|
Все вопросы связанные с функционированием OC Windows обсуждаем здесь.
Модератор: КУЛЯ
magiya » 04 окт 2010, 22:17
HijackThisПри написании этой статьи использованы материалы с http://saule.sporaw.ru/articles/hijackthis.html http://www.bleepingcomputer.com/tutoria ... ial42.htmlВведение.HijackThis – это бесплатная программа для удаления спайваре/spyware, троянов/trojans, вирусов. Она проверяет важнейшие части реестра и основные конфигурационные файлы Windows вне зависимости от типа самой Windows, которые могут быть изменены, и показывает это в генерируемом лог-файле, то есть лог представляет из себя список важнейших параметров вашего компьютера и их значений. Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта). Исследование лог-файла дает возможность найти проблемы в системе. Кроме того программа может и вносить исправления т.е. "лечить" систему. Обращаю внимание:HijackThis не содержит баз данных по вредоносным программам,поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС вплоть до краха ОС. Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь. Одним из больших плюсов HijackThis, есть то, что эта программа сохраняет конфигурационные файлы системы до изменения или удаления, что позволяет вернуть все "в сад". Программа имеет не большой размер (около 400 Кв), не требует установки и , не маловажно, HijackThis совершенно бесплатна. Кроме того, HijackThis не требует серьезных системных ресурсов, работает очень быстро (несколько секунд) и не использует сетевые подключения т.е. не "ломиться" в интернет. После скачивания HijackThis сразу готов к работе. К сожалению программа англоязычная.Но это не должно нас пугать. Скачать программу рекомендую с официального сайта http://free.antivirus.com/hijackthis/У меня скачана самая последняя версия - 2.0.4. Если программа окажется в архиве, то необходимо ее разархивировать. Сразу для удобства следует создать папку, например HijackThis, и поместить туда скачанный HijackThis.exe. Саму папку можно поместить на любой диск Вашего компа.
- скачанный HijackThis.exe
Запуск HijackThis.Запуск производится обычным двойным щелчком левой кнопкой мыши по значку HijackThis.exe. Знакомство.После запуска HijackThis.exe мы наблюдаем первое окно программы. К сожалению в отличии от прошлых версий при запуске HijackThis открывается менее удобное для начинающих пользователей окно.
- создать папку, например HijackThis
В этом окне необходимо нажать кнопочку "Main Menu" (главное меню) и мы попадаем действительно туда, куда нужно. В главное меню программы HijackThis.
- Переход в главное меню
В главном меню программы у нас интересуются о том, что мы собственно хотим сделать? Выбор осуществляется нажатием на соответствующую кнопочку. Поговорим подробнее на возможностях выбора. Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log). Никаких телодвижений по поводу "ремонта" системы HijackThis проводить не будет. Только анализ и автоматическое сохранение лог-файла hijackthis.log, который по сути является простым текстовым документом и спокойно открывается Блокнотом виндовс.
- hijackthis.log
Do a system scan only - проводится только сканирование. Лог файл автоматически не создается. Эту кнопочку следует нажимать в случае, если сохранить лог-файл нужно под именем отличном от hijackthis.log. Будет проведено только сканирование. View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента , что дает возможность восстановить неверно удаленный файл). Open the Misc Tools selection - мы уже знаем , что hijackthis позволяет не только сканировать систему.Здесь есть другие инструменты программы (на этом мы подробно остановимся немного позже). Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке). Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы . Это вернет нас к окну, которое открылось при запуске программы.
- Окно запуска
Снизу окна главного меню можно заметить чек бокс с установленным флажком " Don't show this frame again when I start HijackThis", чтобы начинать работу с программой без этого начального фрейма. Именно по этому мы при запуске не попадали в "Главное меню" программы . Установить или снять чек бокс решать Вам.
- Чек бокс
Более в главном меню программы hijackthis ничего интересного нет.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 04 окт 2010, 23:18
Вернемся к рабочему окну HijackThis. Среди прочих активных кнопок обратим внимание на кнопочку "Info..." и нажмем на нее в новом окне наблюдаем версию программы HijackThis , обозначение строчек лога, консольные команды HijackThis и историю версий. В общем ничего ценного. Отсюда можно смело уходить.
- Info вход
- Версия
- Описание строк
- Выход
Давно пора нам запустить сканер. Запуск сканера HijackThis.Как не удивительно нажмем на кнопку "Scan". Ждем очень не долго и получаем результат. При желании результат сканирования можно сохранить в лог-файл в произвольное место с произвольным именем.
- Scan
- Сохранить лог
Структура лог-файла HijackThis.В теле окна HijackThis мы можем наблюдать кучу разных строк
- Сохранить лог
Попробуем разобраться с этим кошмаром. Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции). Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально: R0, R1, R2, R3 - изменения основных настроек Internet Explorer. F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра. N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla. O1 - изменения в файле Hosts. O2 - плагины и расширения браузера (BHO/Browser Helper Objects). O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars). O4 - автозапуск программ из реестра и папки Startup. O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления. O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options). O7 - отключение доступа к Regedit. O8 - дополнительные пункты контекстного меню Internet Explorer. O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer. O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг). O11 - новая группа настроек в Свойствах Обозревателя (Internet Options). O12 - плагины Internet Explorer. O13 - префиксы IE. O14 - изменения в файле iereset.inf. O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone). O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files). O17 - изменения домена или DNS сервера. O18 - изменения существующих протоколов и фильтров. O19 - шаблон стиля (Style Sheet) пользователя. O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003. O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load). O22 - задачи Планировщика Windows (Shared Task Scheduler). O23 - службы Windows NT/Microsoft Windows.Все это конечно страшно, но... Не очень. Разберемся по порядку. Секции R0, R1, R2, R3.Изменения основных настроек Internet Explorer. R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant). R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.). R2 - эта секция на данный момент не используется. R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (httр://; ftр:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него (браузера). Собственно эта секция описывается ключами реестра системы: Некоторые используемые ключи реестра:HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HijackThis может удалить указанные строчки из этой секции. Это приводит к удаление соответствующей информации из реестра Пример из лога: - Код: Выделить всё
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com
madlen.ucoz.com, в моем случае,является стартовой страничкой для IE. Обычно пользователь знает с какой странички хочет начинать веб серфинг. Я IE использую крайне редко , но избавиться от этой штуки надо. Обычно средствами IE это легко делается, но не всегда. Вот тут нам и может помочь HijackThis.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 14:01
Секции F0, F1, F2, F3.Автозапуск программ из ini-файлов. ini-файлы — это обычные текстовые файлы, которые можно редактировать и просматривать при помощи любого текстового редактора. ini-файл (англ. Initialization file) — это файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых приложений. Это значит, что безобидный текстовый документ может содержать информацию для внесения изменений в ОС. Однако существуют ini-файлы, в которых хранятся некоторые параметры приложения (программы) между его перезапусками. Такие ini-файл обычно лежит в директории программы, которая его использует. В этом смысле ini-файл полезен. Каждая программа сама решает, как создавать ini-файл и какой параметр за что будет отвечать. В нашем случае (то с чем работает -HijackThis) речь идет о следующих системных файлах: C:\WINDOWS\system.ini C:\WINDOWS\win.ini А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping F0 - автозапуск через параметр Shell= из файла system.ini F1 - автозапуск через параметы Run= и Load= из файла win.ini F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр). HijackThis имеет возможность удалить соответствующие записи из ini-файла/реестра для предотвращения последующего автоматического запуска данного приложения. Пример лога: - Код: Выделить всё
F2 - REG:system.ini: UserInit=userinit.exe
Userinit.exe является частью операционных систем Windows, отвечая за процесс загрузки системы. На нем лежит задача восстановления сетевых подключений и запуска оболочки.
Процесс является критическим для функционировании операционной системы. Не пытайтесь отключить его. Удаление файла приведет к невозможности загрузки операционной системы и потребует переустановку операционной системы.
Тут все нормально и трогать ничего не следует. А вот другой пример из лога - Код: Выделить всё
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
А тут не все хорошо. sdra64.exe - это троян. И загружается он при загрузке системы. И разбираться с ним нужно по крутому. Т.е. грохнуть навсегда. Секции N1, N2, N3, N4.Изменения начальной и поисковой страниц Netscape/Mozilla. Эта секция сродни предыдущей только для альтернативных браузеров семейства Mozilla. N1 - стартовая и поисковая страницы для Netscape 4. N2 - стартовая и поисковая страницы для Netscape 6. N3 - стартовая и поисковая страницы для Netscape 7. N4 - стартовая и поисковая страницы для Mozilla. Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js. Пример лога: - Код: Выделить всё
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
HijackThis имеет возможность удаления соответствующей информации из файла prefs.js. Секция O1.Изменения в файле Hosts. Файл HOSTS используется в Windows для преобразования символьных имен доменов (google.com) в соответствующие им IP-адреса (64.233.167.99) и наоборот (точно такие же задачи в сетях TCP/IP выполняет и DNS - Domain Name System - система доменных имен). То есть каждый раз, когда вы вводите в адресную строку браузера название сайта, ваш компьютер, прежде чем с ним соединится, должен преобразовать это "буквенное" название в соответствующие ему числа. Файл HOSTS не имеет видимого расширения, но по сути его можно редактировать в любом текстовом редакторе (например, Notepad или Блокнот), как обычный файл текстового формата. Файл HOSTS часто становится "жертвой" различного рода вредоносного ПО, которое вносит в него изменения (например, с целью перенаправления пользователя на свои веб-сайты, вместо тех, которые вводятся им в строку браузера или используются антивирусами для обновлений своих антивирусных баз). Его местоположение может отличаться в зависимости от вашей операционной системы, но по умолчанию файл HOSTS находится: Windows 95/98/ME: WINDOWS\hosts Windows NT/2000: WINNT\system32\drivers\etc\hosts Windows XP/2003/Vista: WINDOWS\system32\drivers\etc\hosts Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает): HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "DataBasePath"="%SystemRoot%\System32\drivers\etc" Секция O2.Плагины и расширения браузера IE(BHO/Browser Helper Objects). BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера). Browser Helper Object — DLL-модуль, разработанный как плагин для Internet Explorer для обеспечения дополнительной функциональности. Некоторые модули обладают возможностью открывать файлы различных форматов, первоначально не предназначенных для браузера. Например, таким Browser Helper Object является плагин Adobe Acrobat, позволяющий пользователям Internet Explorer открывать PDF-файлы. Некоторые Browser Helper Object добавляют панели инструментов в Internet Explorer. Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой): Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons). Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Пример лога: - Код: Выделить всё
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
Тут видно , что в IE установлен плагин принтера от HP для удобной печати изображений из сети. Секция O3.Дополнительные панели инструментов браузера (Internet Explorer Тoolbars). По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов типа примерно следующего типа Google Toolbar (google берем как пример, чтобы было понятнее, о чем идет речь):
- google.gif (2.08 КБ) Просмотров: 37441
Видимость этих панелей регулируется в верхнем меню IE: Вид > Панели инструментов (View > Тoolbars) Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar Пример лога: - Код: Выделить всё
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL Секция O4.Эта секция для нас очень важна. Автозапуск программ из реестра и папки Startup. Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig: Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка (Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp) Используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx И папки (для Windows XP): Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup Пример лога: - Код: Выделить всё
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
Ну что тут.... avastUI.exe - антивирус Аваст. smax4pnp.exe - это драйвер моей встроенной звуковой платы - SoundMAX. sidebar.exe - боковая панель Win 7 nTuneCmd.exe - ну стоит программка nTune от NVIDIA для управления видеокартой mctadmin.exe - Для управления пакетами локализации - утилита командной строки Content Management Engine Tool - Утилита входит в состав поставки Windows 7. ObjectDock.exe - еще одна красивость для рабочего стола в стиле MAC OS Для удаления строк из секции O4 соответствующая программа должна быть выгружена из памяти компа. Для этого можно программу закрыть или завершить её процесс через Диспетчер Задач/Task Manader.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 15:21
Секция O5.Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel). В Windows это возможно сделать, добавив соответствующую запись в системный файл: C:\WINDOWS\control.ini Эта функция иногда используется администраторами. Пример лога: - Код: Выделить всё
O5 - control.ini: inetcpl.cpl=no Секция O6.Запрет на изменение некоторых Свойств Обозревателя (Internet Options). Используемый ключ реестра: HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions Пример лога: - Код: Выделить всё
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D). Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета. Секция O7.Отключение доступа к Regedit. Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра. Запуск системной утилиты regedit.exe производится так: Кнопка "Пуск"--> "Выполнить"--> ввести в поле regedit.exe и нажать на клавиатуре "ENTER". С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой для защиты себя любимой. Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Может быть установлен как администратором, так и вредоносной программой. Пример лога: - Код: Выделить всё
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета. Секция O8.Дополнительные пункты контекстного меню Internet Explorer. Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:
- Контекстное меню
- web.gif (5 КБ) Просмотров: 37292
Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt Пример лога: - Код: Выделить всё
O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
Действие HijackThis: удаление соответствующей информации из реестра. Секция O9.Дополнительные кнопки и сервисы на главной панели IE. Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис. Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE: Вид > Панели инструментов > Настройка (View > Тoolbars > Customize) Инструменты же находятся здесь: Tools/Сервис Используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions Как это выглядит в логе: - Код: Выделить всё
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
Тут все ясно. Установлены кнопки ICQ, конвертации в MS Office12 и обращения к проге Smart Web Printing от НР. Действие HijackThis: удаление соответствующей информации из реестра.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 16:12
СекцияO10.Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг). Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall). - Код: Выделить всё
O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Повторюсь. LSP это программная служба в операционной системе Windows, состоящая из нескольких слоёв. Каждый слой определяет одну программу. Вся запрашиваемая из Интернета информация проходит через эту группу слоёв. Таким образом, при неправильном удалении одного из них, или программы, которая привязана к одному из слоёв, происходит сбой в работе всей службы LSP, в результате чего подключение к Интернету становится недоступными. Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis. СекцияO11.Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced). С помощью следующего ключа реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек. Как это выглядит в логе: - Код: Выделить всё
O11 - Options group: [CommonName] CommonName O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра. СекцияO12.Плагины Internet Explorer. Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмоторщик PDF). Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins Как это выглядит в логе: O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Действие HijackThis: удаление как информации из реестра, так и вредоносного файла СекцияO13.Префиксы IE. Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол ( http://; ftp:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com. Используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Как это выглядит в логе: - Код: Выделить всё
O13 - DefaultPrefix: http://ehttp.cc/? O13 - WWW Prefix: http://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные. СекцияO14.Изменения в файле iereset.inf. Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP): С:\WINDOWS\inf\iereset.inf Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна. Как это выглядит в логе: O14 - IERESET.INF: START_PAGE_URL=http://portal/ O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Действие HijackThis: удаление соответствующей информации из файла iereset.inf. СекцияO15.Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone). Как известно, обозреватель Internet Explorer включает пять зон безопасности: «Интернет», «Местная интрасеть», «Надежные узлы», «Ограниченные узлы» и «Мой компьютер» Зона «Надежные узлы» Данная зона содержит веб-узлы, считающиеся безопасными (например, веб-узлы локальной сети организации или компаний-партнеров). Добавление веб-узла в зону надежных узлов основывается на предположении, что файлы, которые будут загружаться или запускаться с этого веб-узла, не повредят компьютер или данные. По умолчанию зона «Надежные узлы» не содержит веб-узлы и для нее установлен низкий уровень безопасности. Используемый ключи в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults Как это выглядит в логе: - Код: Выделить всё
O15 - Trusted Zone: *.masspass.com O15 - Trusted Zone: http://update.randhi.com (HKLM) O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone. СекцияO16.Программы, загруженные с помощью ActiveX. Технология ActiveX — средство, при помощи которой Internet Explorer (IE) использует другие приложения внутри себя. С помощью ActiveX IE загружает Windows Media Player, Flash, Quicktime и другие приложения, которые могут воспроизводить файлы, внедрённые в веб-страницы. Элементы управления ActiveX активизируются при щелчке по такому объекту на веб-странице, например, .WMV-файлу, чтобы загрузить его для отображения в окне браузера Internet Explorer. Являясь продуктом Microsoft, ActiveX была специально спроектирована для работы с системами Windows. ActiveX не поддерживается другими операционными системами, такими как Mac или Linux. ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома. Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units Или папка: C:\WINDOWS\Downloaded Program Files Как это выглядит в логе: - Код: Выделить всё
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре. СекцияO17.Изменения домена или DNS сервера. DNS (сервер доменных имен) выдает информацию компьютерам как искать друг друга через интернет. Когда Вы набираете адрес в Вашем браузере, Ваш провайдер (ISP - Internet Service Provider) проверяет его через сервер доменных имен (DNS), чтобы знать куда послать Ваш запрос. http://www.domain.ru ---> проверка в DNS ---> DNS сообщает адрес domain.ru = 192.168.0.1 ---> Вы получаете содержимое сайта. Почему так происходит? Такой механизм действия принят потому, что доменное имя не всегда имеет один и тот же адрес. Каждый сервер в интернете имеет свой IP адрес (набор цифр, подобно номеру телефона). Каждый раз, когда Вы меняете хостинг провайдера, а значит перезжаете на другой сервер (и, естественно, у нового сервера другой адрес IP). Сервер доменных имен хранит запись о Вашем имени домена и IP адрес сервера, куда необходимо посылать запросы. Как это выглядит в логе: - Код: Выделить всё
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра. СекцияO18.Изменения существующих протоколов и фильтров. Используемые ключи реестра: HKLM\SOFTWARE\Classes\PROTOCOLS HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter Как это выглядит в логе: - Код: Выделить всё
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра. СекцияO19.Шаблон Стиля (Style Sheet) пользователя. Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц. Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets Как это выглядит в логе: - Код: Выделить всё
O19 - User stylesheet: C:\WINDOWS\Web\win.def O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра. СекцияO20.Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003. Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Как это выглядит в логе: - Код: Выделить всё
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
Действие HijackThis: удаление соответствующей информации из реестра. СекцияO21.Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load). Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Как это выглядит в логе: - Код: Выделить всё
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра. СекцияO22.Задачи Планировщика Windows (Shared Task Scheduler). Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время. Используемый ключ в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler Как это выглядит в логе: - Код: Выделить всё
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания. СекцияO23.Службы Windows NT/Microsoft Windows. Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows. Просмотреть список всех служб, установленных на компьютере, можно следующим образом: Пуск > Выполнить; вписать services.msc; нажать ОК (Start > Run; вписать services.msc; нажать ОК)Как это выглядит в логе: - Код: Выделить всё
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled) Если же есть желание удалить службу, то это осуществляется несколькими способами: С помощью командной строки: Пуск > Выполнить; вписать sc delete имя службы; нажать ОК (Start > Run; вписать sc delete имя службы; нажать ОК) Через реестр: HKLM\SYSTEM\CurrentControlSet\Services HKLM\SYSTEM\ControlSet001\Services HKLM\SYSTEM\ControlSet002\Services HKLM\SYSTEM\ControlSet003\Services HKLM\SYSTEM\ControlSet004\Services HKLM\SYSTEM\ControlSet005\Services Либо используя HijackThis и его раздел инструментов - Misc Tools...
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 16:57
Раздел Misc Tools.Для перехода в раздел Misc Tools переходим в главное меню и нажимаем кнопку Open the Misc Tools sectionИзучаем окно Misc Tools.
- окно Misc Tools
Кнопка Generate StartupList log - генерировать отчет об Автозагрузке. После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл ( startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы: - папки Startup и All Users Startup; - стандартные ключи реестра, отвечающие за автозагрузку; - параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit); - ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT; - перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components); - перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps); - автозапуск из ini-файлов или эквивалентных им мест реестра; - проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse; - проверка на на наличие файла еxplorer.exe в нескольких папках; - проверка на оригинальность файла regedit.exe; - BHO; - назначенные задания Планировщика Задач; - папка Download Program Files; - перечисление файлов Winsock LSP; - список служб Microsoft Windows; - перечисление скриптов Windows NT logon/logoff; - расширения еxplorer.exe (ShellServiceObjectDelayLoad) Кнопка Open Process Manager - открыть Менеджер Процессов. Менеджер Процессов позволяет: - Просмотреть список всех запущенных процессов системы. В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла.
- Менеджер Процессов
- Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи " Show DLLs". - Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - Save list to file.... - Скопировать эту же информацию в буфер временной памяти, кнопка рядом - Copy list to clipboard ("Copy list to clipboard"). - Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом. - Завершить какой-либо из процессов с помощью кнопки " Kill process". Чтобы выйти из менеджера процессов - нажмите на кнопку " Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis). Кнопка Open Hosts file Manager - открыть Менеджер файла Hosts. Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
- Hosts file Manager
Delete line(s) - удалить строку(строки). Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой). Open in Notepad - открыть файл Hosts в Блокноте. Кнопка Delete a file on Reboot - удалить файл во время перезагрузки системы. С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы. После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.Кнопка Delete an NT service - удалить службу Microsoft Windows. При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы. Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled"). Кнопка Open ADS Spy - открыть встроенную в HijackThis утилиту ADS Spy. ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение. ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:
- ADS Spy
Назначение основных кнопок: Scan - сканирование на наличие в системе ADS. Save log - сохранить отчет (adsspy.txt). Remove selected - удалить выбранные. Кнопка Open Uninstall Manager - открыть Менеджер Деинсталляций.
- Uninstall Manager
Менеджер Деинсталляций позволяет: - Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows. - Видеть команду деинсталляции каждой программы. - Деинсталлировать любую программу с помощью кнопки " Delete this entry". - Добавить новую команду деинсталляции любой из программ с помощью кнопки " Edit uninstall command". - Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки " Open Add/Remove Software list" - Сохранить весь список программ в текстовый файл ( uninstall_list.txt). Для этого нажимаем на кнопку "Save list..." Раздел Advanced settings. Дополнительные настройки сканирования HijackThis: Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно. Как это выглядит в логе: - Код: Выделить всё
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1) O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF) Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС. Как это выглядит в логе: - Код: Выделить всё
Windows folder: C:\WINDOWS System folder: C:\WINDOWS\SYSTEM32 Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
К слову: отчет HijackThis всегда начинается с общей информации следующего характера: Logfile of HijackThis v1.99.1 - версия HijackThis. Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования. Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer. Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes). И последние кнопки раздела Misc Tools: Update check - проверка обновлений программы. Uninstall HijackThis - деинсталляция HijackThis. На этом знакомство с возможностями и функционалом HijackThis можно считать завершенным.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 18:00
Работа в HijackThisДля начала работы с HijackThis настоятельно рекомендую выполнить следующие условия. 1. Подключите и включите все периферийные устройства (принтеры, сканеры, модемы,сетевые карты и т.д) 2. Перезагрузите компьютер и не запускайте никаких программ. Теперь можно найти файл запуска HijackThis. Это HijackThis.exe и запустить этот файл. HijackThis загружен и готов к работе. Перейдите в главное меню (" Main Menu") и нажмите кнопку " Do a system scan only". После некоторого раздумья HijackThis проведет сканирование Вашей системы. Для сохранения лог-файла нажмите кнопку "Save Log" и укажите место сохранения файла. Теперь в нашем распоряжении есть лог-файл HijackThis. Вот пример лог-файла: - Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:07:33, on 05.10.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal
Running processes: C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe C:\Program Files\Alwil Software\Avast5\AvastUI.exe C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Windows\SysWOW64\NOTEPAD.EXE C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe D:\HijackThis\HijackThis.exe C:\Program Files (x86)\Adobe\Adobe Photoshop CS4\Photoshop.exe C:\Windows\SysWOW64\DllHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts file is located at: C:\Windows\System32\drivers\etc\hosts O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кльб/bin/comdlg32.ocx O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing) O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
-- End of file - 8401 bytes
Внимательно изучаем первую часть лога: - Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:07:33, on 05.10.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal
Здесь нет ничего особенного. Указаны дата и время сканирования, версия программы HijackThis, тип ОС и т.д. Задерживаться не будем - перейдем к следующей части. - Код: Выделить всё
Running processes: C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe C:\Program Files\Alwil Software\Avast5\AvastUI.exe C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Windows\SysWOW64\NOTEPAD.EXE C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe D:\HijackThis\HijackThis.exe C:\Program Files (x86)\Adobe\Adobe Photoshop CS4\Photoshop.exe C:\Windows\SysWOW64\DllHost.exe
Наблюдаем кучу не нужных процессов т.к. не выполнено: Для начала работы с HijackThis настоятельно рекомендую выполнить следующие условия. 1. Подключите и включите все периферийные устройства (принтеры, сканеры, модемы,сетевые карты и т.д) 2. Перезагрузите компьютер и не запускайте никаких программ.
Но процессы все же лучше опознать. SoundMAX.exe - я знаю. Это драйвер управления звуковой карты. AvastUI.exe - я знаю. Это антивирус Аваст. ObjectDock.exe - я знаю. Украшалка рабочего стола. smax4pnp.exe - я не знаю. Путь C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe firefox.exe - я знаю .Открыт браузер Firefox. plugin-container.exe - я не знаю. Путь C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Windows\SysWOW64\NOTEPAD.EXE - я знаю. Это Блокнот Windows iexplore.exe - я знаю. Это мой запущенный IE. Но почему их два? hpswp_clipbook.exe - знаю. Это драйвер принтера HijackThis.exe - это вообще знаю. Я им работаю. Photoshop.exe - это я знаю .Сейчас открыт фотошоп. DllHost.exe - это я не знаю.C:\Windows\SysWOW64\DllHost.exe Итак в этой куче не понятно: C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe непонятно почему их два. C:\Windows\SysWOW64\DllHost.exe Начинаем поиск в гуглеПо запросу "smax4pnp.exe" мне удалось найти : Очередной процесс для изучения — smax4pnp.exe. Это кишки от драйвера звуковухи. Лежат в папке C:\Program Files\Analog Devices\Core\smax4pnp.exe. Записываются в автозагрузку для каких-то нужд.
Описание: SMax4PNP.exe находится в подпапках "C:\Program Files" - как правило C:\Program Files\Analog Devices\SoundMAX\. Известны следующие размеры файла для Windows XP 1,404,928 байт (28% всех случаев), 1,388,544 байт, 925,696 байт, 843,776 байт, 868,352 байт, 790,528 байт, 1,036,288 байт, 1,368,064 байт, 872,448 байт, 1,282,048 байт, 1,015,808 байт, 774,144 байт, 1,183,744 байт, 1,040,384 байт, 847,872 байт, 1,261,568 байт, 962,560 байт, 1,044,480 байт, 1,097,728 байт, 1,302,528 байт, 1,396,736 байт, 860,160 байт, 1,458,176 байт, 1,167,360 байт, 1,425,408 байт, 14,348 байт, 1,462,272 байт, 24,080 байт. Это не файл Windows. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders). У процесса нет видимого окна. Это файл, подписанный Microsoft. Поэтому технический рейтинг надежности 35% опасности, тем не менее, так же прочитайте отзывы пользователей. Важно: Некоторые вредоносные программы маскируют себя как SMax4PNP.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.
Ну это похоже на все ту же мою звуковую карту.И я ее считаю безопасной По запросу "plugin-container.exe" мне удалось найти : В Firefox от 3.6.3 реализован запуск плагинов в отдельных процессах на платформах Windows и Linux, что существенно повышает стабильность работы Firefox. Теперь падения таких плагинов, как Adobe Flash, Apple Quicktime и Microsoft Silverlight не должны приводить к падению всего Firefox.
22 Июня 2010 года вышел долгожданный релиз Mozilla Firefox 3.6.4 Чем примечателен релиз? Тем, что теперь flash плагины работают в отдельном процессе. Давно считается, что flash нестабилен, и раньше при зависании или краха флеша падал весь браузер. В данном релизе решили отделить мух от котлет и пустить отдельным процессом сам браузер firefox.exe и отдельным процессом плагины флеша 3.6.4 plugin-container.exe, который является дочерним процессом firefox.exe . Так же за компанию обновился Adobe Flash Player до версии 10,1,53,64
Ну похоже это кусок Firefox а. По запросу "DllHost.exe" мне удалось найти : Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:
* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) - этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление. * W32/Nachi-A (%SystemRoot%\Wins) - Этот червь распространяется через RPC DCOM уязвимость в Windows XP. * W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) - жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге. * Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe) * W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)
В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.
Но меня смущает специфический путь к файлу C:\Windows\SysWOW64\DllHost.exe Очень странно. Сохраню этот лог под другим именем (hijackthisdll.log). Потом доем Идем к секциям... - Код: Выделить всё
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Тут только интересно то, что стартовая страница при запуске IE загружается с madlen.ucoz.com. Но это правда и мне не мешает. Далее... - Код: Выделить всё
F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O2 - это плагины IE и меня они не интересуют (хоть там кроме принтерных HP надстроек нет ничего. O8 - контекстное меню IE. Это тоже не интересно. Там офис проставил чего то. O4 - Автозагрузка. Интересненько. avastUI.exe - Аваст smax4pnp.exe - уже было драйвер звуковой карты sidebar.exe - боковая панель Win 7 - это мы знаем nTune - ну да .Утилита тонкой настройки видеокарт от NVIDIA. Ставилась с сайта NVIDIA мной лично. mctadmin.exe - после поиска в интернете выясняется mctadmin.exe - Для управления пакетами локализации - утилита командной строки Content Management Engine Tool -Утилита входит в состав поставки Windows 7. Вроде все нормально... - Код: Выделить всё
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кльб/bin/comdlg32.ocx
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer. Ваще не интересно. Но это опять офис и принтер O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files). Тут мне по барабану .OPZ - программа предоставлена гос структурой. И отказаться от нее нельзя. O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003. Поиск по интернету дал : guard32.dll - Comodo file
Файерволл Comodo у меня стоит и хорошо. Далее O23 - т.е запущенные службы Windows - Код: Выделить всё
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing) O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
Очень много ключей с не найденными файлами.(file missing). Но подозрительных вроде нет. Придется почистить систему каким нибудь CCleanerом. После очистки CCleanerом лог файл приобрел такой вид - Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:38:35, on 05.10.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal
Running processes: C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe C:\Program Files\Alwil Software\Avast5\AvastUI.exe C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe D:\HijackThis\HijackThis.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кульбанская/bin/comdlg32.ocx O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing) O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
-- End of file - 7949 bytes
Лечение (file missing) не прошло . После поиска в сети выяснилось, что HijackThis иногда не находит файлы в системе и пишет (file missing). Но это может оказаться не так. Зато пропал C:\Windows\SysWOW64\DllHost.exe Видимо это не троян.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 19:49
Проводим проверку свеженьким AVZ и получаем лог этого AVZ . - Код: Выделить всё
Протокол антивирусной утилиты AVZ версии 4.35 Сканирование запущено в 05.10.2010 20:03:07 Загружена база: сигнатуры - 280937, нейропрофили - 2, микропрограммы лечения - 56, база от 04.10.2010 21:19 Загружены микропрограммы эвристики: 383 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 233837 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 6.1.7600, ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:CopyFileA (114) перехвачена, метод APICodeHijack.JmpTo[10025B56] Функция kernel32.dll:CopyFileExA (115) перехвачена, метод APICodeHijack.JmpTo[10025B16] Функция kernel32.dll:CopyFileExW (116) перехвачена, метод APICodeHijack.JmpTo[10025AF6] Функция kernel32.dll:CopyFileW (119) перехвачена, метод APICodeHijack.JmpTo[10025B36] Функция kernel32.dll:CreateFileA (138) перехвачена, метод APICodeHijack.JmpTo[10025B96] Функция kernel32.dll:CreateFileW (145) перехвачена, метод APICodeHijack.JmpTo[10025B76] Функция kernel32.dll:CreateProcessA (166) перехвачена, метод APICodeHijack.JmpTo[10025DF6] Функция kernel32.dll:CreateProcessW (170) перехвачена, метод APICodeHijack.JmpTo[10025DD6] Функция kernel32.dll:DeleteFileA (213) перехвачена, метод APICodeHijack.JmpTo[10025A16] Функция kernel32.dll:DeleteFileW (216) перехвачена, метод APICodeHijack.JmpTo[100259F6] Функция kernel32.dll:GetModuleHandleA (535) перехвачена, метод APICodeHijack.JmpTo[100259D6] Функция kernel32.dll:GetModuleHandleW (538) перехвачена, метод APICodeHijack.JmpTo[100259B6] Функция kernel32.dll:GetProcAddress (583) перехвачена, метод APICodeHijack.JmpTo[10025C36] Функция kernel32.dll:LoadLibraryA (829) перехвачена, метод APICodeHijack.JmpTo[10025996] Функция kernel32.dll:LoadLibraryExA (830) перехвачена, метод APICodeHijack.JmpTo[10025BF6] Функция kernel32.dll:LoadLibraryExW (831) перехвачена, метод APICodeHijack.JmpTo[10025BD6] Функция kernel32.dll:LoadLibraryW (832) перехвачена, метод APICodeHijack.JmpTo[10025976] Функция kernel32.dll:LoadModule (833) перехвачена, метод APICodeHijack.JmpTo[10025C16] Функция kernel32.dll:MoveFileA (863) перехвачена, метод APICodeHijack.JmpTo[10025AD6] Функция kernel32.dll:MoveFileExA (864) перехвачена, метод APICodeHijack.JmpTo[10025A96] Функция kernel32.dll:MoveFileExW (865) перехвачена, метод APICodeHijack.JmpTo[10025A76] Функция kernel32.dll:MoveFileW (868) перехвачена, метод APICodeHijack.JmpTo[10025AB6] Функция kernel32.dll:MoveFileWithProgressA (869) перехвачена, метод APICodeHijack.JmpTo[10025A56] Функция kernel32.dll:MoveFileWithProgressW (870) перехвачена, метод APICodeHijack.JmpTo[10025A36] Функция kernel32.dll:OpenFile (887) перехвачена, метод APICodeHijack.JmpTo[10025BB6] Функция kernel32.dll:WinExec (1299) перехвачена, метод APICodeHijack.JmpTo[10025956] Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:LdrGetProcedureAddress (130) перехвачена, метод APICodeHijack.JmpTo[10025C96] Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[100234B6] Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[1001CFD6] Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[10027F46] Функция ntdll.dll:NtAllocateVirtualMemory (197) перехвачена, метод APICodeHijack.JmpTo[10025D16] Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[10028966] Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[1001CEB6] Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[1002B496] Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[10025D96] Функция ntdll.dll:NtCreateProcess (257) перехвачена, метод APICodeHijack.JmpTo[10025E36] Функция ntdll.dll:NtCreateProcessEx (258) перехвачена, метод APICodeHijack.JmpTo[10025E16] Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[1002A316] Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[10027B66] Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[1002BC66] Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[100285C6] Функция ntdll.dll:NtDeleteFile (281) перехвачена, метод APICodeHijack.JmpTo[10025D56] Функция ntdll.dll:NtFreeVirtualMemory (310) перехвачена, метод APICodeHijack.JmpTo[10025C56] Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[10025CF6] Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[1002AE06] Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[10025D76] Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[1002A946] Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[10025D36] Функция ntdll.dll:NtSetInformationProcess (513) перехвачена, метод APICodeHijack.JmpTo[10025CB6] Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[1002B046] Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[100281F6] Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[1002AC06] Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[1002B806] Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[1002BA26] Функция ntdll.dll:NtUnloadDriver (559) перехвачена, метод APICodeHijack.JmpTo[10025CD6] Функция ntdll.dll:NtWriteVirtualMemory (598) перехвачена, метод APICodeHijack.JmpTo[10025DB6] Функция ntdll.dll:RtlAllocateHeap (645) перехвачена, метод APICodeHijack.JmpTo[10025C76] Функция ntdll.dll:ZwAdjustPrivilegesToken (1441) перехвачена, метод APICodeHijack.JmpTo[10027F46] Функция ntdll.dll:ZwAllocateVirtualMemory (1448) перехвачена, метод APICodeHijack.JmpTo[10025D16] Функция ntdll.dll:ZwAlpcConnectPort (1451) перехвачена, метод APICodeHijack.JmpTo[10028966] Функция ntdll.dll:ZwClose (1479) перехвачена, метод APICodeHijack.JmpTo[1001CEB6] Функция ntdll.dll:ZwConnectPort (1488) перехвачена, метод APICodeHijack.JmpTo[1002B496] Функция ntdll.dll:ZwCreateFile (1495) перехвачена, метод APICodeHijack.JmpTo[10025D96] Функция ntdll.dll:ZwCreateProcess (1508) перехвачена, метод APICodeHijack.JmpTo[10025E36] Функция ntdll.dll:ZwCreateProcessEx (1509) перехвачена, метод APICodeHijack.JmpTo[10025E16] Функция ntdll.dll:ZwCreateSection (1513) перехвачена, метод APICodeHijack.JmpTo[1002A316] Функция ntdll.dll:ZwCreateSymbolicLinkObject (1515) перехвачена, метод APICodeHijack.JmpTo[10027B66] Функция ntdll.dll:ZwCreateThread (1516) перехвачена, метод APICodeHijack.JmpTo[1002BC66] Функция ntdll.dll:ZwCreateThreadEx (1517) перехвачена, метод APICodeHijack.JmpTo[100285C6] Функция ntdll.dll:ZwDeleteFile (1531) перехвачена, метод APICodeHijack.JmpTo[10025D56] Функция ntdll.dll:ZwFreeVirtualMemory (1560) перехвачена, метод APICodeHijack.JmpTo[10025C56] Функция ntdll.dll:ZwLoadDriver (1584) перехвачена, метод APICodeHijack.JmpTo[10025CF6] Функция ntdll.dll:ZwMakeTemporaryObject (1593) перехвачена, метод APICodeHijack.JmpTo[1002AE06] Функция ntdll.dll:ZwOpenFile (1608) перехвачена, метод APICodeHijack.JmpTo[10025D76] Функция ntdll.dll:ZwOpenSection (1623) перехвачена, метод APICodeHijack.JmpTo[1002A946] Функция ntdll.dll:ZwProtectVirtualMemory (1644) перехвачена, метод APICodeHijack.JmpTo[10025D36] Функция ntdll.dll:ZwSetInformationProcess (1762) перехвачена, метод APICodeHijack.JmpTo[10025CB6] Функция ntdll.dll:ZwSetSystemInformation (1779) перехвачена, метод APICodeHijack.JmpTo[1002B046] Функция ntdll.dll:ZwShutdownSystem (1789) перехвачена, метод APICodeHijack.JmpTo[100281F6] Функция ntdll.dll:ZwSystemDebugControl (1797) перехвачена, метод APICodeHijack.JmpTo[1002AC06] Функция ntdll.dll:ZwTerminateProcess (1799) перехвачена, метод APICodeHijack.JmpTo[1002B806] Функция ntdll.dll:ZwTerminateThread (1800) перехвачена, метод APICodeHijack.JmpTo[1002BA26] Функция ntdll.dll:ZwUnloadDriver (1808) перехвачена, метод APICodeHijack.JmpTo[10025CD6] Функция ntdll.dll:ZwWriteVirtualMemory (1847) перехвачена, метод APICodeHijack.JmpTo[10025DB6] Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[100187E6] Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F5A->76F38954 Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F75->76F23F44 Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F90->76F028B3 Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205FAB->76EF243D Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[10018336] Функция user32.dll:EndTask (1730) перехвачена, метод APICodeHijack.JmpTo[10027416] Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод APICodeHijack.JmpTo[10018126] Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[10019386] Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[100185D6] Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[10019636] Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[100198E6] Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[10018E86] Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[1001C126] Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[1001BE86] Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[1001BBE6] Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[1001B946] Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[10019166] Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[1001A116] Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[10019E66] Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[10019B96] Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[1001B6A6] Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[1001ABC6] Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[1001A906] Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[1001B146] Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[1001AE86] Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[1001B406] Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[1001A666] Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[1001A3C6] Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[100189E6] Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[10018BE6] Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[1001C3C6] Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[1001C926] Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[1001C6D6] Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[100247F6] Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[100245E6] Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F024B5->7514C334 Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[1001FF36] Функция advapi32.dll:CreateProcessAsUserW (1126) перехвачена, метод APICodeHijack.JmpTo[1001F726] Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02655->74D272D8 Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0268C->74D2733F Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F026C3->74D27C40 Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F026FA->74D25F8A Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02732->74D25E7D Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02766->74D271C5 Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02799->74D26B9D Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F027D1->7514C5DF Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02858->73F72187 Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02871->73F72A1D Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02896->73F72B3C Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028BF->73F72259 Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028D8->73F727B9 Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028FD->73F728D6 Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02926->73F72373 Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0293E->73F72447 Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0295B->73F720B0 Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02977->73F72565 Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02996->73F72680 Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029B9->73F71FED Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029D1->73F71F34 Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029EB->73F72026 Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02A3C->73003EA8 Анализ ws2_32.dll, таблица экспорта найдена в секции .text Функция ws2_32.dll:WSASocketA (99) перехвачена, метод APICodeHijack.JmpTo[10025856] Функция ws2_32.dll:WSASocketW (100) перехвачена, метод APICodeHijack.JmpTo[10025836] Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetConnectA (231) перехвачена, метод APICodeHijack.JmpTo[10025896] Функция wininet.dll:InternetConnectW (232) перехвачена, метод APICodeHijack.JmpTo[10025876] Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Функция urlmon.dll:URLDownloadToCacheFileA (216) перехвачена, метод APICodeHijack.JmpTo[100257D6] Функция urlmon.dll:URLDownloadToCacheFileW (217) перехвачена, метод APICodeHijack.JmpTo[100257B6] Функция urlmon.dll:URLDownloadToFileA (218) перехвачена, метод APICodeHijack.JmpTo[10025816] Функция urlmon.dll:URLDownloadToFileW (219) перехвачена, метод APICodeHijack.JmpTo[100257F6] Анализ netapi32.dll, таблица экспорта найдена в секции .text Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B10->735729DD Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B29->7357181B Функция netapi32.dll:DavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B45->73571713 Функция netapi32.dll:DavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B5A->73572347 Функция netapi32.dll:DavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B76->7357275B Функция netapi32.dll:DavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B94->7357257D Функция netapi32.dll:DsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BB2->73EC4A4D Функция netapi32.dll:DsAddressToSiteNamesExA (8) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BD1->73EC4D79 Функция netapi32.dll:DsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BF2->73EC5049 Функция netapi32.dll:DsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C13->73EC4C29 Функция netapi32.dll:DsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C32->73EC6DD9 Функция netapi32.dll:DsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C57->73EC6D59 Функция netapi32.dll:DsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C7C->73EC6771 Функция netapi32.dll:DsEnumerateDomainTrustsW (14) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C9E->73EB60BC Функция netapi32.dll:DsGetDcCloseW (15) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CC0->73EC495D Функция netapi32.dll:DsGetDcNameA (16) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CD7->73EC5BB2 Функция netapi32.dll:DsGetDcNameW (17) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CED->73EB4CA8 Функция netapi32.dll:DsGetDcNameWithAccountA (18) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D03->73EC55E9 Функция netapi32.dll:DsGetDcNameWithAccountW (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D24->73EB4CD1 Функция netapi32.dll:DsGetDcNextA (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D45->73EC4896 Функция netapi32.dll:DsGetDcNextW (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D5B->73EC47ED Функция netapi32.dll:DsGetDcOpenA (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D71->73EC473D Функция netapi32.dll:DsGetDcOpenW (23) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D87->73EC46AB Функция netapi32.dll:DsGetDcSiteCoverageA (24) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D9D->73EC5239 Функция netapi32.dll:DsGetDcSiteCoverageW (25) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DBB->73EC5409 Функция netapi32.dll:DsGetForestTrustInformationW (26) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DD9->73EC6E6F Функция netapi32.dll:DsGetSiteNameA (27) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DFF->73EC5B39 Функция netapi32.dll:DsGetSiteNameW (28) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E17->73EB5F24 Функция netapi32.dll:DsMergeForestTrustInformationW (29) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E2F->73EC6F71 Функция netapi32.dll:DsRoleAbortDownlevelServerUpgrade (30) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E57->73F64339 Функция netapi32.dll:DsRoleCancel (31) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E80->73F634A9 Функция netapi32.dll:DsRoleDcAsDc (32) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E94->73F63EAD Функция netapi32.dll:DsRoleDcAsReplica (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EA8->73F63F99 Функция netapi32.dll:DsRoleDemoteDc (34) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EC1->73F64189 Функция netapi32.dll:DsRoleDnsNameToFlatName (35) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3ED7->73F632B5 Функция netapi32.dll:DsRoleFreeMemory (36) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EF6->73F619A9 Функция netapi32.dll:DsRoleGetDatabaseFacts (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F0E->73F63651 Функция netapi32.dll:DsRoleGetDcOperationProgress (38) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F2C->73F63351 Функция netapi32.dll:DsRoleGetDcOperationResults (39) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F50->73F63401 Функция netapi32.dll:DsRoleGetPrimaryDomainInformation (40) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F73->73F61F3D Функция netapi32.dll:DsRoleIfmHandleFree (41) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F9C->73F63539 Функция netapi32.dll:DsRoleServerSaveStateForUpgrade (42) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3FB7->73F635C9 Функция netapi32.dll:DsRoleUpgradeDownlevelServer (43) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3FDE->73F64261 Функция netapi32.dll:DsValidateSubnetNameA (44) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4002->73EC5AF9 Функция netapi32.dll:DsValidateSubnetNameW (45) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4021->73EC49E1 Функция netapi32.dll:I_BrowserDebugCall (46) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4040->73B924A9 Функция netapi32.dll:I_BrowserDebugTrace (47) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A405B->73B92581 Функция netapi32.dll:I_BrowserQueryEmulatedDomains (48) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4077->73B929F9 Функция netapi32.dll:I_BrowserQueryOtherDomains (49) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A409D->73B922C1 Функция netapi32.dll:I_BrowserQueryStatistics (50) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A40C0->73B92651 Функция netapi32.dll:I_BrowserResetNetlogonState (51) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A40E1->73B923D1 Функция netapi32.dll:I_BrowserResetStatistics (52) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4105->73B92729 Функция netapi32.dll:I_BrowserServerEnum (53) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4126->73B920BF Функция netapi32.dll:I_BrowserSetNetlogonState (54) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4142->73B92919 Функция netapi32.dll:I_DsUpdateReadOnlyServerDnsRecords (55) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4164->73EC5569 Функция netapi32.dll:I_NetAccountDeltas (56) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4190->73EC63AB Функция netapi32.dll:I_NetAccountSync (57) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41AC->73EC63AB Функция netapi32.dll:I_NetChainSetClientAttributes (59) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41C6->73EC6FA6 Функция netapi32.dll:I_NetChainSetClientAttributes2 (58) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41ED->73EC7029 Функция netapi32.dll:I_NetDatabaseDeltas (60) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4215->73EC6391 Функция netapi32.dll:I_NetDatabaseRedo (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4232->73EC6521 Функция netapi32.dll:I_NetDatabaseSync (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A424D->73EC6391 Функция netapi32.dll:I_NetDatabaseSync2 (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4268->73EC639E Функция netapi32.dll:I_NetDfsGetVersion (64) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4284->73187CA1 Функция netapi32.dll:I_NetDfsIsThisADomainName (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A429E->73B84E39 Функция netapi32.dll:I_NetGetDCList (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42BF->73EC5D9C Функция netapi32.dll:I_NetGetForestTrustInformation (67) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42D7->73EC6EF1 Функция netapi32.dll:I_NetLogonControl (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42FF->73EC63B8 Функция netapi32.dll:I_NetLogonControl2 (68) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A431A->73EC6439 Функция netapi32.dll:I_NetLogonGetDomainInfo (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4336->73EB64A4 Функция netapi32.dll:I_NetLogonSamLogoff (71) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4357->73EC6091 Функция netapi32.dll:I_NetLogonSamLogon (72) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4374->73EC5F39 Функция netapi32.dll:I_NetLogonSamLogonEx (73) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4390->73EC5FE1 Функция netapi32.dll:I_NetLogonSamLogonWithFlags (74) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43AE->73EBB22A Функция netapi32.dll:I_NetLogonSendToSam (75) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43D3->73EC6111 Функция netapi32.dll:I_NetLogonUasLogoff (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43F0->73EC5EC9 Функция netapi32.dll:I_NetLogonUasLogon (77) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A440D->73EC5E53 Функция netapi32.dll:I_NetServerAuthenticate (80) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4429->73EC6191 Функция netapi32.dll:I_NetServerAuthenticate2 (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A444A->73EC6211 Функция netapi32.dll:I_NetServerAuthenticate3 (79) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A446C->73EB6393 Функция netapi32.dll:I_NetServerGetTrustInfo (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A448E->73EC6C61 Функция netapi32.dll:I_NetServerPasswordGet (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44AF->73EC6B61 Функция netapi32.dll:I_NetServerPasswordSet (84) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44CF->73EC6291 Функция netapi32.dll:I_NetServerPasswordSet2 (83) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44EF->73EC6311 Функция netapi32.dll:I_NetServerReqChallenge (85) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4510->73EB6424 Функция netapi32.dll:I_NetServerSetServiceBits (86) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4531->7318426D Функция netapi32.dll:I_NetServerSetServiceBitsEx (87) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4552->73186D11 Функция netapi32.dll:I_NetServerTrustPasswordsGet (88) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4575->73EC6BE1 Функция netapi32.dll:I_NetlogonComputeClientDigest (89) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A459B->73EB5C20 Функция netapi32.dll:I_NetlogonComputeServerDigest (90) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A45C2->73EC6AEC Функция netapi32.dll:NetAddAlternateComputerName (97) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A45E9->73295B21 Функция netapi32.dll:NetAddServiceAccount (98) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A460C->73EC70B1 Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A462A->732F1415 Функция netapi32.dll:NetApiBufferFree (102) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4648->732F13D2 Функция netapi32.dll:NetApiBufferReallocate (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4662->732F3729 Функция netapi32.dll:NetApiBufferSize (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4682->732F3771 Функция netapi32.dll:NetBrowserStatisticsGet (108) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A469C->73B92801 Функция netapi32.dll:NetConnectionEnum (112) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46BC->73185521 Функция netapi32.dll:NetDfsAdd (113) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46D5->73B878FD Функция netapi32.dll:NetDfsAddFtRoot (114) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46E6->73B86859 Функция netapi32.dll:NetDfsAddRootTarget (115) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46FD->73B87401 Функция netapi32.dll:NetDfsAddStdRoot (116) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4718->73B82B1E Функция netapi32.dll:NetDfsAddStdRootForced (117) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4730->73B82BB1 Функция netapi32.dll:NetDfsEnum (118) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A474E->73B870F9 Функция netapi32.dll:NetDfsGetClientInfo (119) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4760->73B83F25 Функция netapi32.dll:NetDfsGetDcAddress (120) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A477B->73B82C51 Функция netapi32.dll:NetDfsGetFtContainerSecurity (121) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4795->73B85363 Функция netapi32.dll:NetDfsGetInfo (122) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47B9->73B82D69 Функция netapi32.dll:NetDfsGetSecurity (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47CE->73B87741 Функция netapi32.dll:NetDfsGetStdContainerSecurity (124) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47E7->73B83AD5 Функция netapi32.dll:NetDfsGetSupportedNamespaceVersion (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A480C->73B85C19 Функция netapi32.dll:NetDfsManagerGetConfigInfo (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4836->73B82E9C Функция netapi32.dll:NetDfsManagerInitialize (127) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4858->73B82F91 Функция netapi32.dll:NetDfsManagerSendSiteInfo (128) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4877->73B872C5 Функция netapi32.dll:NetDfsMove (129) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4898->73B85651 Функция netapi32.dll:NetDfsRemove (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48AA->73B87A19 Функция netapi32.dll:NetDfsRemoveFtRoot (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48BE->73B86A99 Функция netapi32.dll:NetDfsRemoveFtRootForced (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48D8->73B86BE5 Функция netapi32.dll:NetDfsRemoveRootTarget (133) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48F8->73B85879 Функция netapi32.dll:NetDfsRemoveStdRoot (134) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4916->73B82CE1 Функция netapi32.dll:NetDfsRename (135) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4931->73B82E91 Функция netapi32.dll:NetDfsSetClientInfo (136) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4945->73B84301 Функция netapi32.dll:NetDfsSetFtContainerSecurity (137) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4960->73B853AF Функция netapi32.dll:NetDfsSetInfo (138) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4984->73B86D8B Функция netapi32.dll:NetDfsSetSecurity (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4999->73B87822 Функция netapi32.dll:NetDfsSetStdContainerSecurity (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49B2->73B83B24 Функция netapi32.dll:NetEnumerateComputerNames (141) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49D7->73295E39 Функция netapi32.dll:NetEnumerateServiceAccounts (142) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49F8->73EC7199 Функция netapi32.dll:NetEnumerateTrustedDomains (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A1D->73EC652E Функция netapi32.dll:NetFileClose (147) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A41->73185659 Функция netapi32.dll:NetFileEnum (148) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A55->73185729 Функция netapi32.dll:NetFileGetInfo (149) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A68->73185859 Функция netapi32.dll:NetGetAnyDCName (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A7E->73EC496D Функция netapi32.dll:NetGetDCName (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A97->73EC5913 Функция netapi32.dll:NetGetDisplayInformationIndex (152) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AAD->73B74117 Функция netapi32.dll:NetGetJoinInformation (153) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AD2->73292DC7 Функция netapi32.dll:NetGetJoinableOUs (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AEF->732959D1 Функция netapi32.dll:NetGroupAdd (155) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B08->73B771C3 Функция netapi32.dll:NetGroupAddUser (156) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B1B->73B773AD Функция netapi32.dll:NetGroupDel (157) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B32->73B773CB Функция netapi32.dll:NetGroupDelUser (158) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B45->73B773EB Функция netapi32.dll:NetGroupEnum (159) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B5C->73B77409 Функция netapi32.dll:NetGroupGetInfo (160) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B70->73B778C8 Функция netapi32.dll:NetGroupGetUsers (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B87->73B77952 Функция netapi32.dll:NetGroupSetInfo (162) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B9F->73B77C02 Функция netapi32.dll:NetGroupSetUsers (163) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BB6->73B77DAE Функция netapi32.dll:NetIsServiceAccount (164) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BCE->73EC72D9 Функция netapi32.dll:NetJoinDomain (165) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BEB->732954B9 Функция netapi32.dll:NetLocalGroupAdd (166) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C00->73B7875A Функция netapi32.dll:NetLocalGroupAddMember (167) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C18->73B78886 Функция netapi32.dll:NetLocalGroupAddMembers (168) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C36->73B78E99 Функция netapi32.dll:NetLocalGroupDel (169) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C55->73B788A4 Функция netapi32.dll:NetLocalGroupDelMember (170) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C6D->73B78928 Функция netapi32.dll:NetLocalGroupDelMembers (171) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C8B->73B78EBD Функция netapi32.dll:NetLocalGroupEnum (172) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CAA->73B78946 Функция netapi32.dll:NetLocalGroupGetInfo (173) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CC3->73B78CE4 Функция netapi32.dll:NetLocalGroupGetMembers (174) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CDF->73B72265 Функция netapi32.dll:NetLocalGroupSetInfo (175) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CFE->73B78D57 Функция netapi32.dll:NetLocalGroupSetMembers (176) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D1A->73B78E75 Функция netapi32.dll:NetLogonGetTimeServiceParentDomain (177) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D39->73EC6CE9 Функция netapi32.dll:NetLogonSetServiceBits (178) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D65->73EB603C Функция netapi32.dll:NetProvisionComputerAccount (184) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D85->73B5F2D3 Функция netapi32.dll:NetQueryDisplayInformation (185) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DA9->73B73D87 Функция netapi32.dll:NetQueryServiceAccount (186) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DCB->73EC7249 Функция netapi32.dll:NetRemoteComputerSupports (188) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DEB->732F2160 Функция netapi32.dll:NetRemoteTOD (189) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E0E->73186C11 Функция netapi32.dll:NetRemoveAlternateComputerName (190) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E22->73295C29 Функция netapi32.dll:NetRemoveServiceAccount (191) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E48->73EC7129 Функция netapi32.dll:NetRenameMachineInDomain (192) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E69->73295751 Функция netapi32.dll:NetRequestOfflineDomainJoin (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E89->73B5B52F Функция netapi32.dll:NetScheduleJobAdd (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EAD->73B319D1 Функция netapi32.dll:NetScheduleJobDel (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EC8->73B31AC9 Функция netapi32.dll:NetScheduleJobEnum (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EE3->73B31BC1 Функция netapi32.dll:NetScheduleJobGetInfo (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EFF->73B31CE1 Функция netapi32.dll:NetServerAliasAdd (213) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F1E->73187843 Функция netapi32.dll:NetServerAliasDel (214) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F37->73187A79 Функция netapi32.dll:NetServerAliasEnum (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F50->73187931 Функция netapi32.dll:NetServerComputerNameAdd (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F6A->73187411 Функция netapi32.dll:NetServerComputerNameDel (217) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F8A->731876FB Функция netapi32.dll:NetServerDiskEnum (218) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FAA->73186559 Функция netapi32.dll:NetServerEnum (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FC3->73B92F61 Функция netapi32.dll:NetServerEnumEx (220) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FD9->73B92C5F Функция netapi32.dll:NetServerGetInfo (221) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FF1->73183CFA Функция netapi32.dll:NetServerSetInfo (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5009->73186681 Функция netapi32.dll:NetServerTransportAdd (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5021->73186851 Функция netapi32.dll:NetServerTransportAddEx (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A503E->73187329 Функция netapi32.dll:NetServerTransportDel (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A505D->73186A01 Функция netapi32.dll:NetServerTransportEnum (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A507A->73186AD9 Функция netapi32.dll:NetSessionDel (231) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5098->73185941 Функция netapi32.dll:NetSessionEnum (232) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50AD->73185A11 Функция netapi32.dll:NetSessionGetInfo (233) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50C3->73185B41 Функция netapi32.dll:NetSetPrimaryComputerName (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50DC->73295D31 Функция netapi32.dll:NetShareAdd (235) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50FD->73185C81 Функция netapi32.dll:NetShareCheck (236) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5110->73185E91 Функция netapi32.dll:NetShareDel (237) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5125->73185F81 Функция netapi32.dll:NetShareDelEx (238) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5138->73187B61 Функция netapi32.dll:NetShareDelSticky (239) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A514D->731860D1 Функция netapi32.dll:NetShareEnum (240) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5166->73183F91 Функция netapi32.dll:NetShareEnumSticky (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A517A->731861C9 Функция netapi32.dll:NetShareGetInfo (242) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5194->7318433F Функция netapi32.dll:NetShareSetInfo (243) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51AB->73186341 Функция netapi32.dll:NetUnjoinDomain (245) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51C2->73295641 Функция netapi32.dll:NetUseAdd (247) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51D9->73293693 Функция netapi32.dll:NetUseDel (248) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51EA->73295FA9 Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51FB->73293184 Функция netapi32.dll:NetUseGetInfo (250) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A520D->73296039 Функция netapi32.dll:NetUserAdd (251) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5222->73B7464F Функция netapi32.dll:NetUserChangePassword (252) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5234->73B75A06 Функция netapi32.dll:NetUserDel (253) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5251->73B74826 Функция netapi32.dll:NetUserEnum (254) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5263->73B749D6 Функция netapi32.dll:NetUserGetGroups (255) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5276->73B74E01 Функция netapi32.dll:NetUserGetInfo (256) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A528E->73B71C60 Функция netapi32.dll:NetUserGetLocalGroups (257) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52A4->73B72875 Функция netapi32.dll:NetUserModalsGet (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52C1->73B7206B Функция netapi32.dll:NetUserModalsSet (259) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52D9->73B754AA Функция netapi32.dll:NetUserSetGroups (260) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52F1->73B75095 Функция netapi32.dll:NetUserSetInfo (261) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5309->73B74D1D Функция netapi32.dll:NetValidateName (262) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A531F->73295859 Функция netapi32.dll:NetValidatePasswordPolicy (263) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5336->73B79967 Функция netapi32.dll:NetValidatePasswordPolicyFree (264) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5357->73B79B6B Функция netapi32.dll:NetWkstaTransportAdd (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A537C->73294E45 Функция netapi32.dll:NetWkstaTransportDel (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5398->73294F21 Функция netapi32.dll:NetWkstaTransportEnum (269) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53B4->73294CF9 Функция netapi32.dll:NetWkstaUserEnum (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53D1->73294AD1 Функция netapi32.dll:NetWkstaUserGetInfo (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53E9->73293280 Функция netapi32.dll:NetWkstaUserSetInfo (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5404->73294C15 Функция netapi32.dll:NetapipBufferAllocate (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A541F->732F37AA Функция netapi32.dll:NetpIsRemote (289) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A543E->732F382D Функция netapi32.dll:NetpwNameCanonicalize (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5454->732F1C30 Функция netapi32.dll:NetpwNameCompare (297) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5473->732F1F2E Функция netapi32.dll:NetpwNameValidate (298) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A548D->732F1990 Функция netapi32.dll:NetpwPathCanonicalize (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54A8->732F275D Функция netapi32.dll:NetpwPathCompare (300) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54C7->732F4086 Функция netapi32.dll:NetpwPathType (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54E1->732F2533 Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54F8->73EB61F8 Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A551B->73EB5D67 Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5543->73EB6198 1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C000036B] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B] 2. Проверка памяти Количество найденных процессов: 11 Количество загруженных модулей: 179 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\All Users\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp Прямое чтение C:\Documents and Settings\All Users\Microsoft\RAC\Temp\sqlD72C.tmp Прямое чтение C:\Documents and Settings\All Users\Microsoft\RAC\Temp\sqlDC2C.tmp Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp Прямое чтение C:\Users\Дмитрий\Local Settings\Application Data\Application Data\Application Data\Application Data\Temp\avz_1572_2.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\guard32.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 232252, извлечено из архивов: 73785, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 05.10.2010 20:25:00 Сканирование длилось 00:21:54 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info
Важное тут Просканировано файлов: 232252, извлечено из архивов: 73785, найдено вредоносных программ 0, подозрений - 0
Он лайн проверки тоже прошли успешно. Считаю , что мой комп на данный момент свободен от spyware,trojans и вирусов.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 05 окт 2010, 20:02
Как лечить?Рассказывать о том как лечить или фиксить проблемные записи не стану. Это опасно для компа и требует определенных навыков. Подскажу только об остановке служб. Остановка служб Windows с помощью HjJackThis Для того чтобы пофиксить строку начинающуюся с O23 надо: 1. Запустить HijackThis. 2. Нажать кнопку Open The Misc Tools section 3. Нажать кнопку Delete an NT Service 4. В открывшемся диалоге ввести название службы aspi113210 (это пример) 5.Нажать кнопку OK P.S. Перегрузиться не помешает Иногда приходится загружаться в безопасном режиме предварительно вычистив временную папку "Temp" и идти на другие ухищрения. Параметры для запуска "Джека" из командной строки: hijackthis - обычный запуск. hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога. hijackthis /ihatewhitelists - запуск программы именно таким образом увеличит размеры вашего лога, возможно, даже в несколько раз; так как некоторые компоненты, занесенные в так называемый внутренний "белый список", в обычном логе никогда не отображаются. hijackthis /uninstall - деинсталляция HijackThis. Ну и для тех, кто дочитал до этого места даю бонус-ссылки на бесплатные ON-Line анализаторы лог-файлов HijackThis. Эти анализаторы оценивают лог-файлы и выдают свое мнение. Но это мнение не конечно. Все решаете ВЫ. http://www.hijackthis.de/enhttp://www.help2go.com/content/home/31- ... ctive.htmlhttp://hjt.networktechs.com/http://www.spywareguide.com/contribute/parser.phphttp://www.spyandseek.com/http://exelib.com/hijackА на этой страничке можно найти много полезной инфы. Спасибо авторам. Заключение.HijackThis - это сильнейший анализатор системной среды.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 05 окт 2010, 21:58
Дима, статья очень полезная. Спасибо. Возникла просто лавина вопросов. Провела процедуру сканирования системы, сохранила логфайл...И начались вопросы... А, проанализировала результат по одной из приведенных ссылок (за это отдельное мерси). Вопросы и до того были, а теперь еще прибавились. Эти два пункта были обозначены большим жирным красным крестом, т.е. на сколько я поняла, отмеченные красным надо удалять однозначно? Вот еще такой R3 - URLSearchHook: (no name) - - (no file) Neutral Nasty (2.76 / 5.00) И что значат эти пункты? Что-то я совсем запуталась
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 05 окт 2010, 22:06
Выставь весь лог файл с использованием ббкода Code. Посмотрим Эти анализаторы оценивают лог-файлы и выдают свое мнение. Но это мнение не конечно. Все решаете ВЫ.
Имеется ввиду , что анализаторы не могут точно определить "верно-неверно". Они обращают внимание на необычность структуры. И опираются на базы знаний других пользователей.А грамотных пользователей к сожалению не очень много.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 05 окт 2010, 22:39
- Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:08:38, on 05.10.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\Program Files\Comodo\Firewall\cmdagent.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\ICQ6Toolbar\ICQ Service.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\StkCSrv.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ATK0100\HControl.exe C:\Program Files\Atheros\ACU.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Comodo\Firewall\CPF.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\Opera\opera.exe C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qstatsrv.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll (file missing) O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [PrintDisp] C:\WINDOWS\system32\PrintDisp.exe O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{2D491BD8-ED2C-4A6C-970B-8B03E727C885}: NameServer = 195.128.182.40 195.128.182.41 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: OSCM Utility Service - Unknown owner - C:\Program Files\Novatel Wireless\Sprint\Sprint PCS Connection Manager\OSCMUtilityService.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
-- End of file - 10661 bytes
Верхнюю часть я разбираю по поисковику, каждый пункт. И по ходу вопрос, винда у меня переустанавливалась 24-25 февраля 2008 года последний раз (ух, какая я уже умная, даже такое нашла ), а этот пунктик C:\WINDOWS\system32\crypserv.exe создан гораздо позже...
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 05 окт 2010, 22:55
crypserv.exe - это не системный файл. Можно глянуть тут и здесьКак тут утверждают переводчики Это служба установлена, если вы используете "Swish" (swishzone.com). Он необходим для запуска программы, в противном случае ошибка о письменном памяти всплывает. Установите в инвалидов, пока это необходимо. .
А вот что ставилось от Swish не знаю. Это чей комп?
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 05 окт 2010, 23:12
Хм.... Комп мой, а вот что ставилось от Swish и я не знаю..... и поиск тоже не знает... А этих процессов у меня целых три. Это так и должно быть? C:\WINDOWS\system32\svchost.exe
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 06 окт 2010, 12:16
Дорофея писал(а):Хм.... Комп мой, а вот что ставилось от Swish и я не знаю..... и поиск тоже не знает...
Ну если есть такая уверенность , то поставить галочку в чекбоксе и нажать "Fix checked" Перезагрузить комп. Дорофея писал(а):А этих процессов у меня целых три. Это так и должно быть? C:\WINDOWS\system32\svchost.exe
Для XP - это нормально. Для Vista и Win 7 мало (раза в два) .
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
magiya » 06 окт 2010, 18:38
Дорофея писал(а):Верхнюю часть я разбираю по поисковику, каждый пункт.
Вот и интересно посмотреть что удалось узнать.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 06 окт 2010, 19:38
Меня хватило только на эту часть ): - Код: Выделить всё
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\Program Files\Comodo\Firewall\cmdagent.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\ICQ6Toolbar\ICQ Service.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\StkCSrv.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ATK0100\HControl.exe C:\Program Files\Atheros\ACU.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Mail.Ru\Agent\MAgent.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Comodo\Firewall\CPF.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\Opera\opera.exe C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe
Вроде бы ничего настораживающего, судя по тому, что я прочла в инете ))), кроме уже указанной строки C:\WINDOWS\system32\crypserv.exe
, которая тоже оказалась не страшной. А нижеидущая часть лог файла для меня "темный лес".
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 06 окт 2010, 20:53
C:\WINDOWS\system32\acs.exe мне не нравится C:\Program Files\Java\jre6\bin\jqs.exe можно почитать http://nemcd.com/2009/03/chto-takoe-jqsexe/C:\WINDOWS\system32\wbem\wmiapsrv.exe Где то было прочитано Файл wmiapsrv.exe всегда расположен в папке c:\windows\system32. В случае если вы обнаружили файл в другом каталоге, его следует немедленно удалить. В настоящее время не известно о существовании злонамеренных программ с именем wmiapsrv.exe.
C:\Program Files\Mail.Ru\Agent\MAgent.exe Если только очень нужен. C:\Program Files\ICQ6Toolbar\ICQ Service.exe C:\Program Files\Google\Google Talk\googletalk.exe Зачем 2 интернет пейджера? C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe И как часто Nokia подключается к компу что в памяти аж три процесса? Это касаемо загруженных процессов
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 06 окт 2010, 22:16
magiya писал(а):C:\WINDOWS\system32\acs.exe мне не нравится
изучила инфу, удалила прочитав отзывы в статье тоже решила удалить magiya писал(а):C:\WINDOWS\system32\wbem\wmiapsrv.exe
а это, насколько я поняла, должно напрямую лежать в папкеWI C:\WINDOS\system32, а не в подпапке? magiya писал(а):C:\Program Files\Mail.Ru\Agent\MAgent.exeЕсли только очень нужен.
Вообще-то нужен...Им удобно пользоваться, приходят уведомления о поступлении новых писем на ящик... magiya писал(а):C:\Program Files\ICQ6Toolbar\ICQ Service.exeC:\Program Files\Google\Google Talk\googletalk.exeЗачем 2 интернет пейджера?
для общения с разными человеками... magiya писал(а):C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exeC:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exeC:\Program Files\PC Connectivity Solution\ServiceLayer.exeИ как часто Nokia подключается к компу что в памяти аж три процесса?
Когда-то я использовала Nokia как модем, а сейчас этого не делаю. Удалить?
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 06 окт 2010, 22:51
Хочется глянуть на автозагрузку
Пуск --- Выполнить --- вбить msconfig --- закладка автозагрузка
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 06 окт 2010, 23:00
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 07 окт 2010, 11:51
Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель в системной трее при старте операционной системы, и работает в фоновом режиме даже после закрытия всех программ пакета Microsoft Office, независимо от того, запускались ли программы Office XP.
Программа Ctfmon.exe активирует процессор текстового ввода компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Microsoft Office.
Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно множество вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя Ctfmon.exe для сокрытия своего присутствия в системе.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Дорофея » 07 окт 2010, 12:29
Ctfmon.exe
Нашла Удалила, тот который верхний.
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель Я Таня! Приятно познакомиться!
-
Дорофея
- Коренной житель
-
- Сообщения: 275
- Зарегистрирован: 27 апр 2009, 21:03
- Откуда: Киевская область
-
magiya » 07 окт 2010, 13:37
в папке Prefetch содержится информация о частооткрываемых программах для быстрого доступа к ним. Можно удалить ВСЕ файлы из неё и система будет грузится быстрей, но программы открыватся дольше в первый раз... потом там снова образуются файлы... иногда можно их почистить... Кстати, аналогичная судьба папки Temp Это не вирус был.
-
magiya
- Site Admin
-
- Сообщения: 1033
- Зарегистрирован: 30 окт 2007, 14:38
-
Вернуться в Windows и все о ней
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3
|