[yurfed]

truly Анализируем
R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer
N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla
F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов
O1 - Изменения в файле Hosts
O2 - (BHO) Browser Helper Objects
O3 - Internet Explorer Тoolbars
O4 - Автозагрузка программ из реестра или Startup
O5 - Опции Internet Explorer невидимые на Панели Управления
O6 - Опции Internet Explorer, ограниченные Администратором (Policies)
O7 - Доступ к Regedit, ограниченный Администратором (Policies)
O8 - Дополнительные пункты Internet Explorer в "right-click" меню
O9 - Дополнительные кнопки на главной панели инструментов IE
O10 - Winsock
O11 - Дополнительные опции в расширенном меню загрузки IE
O12 - Плагины Internet Explorer
O13 - IE Default Prefixes
O14 - Изменения в файле IERESET.INF
O15 - Сайты, добавленные в Trusted Zone
O16 - Файлы, загруженные с помощью ActiveX
O17 - Домен (Domain)
O18 - Перечисление существующих протоколов и фильтров
O19 - Style Sheet пользователя
O20 - AppInit_DLLs
O21 - (SSODL) Shell Service Object Delay Load
O22 - Shared Task Scheduler (Планировщик задач)
O23 - Сервисы Windows NT



truly

Цитата:

а как у меня может быть запущен IE, если я его Не запускала?

А в голову после этого дурные мысли не лезут, типа - не запускала, а он всё равно пришёл, любимый. Это указывает на маскирующийся процесс под IE.
Вроде уже неоднократно было сказано проверить под AVZ.
Но прежде выполни в меню "Файл" - "Стандартные скрипты". Ставь птичку на номере 1 из списка. Запусти. Потом включаем в меню AVZ Guard, в "Параметры поиска" ставим все возможные галки в разделе Anti-RootKit. В разделе "Эврестический анализ" задираем движок вверх и птичку на "Расширеный анализ". Проверяемся.
Кстати лог и от AVZ интересно посмотреть. (Файл - Сохранить протокол). Лучше прикрепить к посту архивом.

Обратите внимание, как пишет Maxton про себя в логе. Ни каких "двойных стандартов" и записей с прописных букв, при этом не делается.

Logfile of HijackThis v1.99.1
Scan saved at 0:34:48, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\windows\hffext\hffsrv.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\Agnitum\Outpost Firewall\outpost.exe
E:\PROGRA~1\DrWeb\spidernt.exe
E:\Program Files\D-Link\DSL-200\dslstat.exe
E:\PROGRA~1\DrWeb\SpiderNT.exe
E:\Program Files\D-Link\DSL-200\dslagent.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Opera AC\opera.exe
F:\1\Internet\Browser\Maxton\Maxthon.1.60.RuBoardEdition.FULL\Maxthon.exe
E:\Program Files\Internet Explorer\iexplore.exe
F:\1\AntiVir\hijackthis\HijackThis.exe

[truly]

yurfed

Цитата:

А в голову после этого дурные мысли не лезут, типа - не запускала, а он всё равно пришёл, любимый. Это указывает на маскирующийся процесс под IE.

лезут.но ничего же не найдено (кроме того,что нашел nod - и "изолировал-удалил"). сейчас еще раз проверю под AVZ.

[truly]

да, видимо, что-то я не то проверяла: :)

[truly]

какая-то ерунда с этой AVZ... сначала никак не хотела закрываться, а теперь вот не могу открыть этот самый лог :"отказано в доступе..."

да! я думала, мне показалось - ярлыки на Рабочем столе перемещаются. это какая-то оптимизация винд. или... то, что в логе AVZ красным выделено:)?

[truly]

не понимаю... теперь еще и саму avz не открыть. то же самое - "нет прав доступа".

ни один файл теперь не открывается!вообще.

включая Диспетчер задач.

[truly]

у меня не получается открыть этот архив. поэтому, на всякий случай, - вот так еще:

Протокол антивирусной утилиты AVZ версии 4.25
Сканирование запущено в 05.06.2007 9:00:06
Загружена база: 110782 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.06.2007 18:31
Загружены микропрограммы эвристики: 370
Загружены цифровые подписи системных файлов: 60126
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 27
Анализатор - изучается процесс 1472 C:\WINDOWS\system32\spoolsv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\windows\system32\spoolsv.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll)
Процесс c:\program files\download master\dmaster.exe может работать с сетью (wininet.dll,netapi32.dll,urlmon.dll)
Анализатор - изучается процесс 1736 C:\Program Files\Opera\Opera.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\program files\opera\opera.exe может работать с сетью (wininet.dll,netapi32.dll)
Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\RICHED20.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 333, извлечено из архивов: 0, найдено вредоносных программ 0
Сканирование завершено в 05.06.2007 9:00:36
Сканирование длилось 00:00:31
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[Severny]

Ничего не открывается и не запускается -- AVZ Guard случайно не включен?

З.Ы. Самое тут правильное будет formac c:, ИМХО.
Быстрее и надежнее. Руткит-технологии, чесслово, затрудняют процесс лечения удаленно.

[truly]

видимо, да. Был, во всяком случае. я перегрузилась в "последнюю удачную конфигурацию" - и дикая паника прошла. как и желание связываться с этой avz... лучше буду жить с таким экраном....

[Severny]

Цитата:

лучше буду жить с таким экраном....

Эсли бы проблема ограничивалась одним экраном - это было бы пол беды

[truly]

а какие у меня проблемы?:)

ну, пропало немножко скачанной из инета музыки. но это не беда (к тому же я вовсе не уверена, что это не мой склероз:). может, сама выбросила и забыла....)

ну, ярлыки скачут по столу... но может, это винды у меня так капризно себя ведут.

ну, и какие-то мелкие претензии по поводу инета, которые я бы даже не решилась здесь опубликовать (это все моя мнительность, наверно:))...

вот экран - да. но я уже привыкла, почти.

я просто поняла, повозившись немного, что лечением, в т. ч. компа, должны заниматься специалисты...:( иначе - чревато если не фатальным исходом любимой игрушки, то состоянием ее владелицы, близким к оному( исходу т. е. :)). (см. выше)...