Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » сбои в работе системы

1 2 Следующая >
Ответить
Настройки темы
сбои в работе системы

Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать

на компе стали пропадать папки с файлами разного типа (где-то гектар 20), какая может быть причина?

Отправлено: 17:09, 03-04-2008

 

Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать

При попытке выполнения пункта 4 "Правил" (выполнение 3-го скрипта) компьютер некорректно завершает работу и перезагружается.
В папке "LOG" файл не создается. Какие мои действия?

Отправлено: 13:31, 04-04-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Ampermetr, антивирус, firewall и др. защитное ПО точно все выключили на время вып-ия скрипта? Если да, выложите остальные логи, пропустив этот пункт.
Дополнительно сделайте логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения.
И ещё. Вы проверяли сам винт например с помощью утилиты MHDD? Проблема м.б. вовсе не вирусах.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:40, 04-04-2008 | #3


Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 1.0
Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6

CPU 0: Процессор Intel Pentium II
Percentage of Memory in Use: 50%
Physical Memory (total/avail): 511.11 MiB / 254.46 MiB
Pagefile Memory (total/avail): 866.02 MiB / 625.6 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1937.73 MiB

A: is Removable (Unformatted)
B: is CDROM (CDFS)
C: is Fixed (FAT32) - 19.52 GiB total, 4.35 GiB free.
D: is Fixed (NTFS) - 54.99 GiB total, 46.15 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST380817AS - 74.53 GiB - 2 partitions
\PARTITION0 (bootable) - Unknown - 19.53 GiB - C:
\PARTITION1 - Устанавливаемая файловая система - 54.99 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\ss\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=KONSTR2
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\ss
LOGONSERVER=\\KONSTR2
MIGO_DRIVE=I
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\SYSTEM32;C:\WINDOWS;C:\WINDOWS\SYSTEM32\WBEM;C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 6 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0601
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\ss\LOCALS~1\Temp
TMP=C:\DOCUME~1\ss\LOCALS~1\Temp
USERDOMAIN=KONSTR2
USERNAME=ss
USERPROFILE=C:\Documents and Settings\ss
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

ss (admin)
Администратор (admin)
Гость (new local, guest)


-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Архиватор WinRAR --> C:\Program Files\WinRAR\uninstall.exe
Антивирусная система NOD32 --> C:\Program Files\Eset\Setup\setup.exe /UNINSTALL
СтройКонсультант --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4D9EF7BE-5729-40A1-AFAB-7FADE20DBED9}\Setup.exe"
Сократ Персональный 4.1 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9CD789E2-B7CE-11D5-B7E9-00A0C9449F99}\setup.exe"
КОМПАС-3D V6 Plus --> MsiExec.exe /I{69C9DBCB-CB14-4839-820D-C3E9688AEDB8}
КОМПАС-3D V9 --> MsiExec.exe /I{5DF5D590-54D8-46FF-836B-FE0BB6A2E211}
3dMax 5 Русская версия --> C:\3dsmax5\UNWISE.EXE C:\3dsmax5\INSTALL.LOG
Ace Utilities --> "C:\Program Files\Ace Utilities\uninstall.exe"
Ad-Aware SE Personal --> C:\PROGRA~1\LAVASOFT\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\LAVASOFT\AD-AWA~1\INSTALL.LOG
Ad-Aware SErus --> C:\Program Files\Lavasoft\Ad-Aware SE Personal\Lang\Ad-Aware SErusUninstall.exe
Adobe Photoshop 7.0 Русская версия --> C:\PROGRA~1\UNWISE.EXE C:\PROGRA~1\INSTALL.LOG
Adobe Reader 7.0 - Russian --> MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A70000000000}
AutoCAD 2005 - Русский --> MsiExec.exe /I{5783F2D7-0301-0419-0002-0060B0CE6BBA}
Autodesk DWF Viewer --> C:\PROGRA~1\Autodesk\AUTODE~1\Setup.exe /remove
Babylon Toolbar --> MsiExec.exe /I{67A339E5-D8AA-4E88-9278-A571B397F798}
Canon LBP2900 --> C:\Program Files\Canon\PrnUninstall\Canon LBP2900\CNAB4UN.EXE
Deep Fritz 8 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2ACC95CC-2BF9-4A3F-9A54-079394BC9EC5}\Setup.exe"
Designjet Software & Driver Installation Wizard --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{21E6C8E8-C2DF-46B9-8C50-3538C26AEDCC}\IS_SETUP.EXE" -l0x9
DeusExRUS --> D:\Works\Games\DEUSEX~1\UNWISE.EXE D:\Works\Games\DEUSEX~1\INSTALL.LOG
Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
HASP Emulator Professiaonal Edition V2.33 for Windows NT/W2K/XP --> C:\HASPEM~1.XP\UNWISE.EXE C:\HASPEM~1.XP\INSTALL.LOG
High Definition Audio Driver Package - KB888111 --> C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe
HijackThis 2.0.2 --> "C:\Documents and Settings\ss\Рабочий стол\HiJackThis\HijackThis.exe" /uninstall
K-Lite Codec Pack 2.63 Full --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"
MadOnion.com/3DMark2001 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6130E589-D759-43AC-8265-28EB0A711446}\Setup.exe" -uninst
Microsoft Office XP (профессиональный выпуск) --> MsiExec.exe /I{91110419-6000-11D3-8CFE-0050048383C9}
Migo --> C:\Documents and Settings\ss\Application Data\Powerhouse\Migo\MigoCleanup.exe
Need For Speed 5 --> C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Electronic Arts\Need For Speed 5\Uninst.isu"
NVIDIA Drivers --> C:\WINDOWS\System32\nvudisp.exe UninstallGUI
Pacific Heroes Demo --> "C:\Program Files\City Interactive\Pacific Heroes Demo\Uninstall.exe" "C:\Program Files\City Interactive\Pacific Heroes Demo\install.log"
PC Inspector File Recovery --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x9
Pragma --> C:\WINDOWS\Pragma Uninstaller.exe
REALTEK GbE & FE Ethernet PCI-E NIC Driver --> C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\Setup.exe -runfromtemp -l0x0019 -removeonly
Remote Administrator v2.1 --> C:\Program Files\Radmin\uninstal.exe
sentinelsystemdriver --> MsiExec.exe /I{791CAF6C-90A3-11D4-8306-00D0B72E1DB9}
SiSoftware Sandra Professional 2005.SR1 (Win64/32/CE) --> "C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\unins000.exe"
SoundMAX --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x19 -removeonly
Spyware Doctor 5.5 --> C:\Program Files\Spyware Doctor\unins000.exe /LOG
The House Of The Dead 2 --> D:\Works\Games\HOD2\unins000.exe
The House Of The Dead 3 --> "D:\Works\Games\The House Of The Dead 3\unins000.exe"
Total Commander (Remove or Repair) --> c:\totalcmd\tcuninst.exe
Virtual CD v4 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4216BCC9-8DF8-4159-ADC1-F31C314C6149}\Setup.exe"
Winamp (remove only) --> "C:\Program Files\Winamp\UninstWA.exe"


-- Application Event Log -------------------------------------------------------

Event Record #/Type1376 / Warning
Event Submitted/Written: 04/03/2008 04:29:57 PM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type1372 / Warning
Event Submitted/Written: 04/03/2008 01:37:51 PM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type1365 / Warning
Event Submitted/Written: 04/03/2008 10:43:00 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type1344 / Error
Event Submitted/Written: 04/02/2008 03:41:26 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Зависшее приложение Max Data Recovery.exe, версия 1.6.5.0, зависший модуль comctl32.dll, версия 6.0.2800.1106, адрес 0x00051e0e.

Event Record #/Type1343 / Error
Event Submitted/Written: 04/02/2008 02:08:12 PM
Event ID/Source: 8019 / NTBackup
Event Description:
Завершение операции: Были зафиксированы предупреждения и ошибки.

Дополнительные сведения приведены в журнале.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type8157 / Warning
Event Submitted/Written: 04/04/2008 02:13:06 PM
Event ID/Source: 20 / Print
Event Description:
Драйвер принтера Canon LBP2900 для Windows NT x86 Version-3 добавлен или обновлен. Файлы:- CNAB4M.DLL, CNAB4MUI.DLL, LB2900AR.XPD, CNAB4.HLP, LB2900AR.UPD, CNAB4419.DLL, CNAB4STU.DLL, CNAB4INK.DAT, CNAB4SWK.EXE, CNAB4LAK.EXE, CNAB4SMK.DLL, CNAB4LMK.DLL, CNAB4RPK.EXE, CNAB4EMU.DLL, CNAB4PTU.DLL, CNAB4PMU.DLL, CNAB4UN.EXE, CNAB4UN.INI, CNAB4.CNT, CNXP0RSX.DLL, CNXP0RSW.DLL, CPC10SA4.DLL, CPC10DA4.EXE, CPC10QA4.EXE, CPC10EA4.DLL, CPC10VA4.EXE, CPC1RUA4.DLL, CPC1RUA4.CNT, CPC1RUA4.HLP, UCS32P.DLL, CNXPTN32.DLL, CNXPVT32.DLL, CNXPCP32.DLL, CNAB4DN.WAV, CNAB4ER.WAV, CNAB4SE.WAV, CNAB4RM.WAV, CNACCM32.DLL, CNLK.PRF, CNAC17E9.DAT.

Event Record #/Type8156 / Warning
Event Submitted/Written: 04/04/2008 02:13:05 PM
Event ID/Source: 20 / Print
Event Description:
Драйвер принтера HP DesignJet 430 (E/A0) by HP для Windows NT x86 Version-3 добавлен или обновлен. Файлы:- hpltdrv1.dll, hpltuint.dll, hpltdrv1.dll, HPGLRTL2.HLP, hpltui.dll, hpltumpd.dll, HPGLRTL3.HLP, HPGLRTL2.HPM, HPGLRTL4.HPM, HPGLRTL8.HPM, HPLTCAL4.DLL, HPLTLNK.EXE, HPLTCOL1.EXE, HPLTSAM1.SPL, HPLTSAM2.SPL.

Event Record #/Type8155 / Error
Event Submitted/Written: 04/04/2008 00:52:25 PM
Event ID/Source: 7016 / Service Control Manager
Event Description:
Служба "Time Control Service" сообщает о недопустимом текущем состоянии 11.

Event Record #/Type8154 / Error
Event Submitted/Written: 04/04/2008 00:50:42 PM
Event ID/Source: 7016 / Service Control Manager
Event Description:
Служба "Time Control Service" сообщает о недопустимом текущем состоянии 11.

Event Record #/Type8135 / Error
Event Submitted/Written: 04/04/2008 00:14:17 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Сбой при запуске службы "Remote Administrator Service" из-за ошибки
%%3



-- End of Deckard's System Scanner: finished at 2008-04-04 15:31:45 ------------

Отправлено: 17:14, 04-04-2008 | #4


Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip hijackthis.zip
(2.5 Kb, 3 просмотров)

Deckard's System Scanner v20071014.68
Run by ss on 2008-04-04 15:30:05
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
8: 2008-04-04 12:30:08 UTC - RP645 - Deckard's System Scanner Restore Point
7: 2008-04-04 08:04:54 UTC - RP644 - Системная контрольная точка
6: 2008-04-03 07:47:15 UTC - RP643 - Операция восстановления
5: 2008-04-03 07:42:44 UTC - RP642 - Операция восстановления
4: 2008-04-02 13:40:49 UTC - RP641 - Операция восстановления


-- First Restore Point --
1: 2008-04-02 10:55:54 UTC - RP638 - Системная контрольная точка


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as ss.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:34, on 04.04.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\csrss_tc.exe
C:\Program Files\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CNAB4RPK.EXE
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\ss\Рабочий стол\dss.exe
C:\DOCUME~1\ss\РАБОЧИ~1\HIJACK~1\ss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Быстрый запуск AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{13E7B440-7C46-4B53-929E-30CD026C73F0}: NameServer = 10.0.0.100,10.0.0.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E15B3C2-2474-4493-BFFB-FB27CE8154C8}: NameServer = 10.0.0.100,10.0.0.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{13E7B440-7C46-4B53-929E-30CD026C73F0}: NameServer = 10.0.0.100,10.0.0.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{13E7B440-7C46-4B53-929E-30CD026C73F0}: NameServer = 10.0.0.100,10.0.0.101
O20 - Winlogon Notify: selog - C:\WINDOWS\SYSTEM32\selog.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PsViatau (PTsup5) - Trident Software - C:\Program Files\Trident Software\Pragma\ptsup5.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Realtek Semiconductor Corporation - (no file)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Time Control Service - Unknown owner - C:\WINDOWS\System32\csrss_tc.exe
O23 - Service: VCDSecS - H+H Software GmbH - C:\Program Files\Virtual CD v4\System\vcdsecs.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 6558 bytes

-- File Associations -----------------------------------------------------------

.scr - AutoCADScriptFile - shell\open\command - "C:\WINDOWS\notepad.exe" "%1"


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 vcdmpdrv - c:\windows\system32\drivers\vcdmpdrv.sys <Not Verified; H+H Software GmbH; H+H Virtual CD v4>
R2 EIO - c:\windows\system32\drivers\eio.sys <Not Verified; ASUSTeK Computer Inc.; ASUS Kernel Mode Driver for NT>
R2 Haspnt - c:\windows\system32\drivers\haspnt.sys <Not Verified; Aladdin Knowledge Systems; Windows NT HASP Kernel Device Driver>
R2 hl_mull - c:\windows\system32\drivers\hl_mull.sys
R2 Sentinel - c:\windows\system32\drivers\sentinel.sys <Not Verified; Rainbow Technologies, Inc.; Sentinel System Driver>
R3 imlog - c:\windows\system32\imlog.sys

S3 rtl8139 (Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver) - c:\windows\system32\drivers\r8139n51.sys (file missing)
S3 Secdrv - c:\windows\system32\drivers\secdrv.sys (file missing)
S3 utm3njm3 (AVZ Kernel Driver) - c:\windows\system32\drivers\utm3njm3.sys <Not Verified; ; AVZ Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Time Control Service - c:\windows\system32\csrss_tc.exe
R2 VCDSecS - c:\program files\virtual cd v4\system\vcdsecs.exe <Not Verified; H+H Software GmbH; Virtual CD>

S2 PTsup5 (PsViatau) - c:\program files\trident software\pragma\ptsup5.exe <Not Verified; Trident Software; Pragma>
S2 r_server (Remote Administrator Service) -


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-03-04 and 2008-04-04 -----------------------------

2008-04-04 12:00:50 7168 --a------ C:\WINDOWS\System32\drivers\utm3njm3.sys <Not Verified; ; AVZ Driver>
2008-04-04 11:51:36 0 d--hs---- C:\FOUND.002
2008-04-04 11:40:50 0 d--hs---- C:\FOUND.001
2008-04-03 10:48:11 0 dr-h----- C:\Documents and Settings\ss\Recent
2008-04-03 10:42:41 6111232 --a------ C:\Documents and Settings\ss\ntuser.dat
2008-04-02 15:48:24 0 d--hs---- C:\FOUND.000
2008-04-02 14:40:34 0 d-------- C:\Program Files\PC Inspector File Recovery
2008-04-02 14:06:06 0 d-------- C:\WINDOWS\System32\NtmsData
2008-03-27 09:45:34 276610 --a------ C:\WINDOWS\Pragma Uninstaller.exe
2008-03-27 09:45:33 0 d-------- C:\Program Files\Common Files\Thraex Software
2008-03-26 09:17:09 0 d-------- C:\Program Files\Spyware Doctor
2008-03-26 09:17:09 0 d-------- C:\Documents and Settings\ss\Application Data\PC Tools
2008-03-24 11:20:55 298104 --a------ C:\WINDOWS\System32\imon.dll <Not Verified; Eset; NOD32 Antivirus System>
2008-03-24 10:35:20 0 d-------- C:\Documents and Settings\Гость\Application Data\Identities
2008-03-24 10:35:07 0 d--h----- C:\Documents and Settings\Гость\Шаблоны
2008-03-24 10:35:07 0 dr------- C:\Documents and Settings\Гость\Мои документы
2008-03-24 10:35:07 0 d-------- C:\Documents and Settings\Гость\Избранное
2008-03-24 10:35:07 0 dr------- C:\Documents and Settings\Гость\Главное меню
2008-03-24 10:35:07 0 dr-h----- C:\Documents and Settings\Гость\SendTo
2008-03-24 10:35:07 0 d--h----- C:\Documents and Settings\Гость\Recent
2008-03-24 10:35:07 0 d--h----- C:\Documents and Settings\Гость\PrintHood
2008-03-24 10:35:07 786432 --ah----- C:\Documents and Settings\Гость\ntuser.dat
2008-03-24 10:35:07 0 d--h----- C:\Documents and Settings\Гость\NetHood
2008-03-24 10:35:07 0 d--h----- C:\Documents and Settings\Гость\Local Settings
2008-03-24 10:35:07 0 d---s---- C:\Documents and Settings\Гость\Cookies
2008-03-24 10:35:07 0 dr-h----- C:\Documents and Settings\Гость\Application Data
2008-03-24 10:35:07 0 d---s---- C:\Documents and Settings\Гость\Application Data\Microsoft
2008-03-21 14:18:07 0 d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
2008-03-21 13:00:19 0 d-------- C:\Program Files\Lavasoft
2008-03-20 16:13:35 0 d-------- C:\Program Files\Ace Utilities
2008-03-20 15:40:44 0 d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2008-03-13 11:50:04 0 d-------- C:\Documents and Settings\ss\Application Data\SEGA
2008-03-13 07:31:27 47952 -----n--- C:\WINDOWS\System32\drivers\vcdmpdrv.sys <Not Verified; H+H Software GmbH; H+H Virtual CD v4>
2008-03-13 07:31:19 57344 -----n--- C:\WINDOWS\System32\VCDScsi.dll <Not Verified; H+H Software GmbH; Virtual CD>
2008-03-13 07:31:19 208896 -----n--- C:\WINDOWS\System32\vcdextse.dll <Not Verified; H+H Software GmbH; Virtual CD>
2008-03-13 07:31:19 102400 -----n--- C:\WINDOWS\System32\VCDEnv.dll <Not Verified; H+H Software GmbH; Virtual CD 4>
2008-03-13 07:31:19 81920 -----n--- C:\WINDOWS\System32\vcdcomm.dll <Not Verified; H+H Software GmbH; Virtual CD>
2008-03-13 07:31:19 0 d-------- C:\Program Files\Virtual CD v4


-- Find3M Report ---------------------------------------------------------------

2008-02-25 17:34:14 0 d-------- C:\Program Files\ReflexiveArcade
2008-02-23 13:50:28 0 d-------- C:\Documents and Settings\ss\Application Data\Gaijin Ent
2008-02-23 09:12:50 0 d-------- C:\Documents and Settings\ss\Application Data\InstallShield
2008-02-01 14:28:32 68920 -----n--- C:\Documents and Settings\ss\Application Data\GDIPFONTCACHEV1.DAT


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{965B54B0-71E0-4611-8DE7-F73FA0B20E26}"= C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll [ ]

[-HKEY_CLASSES_ROOT\CLSID\{965B54B0-71E0-4611-8DE7-F73FA0B20E26}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB.1]
[HKEY_CLASSES_ROOT\TypeLib\{162484B8-B114-453f-A344-C0B24B0F1D99}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [27.10.2004 15:21 C:\WINDOWS\system32\HdAShCut.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [01.03.2007 07:36]
"nwiz"="nwiz.exe" [01.03.2007 07:36 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [01.03.2007 07:36 C:\WINDOWS\system32\nvmctray.dll]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"VCDPlayer"="C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe" [24.01.2002 09:23]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [24.03.2008 11:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [24.09.2002 08:32]

C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14.12.2004 14:44:06]
Ѓлбвал© §*ЇгбЄ AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [29.01.2007 10:30:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\selog]
selog.dll 14.03.2007 13:39 10240 C:\WINDOWS\system32\selog.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSys32]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetStart]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1d2fde-f0be-11dc-bdfb-001bfc8da49e}]
AutoRun\command- B:\autorun.exe




-- End of Deckard's System Scanner: finished at 2008-04-04 15:31:45 ------------

Отправлено: 17:19, 04-04-2008 | #5


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Деинсталлируйте Ad-Aware SE или Spyware Doctor 5.5 - возможны конфликты (лучше временно деинсталлировать оба), также деинсталлируйте Babylon Toolbar и Google Toolbar (все равно file missing)
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» (не забудьте отключить на время вып-ия скрипта все защитные программы)
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('gusvc');
 StopService('hl_mull');
 StopService('imlog');
 StopService('Secdrv');
 QuarantineFile('C:\WINDOWS\SYSTEM32\selog.dll','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\hl_mull.SYS','');
 QuarantineFile('C:\WINDOWS\System32\drivers\gusvc.sys','');
 QuarantineFile('C:\WINDOWS\System32\r_server.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\imlog.sys','');
 QuarantineFile('c:\windows\system32\csrss_tc.exe','');
 QuarantineFile('B:\autorun.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteRepair(1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ.
удалите ключ реестра
Код: Выделить весь код
REGEDIT4
 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1d2fde-f0be-11dc-bdfb-001bfc8da49e}]
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
попробуйте сделать лог virusinfo_syscure.zip - Стандартные скрипты- 3-ий скрипт AVZ и ещё, скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл протокола в архив и прикрепите к сообщению.
Цитата:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Надо ставить SP2 и все последующие обновления
Судя по папкам C:\FOUND.002 и C:\FOUND.001 есть вероятность, что у вас проблемы с винтом, но наличие зловредов не исключаются (при том похоже относительно новых)

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Последний раз редактировалось Pili, 04-04-2008 в 19:03.

Это сообщение посчитали полезным следующие участники:

Отправлено: 18:43, 04-04-2008 | #6


(*.*)


Сообщения: 36544
Благодарности: 6691

Профиль | Сайт | Отправить PM | Цитировать

Ampermetr, публикуя лог в сообщении, используйте тег [code][/code]

-------
Канал Windows 11, etc | Чат @winsiders

Отправлено: 22:16, 05-04-2008 | #7


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать

Цитата Pili:
QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys',''); »
Pili, этот файл опасен в целом из-за уязвимости, или зависит от "выпуска" (т. е. под его именем может скрываться что-то другое)?
Сегодня с четвертого захода зачистил компьютер соседа по локальной сетке, но оставил единственно этот, - не хотел сверх меры "орудовать" в гостях. Теперь не хочу оставлять потенциально опасное (хотя неминуемо повторится то же самое - дети, играют где попало).
Кстати, этот файл и у меня есть. Удалить обоих?

-------
Здесь вся мудрость [14.6]

Отправлено: 00:01, 06-04-2008 | #8


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Erekle, не надо удалять, пока не убедишься в зловредности, проверь файл на virustotal.com
У самого файла цифровая подпись есть? Если нет, то это скорее всего зловред. У топикстартера этого файла в системе вероянто нет (secdrv.sys (file missing) и в карантин скорее всего не попадет

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Отправлено: 10:35, 06-04-2008 | #9


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать

Мои чистые, с подписью МС.
Я подумал, что раз уязвимый, то теперь принято удалять в любом случае.

-------
Здесь вся мудрость [14.6]

Отправлено: 17:02, 06-04-2008 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » сбои в работе системы

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - [решено] Участились сбои в работе сети. BROTHERHOOD Сетевые технологии 4 13-02-2009 18:00
[решено] "Подвисание" системы при работе нескольких программ, работающих с интернет. watermute Лечение систем от вредоносных программ 6 27-07-2008 13:52
Тормоза в работе системы (AMD Athlon 64 X2 5600+) JourneyRambo Непонятные проблемы с Железом 9 17-06-2008 15:41
[решено] подвисание системы при работе привода gazballon Оптические приводы 12 14-11-2006 10:36
Сбои в Компе EXperimenter Непонятные проблемы с Железом 24 15-10-2004 23:23


« Предыдущая тема | Следующая тема »


 
Переход