Trotil ловит вирусы Ольги Краш )))

Ольга Краш · 13 Окт 2007

ещё проверяет. Пока вот это вижу. Проверил 45%

Ольга Краш · 13 Окт 2007

Вот и мне интересно :lol:

-----------------------------------------------------------
Ага, вот ещё у нас что:

Ольга Краш · 13 Окт 2007

Проверено 72%

Trotil · 13 Окт 2007

Ольга Краш
Ты еще не делала логи AVZ? Давай перед новыми логами удалим этот Radmin? он тебе явно не нужен...

Ага, вот ещё у нас что:

Видимо, там картинка должна быть. Так вот - нету ее

Ольга Краш · 13 Окт 2007

Не делала. Давай удалим. А как?

Хм... а я картинку вижу. Там сообщение о Трояне.

Ольга Краш · 13 Окт 2007

Удалила Radmin удалила через Установку и удаление программ

Ольга Краш · 13 Окт 2007

Проверка завершена. Вот что вижу. Что делать дальше, учитель?

Надеюсь ты всё же отбегаешь поесть и не сидишь целый день у компа голодный? Я о тебе волнуюсь.

Trotil · 13 Окт 2007

Троян в симсах удален, судя по скрину...

Radmin удален - замечательно

Теперь нужно перезагрузиться, и можно сделать логи: 2 лога avz и 1 лог HJT.

Ольга Краш написал(а):
Надеюсь ты всё же отбегаешь поесть и не сидишь целый день у компа голодный

Я часто забываю поесть... Впрочем, ммне это полезно с моим весом...

Ольга Краш · 13 Окт 2007

Ага, сейчас сделаю

Trotil · 13 Окт 2007

а как это сделать?

1) Щелкнуть по иконке, напоминающий этот значок. Запустится Internet Explorer.
2. Выполнить пункты 9-14. Будет три лога...

Ольга Краш · 13 Окт 2007

вот первый

Ольга Краш · 13 Окт 2007

вот второй

Ольга Краш · 13 Окт 2007

вот третий

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:44, on 13.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HHVcdV5Sys\VC5Play.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Punto Switcher\ps.exe
D:\Программы\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe
D:\DOWNLOADS\ПРОГРАММЫ\Календарик\Rainlendar\Rainlendar.exe
C:\Program Files\Virtual CD v5\System\VC5Tray.exe
C:\Program Files\Opera\Opera.exe
D:\DOWNLOADS\ПРОГРАММЫ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s14.photobucket.com/albums/a340/Olgusha/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Программы\Adobe\Adbe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VC5Player] C:\Program Files\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Программы\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Realtek RTL8187 Wireless Network Driver and Utility.lnk = ?
O4 - Global Startup: Панель задач ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Создание Избранного на мобильном устройстве - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Программы\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Программы\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Создать Избранное на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Программы\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B11E2907-FED2-4BAD-B52E-F042E3F27C3D}: NameServer = 212.188.4.10 195.34.32.116
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsc.exe
O23 - Service: Hospital Tycoon Drivers Auto Removal (pr2amcwb) (pr2amcwb) - Buka - C:\WINDOWS\system32\pr2amcwb.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe (file missing)
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\Program Files\DrWeb\SpiderNT.exe (file missing)
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8676 bytes
=================================================================
Ээээ... а я всё это делала (логи получала) при выключенном IE - это критично?

Trotil · 13 Окт 2007

Спасибо. Реально больше ничего не вижу, кроме того подозрительного драйвера. ac97xi0z.SYS
а после перезагрузки он стал называться \SystemRoot\System32\Drivers\a0cv700x.SYS
размер его 04A000 (303104)

Отправляю тебя к моим коллегам: http://virusinfo.info/forumdisplay.php?f=46
Логи отправь три последних, лог hijackThis там можно сделать вложением.

Только там нужно зарегистрироваться.

В описании проблемы скажи, что в Internet Explorere вместо русских символов отправляется какая-то фигня (лучше показать пример), было произведена чистка система, но никак не можем отловить драйвер, который постоянно меняет свое имя: в прилагаемых логах он носит имена ac97xi0z.SYS и a0cv700x.SYS. Про лечение на другом ресурсе не упоминать. А я буду там потихоньку за вами подглядывать

Ольга Краш · 13 Окт 2007

Это ты меня засылаешь в разведшколу?

Trotil · 13 Окт 2007

Ольга Краш
Щелкай по ссылке

Там суровые дядьки, но справедливые и умные.

Ольга Краш · 13 Окт 2007

Уже зарегилась.

.
Ну.... с Богом!

Ольга Краш · 13 Окт 2007

Хм... пост куда-то пропал... Пишу ещё.

Оказывается ac97xi0z.SYS и a0cv700x.SYS - это драйвер расширенного мониторинга AVZ.

Trotil · 14 Окт 2007

Удивительный таки случай...

Попробуй сохранить htm-страничку с полем ввода сообщений, открыть ее в безопасном режиме Windоws в IE, понабирай там текст и посмотри, сохранится ли ошибка.

Ольга Краш · 14 Окт 2007

Безопасный режим - это при загрузке жмём F3 или F8, забыла...

А как сохранить htm-страничку с полем ввода сообщений?

Trotil ловит вирусы Ольги Краш )))

Гуру

Гуру

Гуру

Команда "У.М."

Гуру

Гуру

Гуру

Команда "У.М."

Гуру

Команда "У.М."

Гуру

Гуру

Гуру

Команда "У.М."

Гуру

Команда "У.М."

Гуру

Гуру

Команда "У.М."

Гуру

Похожие темы