \ _Bhsrv.msi 2008-09-15 12:15. 2008-09-18 15:57 69942 - A ------ C: \ WINDOWS \ system32 \ rrjack.key 2008-09-15 12:15. 2008-09-15 12:15 1 - ------ C: \ WINDOWS \ system32 \0048444.imi 2008-09-13 19:27. 2008-09-13 19:27 24 - A ------ C: \ WINDOWS \ cdplayer.ini 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Real 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Xing общей 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Real . (((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2008-09-22 02:33 --------- D ----- W C: \ Program Files \ Symantec AntiVirus 2008-09-22 02:33 --------- D ----- W C: \ Program Files \ Cisco VPN клиент 2008-09-21 18:56 16 - SH - R C: \ MSCIOTL.SYS 2008-09-21 18:55 8416 ---- AW C: \ WINDOWS \ System32 \ Drivers \ CDProbe.SYS 2008-09-20 19:26 430816 - SH - W C: \ Program Files \ _MsInfo.msi 2008-09-19 03:25 --------- D - H - W C: \ Program Files \ InstallShield установка информации 2008-09-19 03:25 --------- D ----- W C: \ Program Files \ ThinkVantage 2008-09-19 03:21 --------- D ----- W C: \ Program Files \ Lenovo . ((((((((((((((((((((((((((((((((((((( Рег погрузки )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * Примечание * пустой записи И законным записи по умолчанию, не отображаются REGEDIT4 [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре ntVersion \ Run] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360] "Yahoo! Пейдж" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entVersion \ Run] "IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848] "HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328] "Стойкость" = "C: \ WINDOWS \ system32 \ igfxpers.ex е" [2007-08-15 137752] "ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-03-24 53408] "vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656] "TPHOTKEY" = "C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe" [2007-03-09 66176] "UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592] "DLA" = "C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe" [2005-05-19 127037] "EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248] "LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368] "ТВТ Планировщиком прокси" = "C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe" [2008-03-04 487424] "TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896] "TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe] "NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe] "TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe] [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run] "Коммуникатор" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entversion \ Policies \ System] "CompatibleRUPSecurity" = 1 (0x1) [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ текущ. rentversion \ Policies \ Explorer] "StartMenuLogOff" = 1 (0x1) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2] 2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ Hotkey \ notifyf2.dll [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey] 2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ Hotkey \ tphklock.dll [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Контроль L \ LSA] Аутентификация Пакеты REG_MULTI_SZ MSV1_0 nwv1_0 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Мониторинг \ SymantecAntiVirus] "DisableMonitoring" = DWORD: 00000001 [HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List] "% WINDIR% \ \ system32 \ \ sessmgr.exe" = "C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" = "C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" = R0 Shockprf; Shockprf; C: \ WINDOWS \ System32 \ Drivers \ Apsx 86.sys [2007-03-02 100656] R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ System32 \ Drivers \ ApsH M86.sys [2007-03-02 19760] R2 smefs; SMEFileSystem; C: \ WINDOWS \ System32 \ Drivers \ см efs.sys [2006-02-08 20508] R3 CdProbe; CdProbe; C: \ WINDOWS \ System32 \ Drivers \ cdprob e.sys [2008-09-21 8416] R3 smedrv; SMEDriver; C: \ WINDOWS \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516] S2 AppMgSvc; Применение управления Службы; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816] S2 yraebbgi; yraebbgi; C: \ WINDOWS \ System32 \ Drivers \ bynp ea.sys [] S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ System32 \ Drivers \ rrja ck.sys [] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost] wrtxzg REG_MULTI_SZ wrtxzg nraebb REG_MULTI_SZ nraebb . . Дополнительная Scan ------- ------- . R0 -: HKCU-Майне, стартовая страница = hxxp: / / www.google.com/ O8 -: Е И Экспортировать в Microsoft Excel - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000 . ************************************************** ************************ catchme 0.3.1361 W2K/XP/Vista - руткит / стелс вредоносной программы детектора Gmer, http://www.gmer.net Rootkit сканирования 2008-09-21 19:35:12 5.1.2600 Windows с пакетом обновления 2 NTFS сканирования скрытых процессов ... сканирования скрытых автостарт записи ... Сканирование скрытые файлы ... сканирование успешно завершено скрытые файлы: 0 ************************************************** ************************ [HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ A ppMgSvc] "ImagePath" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi" . --------------------- Библиотек DLL загружено Под запущенных процессов --------------------- ПРОЦЕСС: C: \ WINDOWS \ system32 \ winlogon.exe -> C: \ Program Files \ Lenovo \ Hotkey \ tphklock.dll . ------------------------ Другие запущенные процессы ----------------------- -- . C: \ WINDOWS \ system32 \ ibmpmsvc.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe C: \ _integra \ Bin \ shstart.exe C: \ WINDOWS \ system32 \ igfxsrvc.exe C: \ Program Files \ Lenovo \ Hotkey \ TPONSCR.exe C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe C: \ Program Files \ Symantec AntiVirus \ DoScan.exe C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ CENTENN.IAL \ AUDIT \ CAgent32.exe C: \ CENTENN.IAL \ AUDIT \ xferwan.exe C: \ Program Files \ Cisco VPN Client \ cvpnd.exe C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe C: \ WINDOWS \ system32 \ calc.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe C: \ WINDOWS \ system32 \ TPHDEXLG.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe C: \ _integra \ Bin \ ccmagent.exe C: \ Program Files \ Lenovo \ System Обновление \ SUService.exe C: \ WINDOWS \ system32 \ wscntfy.exe C: \ ComboFix \ pv.cfexe . ************************************************** ************************ . Время завершения: 2008-09-21 19:36:58 - машина была перезагружена ComboFix-карантине-files.txt 2008-09-22 02:36:54 Предсессионная Пробег: 64333811712 байт бесплатно Пост-Выполнить: 64523264000 байт бесплатно 175 HijackThis Вход ----------------------------------- LOGFILE от Trend Micro HijackThis v2.0.2 Сканирования сохраняются в 7:38:41 PM от 9/21/2008 Платформа: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Режим загрузки: Нормальный Запуск процессов: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ ibmpmsvc.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe C: \ WINDOWS \ system32 \ Spoolsv.exe C: \ _integra \ Bin \ shstart.exe C: \ WINDOWS \ system32 \ tp4mon.exe C: \ WINDOWS \ system32 \ igfxtray.exe C: \ WINDOWS \ system32 \ hkcmd.exe C: \ WINDOWS \ system32 \ igfxpers.exe C: \ WINDOWS \ system32 \ NWTRAY.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe C: \ WINDOWS \ system32 \ igfxsrvc.exe C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe C: \ Program Files \ Lenovo \ Hotkey \ TPONSCR.exe C: \ Program Files \ Lenovo \ Увеличить \ TpScrex.exe C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe C: \ WINDOWS \ system32 \ TpShocks.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ WINDOWS \ system32 \ svchost.exe C: \ Centenn.ial \ Аудит \ CAgent32.exe C: \ Centenn.ial \ Аудит \ xferwan.exe C: \ Program Files \ Cisco VPN Client \ cvpnd.exe C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe C: \ WINDOWS \ system32 \ calc.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe C: \ WINDOWS \ System32 \ TPHDEXLG.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe C: \ _integra \ Bin \ ccmagent.exe C: \ Program Files \ Lenovo \ System Update \ suservice.exe C: \ WINDOWS \ system32 \ wscntfy.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ WINDOWS \ Explorer.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, поиск Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj класса - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ DLA \ tfswshx.dll O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [сохранение] C: \ WINDOWS \ system32 \ igfxpers.exe O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / R O4 - HKLM \ .. \ Run: [DLA] C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe O4 - HKLM \ .. \ Run: [TVT Планировщиком прокси] C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Пейджер] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихо O4 - HKUS \ S-1-5-19 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь местных СЕРВИС ') O4 - HKUS \ S-1-5-20 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [коммуникатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (Пользователь "пользователя по умолчанию ') O8 - Дополнительные контекстном меню пункт: E И Экспортировать в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000 O9 - Дополнительные кнопки: Исследования - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Дополнительные кнопки: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Экстра "Сервис" MENUITEM: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Агент 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): домен = keane.com O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): имен = 172.21.18.101,172.21.18.102 O23 - Service: Lavasoft Ad-Aware обслуживания (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe O23 - Service: Управление приложениями обслуживания (AppMgSvc) - Неизвестный владелец - C: \ Program.exe (файл отсутствует) O23 - Service: Symantec Событие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: CentennialClientAgent - Столетие Software Limited - C: \ Centenn.ial \ Аудит \ CAgent32.exe O23 - Service: CentennialIPTransferAgent - Столетие Software Limited - C: \ Centenn.ial \ Аудит \ xferwan.exe O23 - Service: Клиент службы обновления для Novell (cusrvc) - Novell, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe O23 - Service: Cisco Systems, Inc VPN обслуживания (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN Client \ cvpnd.exe O23 - Service: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Intel (R) PROSet / Wireless Журнал событий (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe O23 - Service: ThinkPad PM обслуживания (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: Intel (R) PROSet / Wireless реестра обслуживания (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe O23 - Service: Intel (R) PROSet / Wireless обслуживания (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Сеть обслуживания водителей (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Обновление системы (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System Update \ suservice.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe O23 - Service: ThinkVantage реестра Monitor служба - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS логгинг обслуживания (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe O23 - Service: TVT Планировщиком - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe O23 - Service: Symantec LiveState Агента для Windows (WControl) - Symantec Corporation - C: \ _integra \ Bin \ ccmagent.exe -- Конец файла - 8581 байт |
|
#8
21 сен 2008, 21:24
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Примечание: ниже инструкции были созданы специально для данного пользователя. Если вы не этому пользователю, НЕ следовать этим направлениям, как они могут повредить работе вашей системы Удалите эти файлы и папки, а именно: 1. Перейти к Начало > Бежать > Тип Notepad.exe и нажмите OK , чтобы открыть Блокнот. Это должен Блокнот быть не Wordpad. 2. Скопировать текст в поле ниже код, выделив весь текст и нажав Ctrl + C Код: KillAll:: Драйвера:: BHSRV BHsrv Файл:: C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ 004fdb9.imi C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \ rrjack. ключом C: \ WINDOWS \ system32 \ 0048444.imi C: \ WINDOWS \ System32 \ Drivers \ bynpea.sys C: \ WINDOWS \ System32 \ Drivers \ rrjack.sys C: \ WINDOWS \ system32 \ calc.exe 4. Затем нажмите Файл > Сохранить 5. Имя файла CFScript.txt - Сохраните файл на рабочий стол 6. Затем перетащите CFScript (удерживая левую кнопку мыши при перетаскивании файла), и его падение (отпустите левую кнопку мыши), в ComboFix.exe как вы видите на скриншоте ниже. Важно: Выполнить эту инструкцию внимательно!  ComboFix начнет выполнять, просто следуйте инструкциям на экране. После перезагрузки (в случае, если она просит перезагрузки), он будет производить журнал для вас. Почтовые что журнал (Combofix.txt) в следующем ответе. Примечание: Не mouseclick ComboFix окна во время его работы. Это может привести к системному заморозить
__________________ |
|
#9
21 сен 2008, 22:20
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала ComboFix лог после запуска CFSCript -------------------------------------------------- -------- ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00] Запуск из: C: \ Keanetools \ ComboFix.exe Командование выключатели используются:: C: \ Documents и Settings \012466 \ Desktop \ CFScript.txt * Создали новую точку восстановления ВНИМАНИЕ-Эта машина не имеет консоли восстановления установлен!! ФАЙЛОВ:: C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \0048444.imi C: \ WINDOWS \ system32 \004fdb9.imi C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ calc.exe C: \ WINDOWS \ System32 \ Drivers \ bynpea.sys C: \ WINDOWS \ System32 \ Drivers \ rrjack.sys C: \ WINDOWS \ system32 \ rrjack.key . Другие ((((((((((((((((((((((((((((((((((((((( Исключенные ))))))))) )))))))))))))))))))))))))))))))))))))))) . C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \0048444.imi C: \ WINDOWS \ system32 \004fdb9.imi C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ calc.exe C: \ WINDOWS \ system32 \ rrjack.key . ((((((((((((((((((((((((( Файлов, созданных с 2008-08-22 до 2008-09-22 ))))))))))) )))))))))))))))))))) . 2008-09-21 18:09. 2008-09-21 18:10 <DIR> D -------- C: \ Program Files \ Malwarebytes "Анти-вредоносных программ 2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Malwarebytes 2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents и Settings \012466 \ Application Data \ Malwarebytes 2008-09-21 18:09. 2008-09-10 00:04 38528 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys 2008-09-21 18:09. 2008-09-10 00:03 17200 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys 2008-09-21 11:07. 2008-09-21 11:07 <DIR> D -------- C: \ Program Files \ Lavasoft 2008-09-21 11:07. 2008-09-21 11:08 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Lavasoft 2008-09-21 11:06. 2008-09-21 11:06 <DIR> D -------- C: \ Program Files \ Common Files \ Мудрый Мастер установки 2008-09-20 23:40. 2008-09-20 23:40 <DIR> D -------- C: \ Program Files \ Trend Micro 2008-09-19 09:03. 2008-09-19 09:08 <DIR> D -------- C: \ WINDOWS \ SxsCaPendDel 2008-09-19 00:49. 2008-09-19 00:52 <DIR> D -------- C: \ Documents и Settings \012466 \. Housecall6.6 2008-09-19 00:27. 2008-09-19 09:04 <DIR> да ------ C: \ Documents и Settings \ All Users \ Application Data \ TEMP 2008-09-18 20:25. 2002-02-04 06:22 1230336 - одна ------ C: \ WINDOWS \ system32 \ msxml4.dll 2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe 2008-09-18 20:25. 2002-02-04 06:13 82432 - A ------ C: \ WINDOWS \ system32 \ msxml4r.dll 2008-09-18 20:25. 2002-02-04 06:13 44544 - A ------ C: \ WINDOWS \ system32 \ msxml4a.dll 2008-09-18 20:25. 2002-02-07 18:43 9679 - в ------ C: \ WINDOWS \ system32 \ msxml4r.cat 2008-09-18 20:25. 2002-02-07 18:43 9675 - в ------ C: \ WINDOWS \ system32 \ msxml4.cat 2008-09-18 20:25. 2002-02-06 20:31 3,489 - один ------ C: \ WINDOWS \ system32 \ msxml4.Manifest 2008-09-18 20:25. 2002-02-06 20:31 500 - один ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest 2008-09-18 20:21. 2008-09-18 20:21 <DIR> D -------- C: \ Program Files \ Common Files \ Lenovo 2008-09-13 19:27. 2008-09-13 19:27 24 - A ------ C: \ WINDOWS \ cdplayer.ini 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Real 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Xing общей 2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Real . (((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2008-09-22 05:14 8416 ---- AW C: \ WINDOWS \ System32 \ Drivers \ CDProbe.SYS 2008-09-22 05:14 16 - SH - R C: \ MSCIOTL.SYS 2008-09-22 05:14 --------- D ----- W C: \ Program Files \ Symantec AntiVirus 2008-09-22 03:07 --------- D ----- W C: \ Program Files \ Cisco VPN клиент 2008-09-20 19:26 430816 - SH - W C: \ Program Files \ _MsInfo.msi 2008-09-19 03:25 --------- D - H - W C: \ Program Files \ InstallShield установка информации 2008-09-19 03:25 --------- D ----- W C: \ Program Files \ ThinkVantage 2008-09-19 03:21 --------- D ----- W C: \ Program Files \ Lenovo . ((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) ))))))))))))))))))))))))))))))) . - 2008-09-21 18:59:45 71370 ---- AW C: \ WINDOWS \ system32 \ perfc009.dat + 2008-09-22 02:39:43 71370 ---- AW C: \ WINDOWS \ system32 \ perfc009.dat - 2008-09-21 18:59:45 439832 ---- AW C: \ WINDOWS \ system32 \ perfh009.dat + 2008-09-22 02:39:43 439832 ---- AW C: \ WINDOWS \ system32 \ perfh009.dat . ((((((((((((((((((((((((((((((((((((( Рег погрузки )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * Примечание * пустой записи И законным записи по умолчанию, не отображаются REGEDIT4 [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре ntVersion \ Run] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360] "Yahoo! Пейдж" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entVersion \ Run] "IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848] "HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328] "Стойкость" = "C: \ WINDOWS \ system32 \ igfxpers.ex е" [2007-08-15 137752] "ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-03-24 53408] "vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656] "TPHOTKEY" = "C: \ Program Files \ Lenovo \ Hotkey \ TPOSDSVC.exe" [2007-03-09 66176] "UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592] "DLA" = "C: \ WINDOWS \ system32 \ DLA \ tfswctrl.exe" [2005-05-19 127037] "EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248] "LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368] "ТВТ Планировщиком прокси" = "C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ scheduler_proxy.exe" [2008-03-04 487424] "TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896] "TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe] "NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe] "TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe] [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run] "Коммуникатор" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entversion \ Policies \ System] "CompatibleRUPSecurity" = 1 (0x1) [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ текущ. rentversion \ Policies \ Explorer] "StartMenuLogOff" = 1 (0x1) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2] 2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ Hotkey \ notifyf2.dll [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey] 2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ Hotkey \ tphklock.dll [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Контроль L \ LSA] Аутентификация Пакеты REG_MULTI_SZ MSV1_0 nwv1_0 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Мониторинг \ SymantecAntiVirus] "DisableMonitoring" = DWORD: 00000001 [HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List] "% WINDIR% \ \ system32 \ \ sessmgr.exe" = "C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" = "C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" = R0 Shockprf; Shockprf; C: \ WINDOWS \ System32 \ Drivers \ Apsx 86.sys [2007-03-02 100656] R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ System32 \ Drivers \ ApsH M86.sys [2007-03-02 19760] R2 smefs; SMEFileSystem; C: \ WINDOWS \ System32 \ Drivers \ см efs.sys [2006-02-08 20508] R3 CdProbe; CdProbe; C: \ WINDOWS \ System32 \ Drivers \ cdprob e.sys [2008-09-21 8416] R3 smedrv; SMEDriver; C: \ WINDOWS \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516] S2 AppMgSvc; Применение управления Службы; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816] S2 yraebbgi; yraebbgi; C: \ WINDOWS \ System32 \ Drivers \ bynp ea.sys [] S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ System32 \ Drivers \ rrja ck.sys [] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost] wrtxzg REG_MULTI_SZ wrtxzg nraebb REG_MULTI_SZ nraebb . ************************************************** ************************ catchme 0.3.1361 W2K/XP/Vista - руткит / стелс вредоносной программы детектора Gmer, http://www.gmer.net Rootkit сканирования 2008-09-21 22:16:04 5.1.2600 Windows с пакетом обновления 2 NTFS сканирования скрытых процессов ... сканирования скрытых автостарт записи ... Сканирование скрытые файлы ... C: \ WINDOWS \ system32 \ calc.exe сканирование успешно завершено скрытые файлы: 1 ************************************************** ************************ [HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ A ppMgSvc] "ImagePath" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi" . --------------------- Библиотек DLL загружено Под запущенных процессов --------------------- ПРОЦЕСС: C: \ WINDOWS \ system32 \ winlogon.exe -> C: \ Program Files \ Lenovo \ Hotkey \ tphklock.dll . ------------------------ Другие запущенные процессы ----------------------- -- . C: \ WINDOWS \ system32 \ ibmpmsvc.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ S24EvMon.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE C: \ CENTENN.IAL \ AUDIT \ CAgent32.exe C: \ CENTENN.IAL \ AUDIT \ xferwan.exe C: \ Program Files \ Cisco VPN Client \ cvpnd.exe C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ Program Files \ Intel \ Беспроводные \ Bin \ EvtEng.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ Program Files \ Intel \ Беспроводные \ Bin \ RegSrvc.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe C: \ WINDOWS \ system32 \ TPHDEXLG.exe C: \ Program Files \ Common Files \ Lenovo \ Планировщиком \ tvtsched.exe C: \ _integra \ Bin \ ccmagent.exe C: \ Program Files \ Lenovo \ System Обновление \ SUService.exe C: \ _integra \ Bin \ shstart.exe C: \ WINDOWS \ system32 \ igfxsrvc.exe C: \ Program Files \ Lenovo \ Hotkey \ TPONSCR.exe C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe C: \ Program Files \ Symantec AntiVirus \ DoScan.exe C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe C: \ ComboFix \ pv.cfexe . ************************************************** ************************ . Время завершения: 2008-09-21 22:17:28 - машина была перезагружена ComboFix-карантине-files.txt 2008-09-22 05:17:23 ComboFix2.txt 2008-09-22 02:36:59 Предсессионная Пробег: 64509464576 байт бесплатно Пост-Выполнить: 64505421824 байт бесплатно 181 |
|
#10
21 сен 2008, 22:26
| |||
| |||
| IEXPLORER.EXE вирус PLS обзор Hijack журнала Загрузка OTMoveIt2 по OLDTIMERи сохранить его на свой Desktop. Примечание: Если вы работаете на Vista, щелкните правой кнопкой мыши и выбрать OTMoveIt2.exe Запуск от имени администратора. 1. Дважды щелкните OTMoveIt2.exe запустить его. 2. Копирование строк в codebox ниже. Код: [убить Explorer] C: \ WINDOWS \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ AppMgSvc EmptyTemp [запуска Explorer] 4. Нажмите на красный Moveit! кнопку. 5. Копировать все в окне результатов (в соответствии с зеленого цвета) и вставить его в свой следующий ответ. 6. Закрыть OTMoveIt2 ПримечаниеЕсли файл или папка не могут быть перемещены непосредственно Вам может быть предложено перезагрузить компьютер, чтобы завершить процесс перехода. Если запрос на перезагрузку, выберите Да. Если нет, перезагрузка все равно.
__________________ |
