Вязание на заказ    Рекламный блок    Реклама

HijackThis - удаление spyware,trojans и вирусов

Все вопросы связанные с функционированием OC Windows обсуждаем здесь.

Модератор: КУЛЯ

HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 04 окт 2010, 22:17

HijackThis
При написании этой статьи использованы материалы с
http://saule.sporaw.ru/articles/hijackthis.html
http://www.bleepingcomputer.com/tutoria ... ial42.html


Введение.

HijackThis – это бесплатная программа для удаления спайваре/spyware, троянов/trojans, вирусов.
Она проверяет важнейшие части реестра и основные конфигурационные файлы Windows вне зависимости от типа самой
Windows, которые могут быть изменены, и показывает это в генерируемом лог-файле, то есть лог представляет из себя
список важнейших параметров вашего компьютера и их значений.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода
собранной информации в виде удобного лога (отчёта).

Исследование лог-файла дает возможность найти проблемы в системе. Кроме того программа может и вносить исправления т.е. "лечить" систему.

Обращаю внимание:
HijackThis не содержит баз данных по вредоносным программам,поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС вплоть до краха ОС.



Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Одним из больших плюсов HijackThis, есть то, что эта программа сохраняет конфигурационные файлы системы до изменения или удаления, что позволяет вернуть все "в сад".

Программа имеет не большой размер (около 400 Кв), не требует установки и , не маловажно, HijackThis совершенно бесплатна. Кроме того, HijackThis не требует серьезных системных ресурсов, работает очень быстро (несколько секунд) и не использует сетевые подключения т.е. не "ломиться" в интернет.

После скачивания HijackThis сразу готов к работе.
К сожалению программа англоязычная.Но это не должно нас пугать.

Скачать программу рекомендую с официального сайта http://free.antivirus.com/hijackthis/
У меня скачана самая последняя версия - 2.0.4.
Если программа окажется в архиве, то необходимо ее разархивировать.
Сразу для удобства следует создать папку, например HijackThis, и поместить туда скачанный HijackThis.exe.
Саму папку можно поместить на любой диск Вашего компа.
Файл ексе.jpg
скачанный HijackThis.exe


Запуск HijackThis.
Запуск производится обычным двойным щелчком левой кнопкой мыши по значку HijackThis.exe.

Знакомство.
После запуска HijackThis.exe мы наблюдаем первое окно программы.
К сожалению в отличии от прошлых версий при запуске HijackThis открывается менее удобное для начинающих пользователей окно.
Запуск.jpg
создать папку, например HijackThis

В этом окне необходимо нажать кнопочку "Main Menu" (главное меню) и мы попадаем действительно туда, куда нужно.
В главное меню программы HijackThis.
Переход в главное меню..jpg
Переход в главное меню


В главном меню программы у нас интересуются о том, что мы собственно хотим сделать?
Выбор осуществляется нажатием на соответствующую кнопочку.

Поговорим подробнее на возможностях выбора.

Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).
Никаких телодвижений по поводу "ремонта" системы HijackThis проводить не будет. Только анализ и автоматическое сохранение лог-файла hijackthis.log, который по сути является простым текстовым документом и спокойно открывается Блокнотом виндовс.
лог.jpg
hijackthis.log


Do a system scan only - проводится только сканирование. Лог файл автоматически не создается. Эту кнопочку следует нажимать в случае, если сохранить лог-файл нужно под именем отличном от hijackthis.log.
Будет проведено только сканирование.

View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента , что дает возможность восстановить неверно удаленный файл).

Open the Misc Tools selection - мы уже знаем , что hijackthis позволяет не только сканировать систему.Здесь есть другие инструменты программы (на этом мы подробно остановимся немного позже).

Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).

Non of the above, just start the program
- ничего из вышеперечисленного, простой запуск программы . Это вернет нас к окну, которое открылось при запуске программы.
окно запуска.jpg
Окно запуска


Снизу окна главного меню можно заметить чек бокс с установленным флажком
"Don't show this frame again when I start HijackThis", чтобы начинать работу с программой без этого начального фрейма.
Именно по этому мы при запуске не попадали в "Главное меню" программы . Установить или снять чек бокс решать Вам.
Чек бокс.jpg
Чек бокс


Более в главном меню программы hijackthis ничего интересного нет.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 04 окт 2010, 23:18

Вернемся к рабочему окну HijackThis.
Среди прочих активных кнопок обратим внимание на кнопочку "Info..." и нажмем на нее в новом окне наблюдаем версию программы HijackThis , обозначение строчек лога, консольные команды HijackThis и историю версий. В общем ничего ценного. Отсюда можно смело уходить.
Info вход.jpg
Info вход
Info1.jpg
Версия
Info2.jpg
Описание строк
Info3.jpg
Выход


Давно пора нам запустить сканер.


Запуск сканера HijackThis.
Как не удивительно нажмем на кнопку "Scan". Ждем очень не долго и получаем результат. При желании результат сканирования можно сохранить в лог-файл в произвольное место с произвольным именем.
Скан1.jpg
Scan
Скансаве.jpg
Сохранить лог



Структура лог-файла HijackThis.
В теле окна HijackThis мы можем наблюдать кучу разных строк
Скансаве.jpg
Сохранить лог

Попробуем разобраться с этим кошмаром.

Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:

R0, R1, R2, R3 - изменения основных настроек Internet Explorer.
F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.
N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.
O1 - изменения в файле Hosts.
O2 - плагины и расширения браузера (BHO/Browser Helper Objects).
O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
O4 - автозапуск программ из реестра и папки Startup.
O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 - отключение доступа к Regedit.
O8 - дополнительные пункты контекстного меню Internet Explorer.
O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).
O12 - плагины Internet Explorer.
O13 - префиксы IE.
O14 - изменения в файле iereset.inf.
O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 - изменения домена или DNS сервера.
O18 - изменения существующих протоколов и фильтров.
O19 - шаблон стиля (Style Sheet) пользователя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
O22 - задачи Планировщика Windows (Shared Task Scheduler).
O23 - службы Windows NT/Microsoft Windows.


Все это конечно страшно, но... Не очень.
Разберемся по порядку.

Секции R0, R1, R2, R3.

Изменения основных настроек Internet Explorer.

R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
R2 - эта секция на данный момент не используется.
R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (httр://; ftр:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него (браузера).

Собственно эта секция описывается ключами реестра системы:
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

HijackThis может удалить указанные строчки из этой секции. Это приводит к удаление соответствующей информации из реестра

Пример из лога:

Код: Выделить всё
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com

madlen.ucoz.com, в моем случае,является стартовой страничкой для IE. Обычно пользователь знает с какой странички хочет начинать веб серфинг. Я IE использую крайне редко , но избавиться от этой штуки надо. Обычно средствами IE это легко делается, но не всегда. Вот тут нам и может помочь HijackThis.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 14:01

Секции F0, F1, F2, F3.

Автозапуск программ из ini-файлов.
ini-файлы — это обычные текстовые файлы, которые можно редактировать и просматривать при помощи любого текстового редактора.
ini-файл (англ. Initialization file) — это файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых приложений.
Это значит, что безобидный текстовый документ может содержать информацию для внесения изменений в ОС.
Однако существуют ini-файлы, в которых хранятся некоторые параметры приложения (программы) между его перезапусками.
Такие ini-файл обычно лежит в директории программы, которая его использует.
В этом смысле ini-файл полезен.
Каждая программа сама решает, как создавать ini-файл и какой параметр за что будет отвечать.


В нашем случае (то с чем работает -HijackThis) речь идет о следующих системных файлах:
C:\WINDOWS\system.ini
C:\WINDOWS\win.ini
А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

F0 - автозапуск через параметр Shell= из файла system.ini
F1 - автозапуск через параметы Run= и Load= из файла win.ini
F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр).

HijackThis имеет возможность удалить соответствующие записи из ini-файла/реестра для предотвращения последующего автоматического запуска данного приложения.

Пример лога:
Код: Выделить всё
F2 - REG:system.ini: UserInit=userinit.exe


Userinit.exe является частью операционных систем Windows, отвечая за процесс загрузки системы. На нем лежит задача восстановления сетевых подключений и запуска оболочки.

Процесс является критическим для функционировании операционной системы. Не пытайтесь отключить его. Удаление файла приведет к невозможности загрузки операционной системы и потребует переустановку операционной системы.

Тут все нормально и трогать ничего не следует.

А вот другой пример из лога
Код: Выделить всё
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

А тут не все хорошо. sdra64.exe - это троян. И загружается он при загрузке системы. И разбираться с ним нужно по крутому.
Т.е. грохнуть навсегда.


Секции N1, N2, N3, N4.

Изменения начальной и поисковой страниц Netscape/Mozilla.
Эта секция сродни предыдущей только для альтернативных браузеров семейства Mozilla.
N1 - стартовая и поисковая страницы для Netscape 4.
N2 - стартовая и поисковая страницы для Netscape 6.
N3 - стартовая и поисковая страницы для Netscape 7.
N4 - стартовая и поисковая страницы для Mozilla.

Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.

Пример лога:

Код: Выделить всё
 N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)


HijackThis имеет возможность удаления соответствующей информации из файла prefs.js.


Секция O1.
Изменения в файле Hosts.

Файл HOSTS используется в Windows для преобразования символьных имен доменов (google.com) в соответствующие им IP-адреса (64.233.167.99) и наоборот (точно такие же задачи в сетях TCP/IP выполняет и DNS - Domain Name System - система доменных имен). То есть каждый раз, когда вы вводите в адресную строку браузера название сайта, ваш компьютер, прежде чем с ним соединится, должен преобразовать это "буквенное" название в соответствующие ему числа.

Файл HOSTS не имеет видимого расширения, но по сути его можно редактировать в любом текстовом редакторе (например, Notepad или Блокнот), как обычный файл текстового формата.

Файл HOSTS часто становится "жертвой" различного рода вредоносного ПО, которое вносит в него изменения (например, с целью перенаправления пользователя на свои веб-сайты, вместо тех, которые вводятся им в строку браузера или используются антивирусами для обновлений своих антивирусных баз).

Его местоположение может отличаться в зависимости от вашей операционной системы, но по умолчанию файл HOSTS находится:

Windows 95/98/ME: WINDOWS\hosts
Windows NT/2000: WINNT\system32\drivers\etc\hosts
Windows XP/2003/Vista: WINDOWS\system32\drivers\etc\hosts

Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath"="%SystemRoot%\System32\drivers\etc"


Секция O2.
Плагины и расширения браузера IE(BHO/Browser Helper Objects).

BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).

Browser Helper Object — DLL-модуль, разработанный как плагин для Internet Explorer для обеспечения дополнительной функциональности. Некоторые модули обладают возможностью открывать файлы различных форматов, первоначально не предназначенных для браузера. Например, таким Browser Helper Object является плагин Adobe Acrobat, позволяющий пользователям Internet Explorer открывать PDF-файлы.

Некоторые Browser Helper Object добавляют панели инструментов в Internet Explorer.

Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Пример лога:
Код: Выделить всё
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll


Тут видно , что в IE установлен плагин принтера от HP для удобной печати изображений из сети.


Секция O3.
Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов типа примерно следующего типа Google Toolbar (google берем как пример, чтобы было понятнее, о чем идет речь):
google.gif
google.gif (2.08 КБ) Просмотров: 34035



Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Пример лога:
Код: Выделить всё
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL



Секция O4.
Эта секция для нас очень важна.

Автозапуск программ из реестра и папки Startup.

Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)

Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
И папки (для Windows XP):
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Пример лога:
Код: Выделить всё
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe


Ну что тут....
avastUI.exe - антивирус Аваст.
smax4pnp.exe - это драйвер моей встроенной звуковой платы - SoundMAX.
sidebar.exe - боковая панель Win 7
nTuneCmd.exe - ну стоит программка nTune от NVIDIA для управления видеокартой
mctadmin.exe - Для управления пакетами локализации - утилита командной строки Content Management Engine Tool -
Утилита входит в состав поставки Windows 7.
ObjectDock.exe - еще одна красивость для рабочего стола в стиле MAC OS

Для удаления строк из секции O4 соответствующая программа должна быть выгружена из памяти компа. Для этого можно программу закрыть или завершить её процесс через Диспетчер Задач/Task Manader.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 15:21

Секция O5.
Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).

В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Эта функция иногда используется администраторами.

Пример лога:
Код: Выделить всё
O5 - control.ini: inetcpl.cpl=no



Секция O6.
Запрет на изменение некоторых Свойств Обозревателя (Internet Options).

Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions

Пример лога:
Код: Выделить всё
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.


Секция O7.
Отключение доступа к Regedit.

Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.
Запуск системной утилиты regedit.exe производится так:
Кнопка "Пуск"--> "Выполнить"--> ввести в поле regedit.exe и нажать на клавиатуре "ENTER".
С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой для защиты себя любимой. :-)

Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Может быть установлен как администратором, так и вредоносной программой.

Пример лога:
Код: Выделить всё
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.


Секция O8.
Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:
web.gif
Контекстное меню
web.gif (5 КБ) Просмотров: 33886

Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt

Пример лога:
Код: Выделить всё
O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm


Действие HijackThis: удаление соответствующей информации из реестра.

Секция O9.
Дополнительные кнопки и сервисы на главной панели IE.

Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.

Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис

Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions

Как это выглядит в логе:

Код: Выделить всё
 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll


Тут все ясно. Установлены кнопки ICQ, конвертации в MS Office12 и обращения к проге Smart Web Printing от НР.

Действие HijackThis: удаление соответствующей информации из реестра.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 16:12

СекцияO10.

Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).

Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной.
Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные.
И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).

Код: Выделить всё
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll


Повторюсь.
LSP это программная служба в операционной системе Windows, состоящая из нескольких слоёв. Каждый слой определяет одну программу. Вся запрашиваемая из Интернета информация проходит через эту группу слоёв. Таким образом, при неправильном удалении одного из них, или программы, которая привязана к одному из слоёв, происходит сбой в работе всей службы LSP, в результате чего подключение к Интернету становится недоступными.

Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.


СекцияO11.
Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).

С помощью следующего ключа реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.

Как это выглядит в логе:
Код: Выделить всё
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar


Действие HijackThis: удаление соответствующей информации из реестра.


СекцияO12.
Плагины Internet Explorer.

Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмоторщик PDF).

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins

Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Действие HijackThis: удаление как информации из реестра, так и вредоносного файла


СекцияO13.
Префиксы IE.

Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (http://; ftp:// и т.д.) в адресе какого-либо веб-сайта.
То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com.

Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Как это выглядит в логе:

Код: Выделить всё
O13 - DefaultPrefix: http://ehttp.cc/?
    O13 - WWW Prefix: http://www.nkvd.us/1507/

Действие HijackThis: сбрасывание значений префиксов на стандартные.


СекцияO14.
Изменения в файле iereset.inf.

Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.

Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=http://portal/
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Действие HijackThis: удаление соответствующей информации из файла iereset.inf.


СекцияO15.
Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Как известно, обозреватель Internet Explorer включает пять зон безопасности: «Интернет», «Местная интрасеть», «Надежные узлы», «Ограниченные узлы» и «Мой компьютер»

Зона «Надежные узлы»
Данная зона содержит веб-узлы, считающиеся безопасными (например, веб-узлы локальной сети организации или компаний-партнеров). Добавление веб-узла в зону надежных узлов основывается на предположении, что файлы, которые будут загружаться или запускаться с этого веб-узла, не повредят компьютер или данные. По умолчанию зона «Надежные узлы» не содержит веб-узлы и для нее установлен низкий уровень безопасности.

Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Как это выглядит в логе:
Код: Выделить всё
    O15 - Trusted Zone: *.masspass.com
    O15 - Trusted Zone: http://update.randhi.com (HKLM)
    O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)


Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.


СекцияO16.
Программы, загруженные с помощью ActiveX.

Технология ActiveX — средство, при помощи которой Internet Explorer (IE) использует другие приложения внутри себя. С помощью ActiveX IE загружает Windows Media Player, Flash, Quicktime и другие приложения, которые могут воспроизводить файлы, внедрённые в веб-страницы. Элементы управления ActiveX активизируются при щелчке по такому объекту на веб-странице, например, .WMV-файлу, чтобы загрузить его для отображения в окне браузера Internet Explorer.

Являясь продуктом Microsoft, ActiveX была специально спроектирована для работы с системами Windows. ActiveX не поддерживается другими операционными системами, такими как Mac или Linux.

ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).
Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files

Как это выглядит в логе:

Код: Выделить всё
    O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab
    O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab


Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.


СекцияO17.
Изменения домена или DNS сервера.

DNS (сервер доменных имен) выдает информацию компьютерам как искать друг друга через интернет. Когда Вы набираете адрес в Вашем браузере, Ваш провайдер (ISP - Internet Service Provider) проверяет его через сервер доменных имен (DNS), чтобы знать куда послать Ваш запрос.
http://www.domain.ru ---> проверка в DNS ---> DNS сообщает адрес domain.ru = 192.168.0.1 ---> Вы получаете содержимое сайта.
Почему так происходит?
Такой механизм действия принят потому, что доменное имя не всегда имеет один и тот же адрес. Каждый сервер в интернете имеет свой IP адрес (набор цифр, подобно номеру телефона). Каждый раз, когда Вы меняете хостинг провайдера, а значит перезжаете на другой сервер (и, естественно, у нового сервера другой адрес IP).
Сервер доменных имен хранит запись о Вашем имени домена и IP адрес сервера, куда необходимо посылать запросы.

Как это выглядит в логе:
Код: Выделить всё
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com


Действие HijackThis: удаление соответствующего ключа из реестра.


СекцияO18.
Изменения существующих протоколов и фильтров.

Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

Как это выглядит в логе:

Код: Выделить всё
    O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
    O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
    O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll


Действие HijackThis: удаление соответствующего ключа из реестра.



СекцияO19.
Шаблон Стиля (Style Sheet) пользователя.

Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.

Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets

Как это выглядит в логе:
Код: Выделить всё
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css


Действие HijackThis: удаление соответствующей информации из реестра.


СекцияO20.
Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Как это выглядит в логе:
Код: Выделить всё
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
O20 - AppInit_DLLs:    C:\Windows\SysWOW64\guard32.dll



Действие HijackThis: удаление соответствующей информации из реестра.


СекцияO21.
Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Как это выглядит в логе:
Код: Выделить всё
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll


Действие HijackThis: удаление соответствующей записи из реестра.



СекцияO22.
Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.

Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Как это выглядит в логе:
Код: Выделить всё
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll


Действие HijackThis: удаление соответствующего задания.


СекцияO23.
Службы Windows NT/Microsoft Windows.

Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.
Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)


Как это выглядит в логе:
Код: Выделить всё
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe


Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled)

Если же есть желание удалить службу, то это осуществляется несколькими способами:

С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)

Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services

Либо используя HijackThis и его раздел инструментов - Misc Tools...
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 16:57

Раздел Misc Tools.
Для перехода в раздел Misc Tools переходим в главное меню и нажимаем кнопку Open the Misc Tools section
Вход в тулс.jpg
Вход в 2 тулс.jpg


Изучаем окно Misc Tools.
Тулс.png
окно Misc Tools



Кнопка Generate StartupList log - генерировать отчет об Автозагрузке.
После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:

- папки Startup и All Users Startup;
- стандартные ключи реестра, отвечающие за автозагрузку;
- параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
- ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
- перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
- перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
- автозапуск из ini-файлов или эквивалентных им мест реестра;
- проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
- проверка на на наличие файла еxplorer.exe в нескольких папках;
- проверка на оригинальность файла regedit.exe;
- BHO;
- назначенные задания Планировщика Задач;
- папка Download Program Files;
- перечисление файлов Winsock LSP;
- список служб Microsoft Windows;
- перечисление скриптов Windows NT logon/logoff;
- расширения еxplorer.exe (ShellServiceObjectDelayLoad)


Кнопка Open Process Manager - открыть Менеджер Процессов.
Менеджер Процессов позволяет:
- Просмотреть список всех запущенных процессов системы.
В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла.
Процесс.jpg
Менеджер Процессов

- Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "Show DLLs".
- Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - Save list to file....
- Скопировать эту же информацию в буфер временной памяти, кнопка рядом - Copy list to clipboard ("Copy list to clipboard").
- Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом.
- Завершить какой-либо из процессов с помощью кнопки "Kill process".

Чтобы выйти из менеджера процессов - нажмите на кнопку "Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis).


Кнопка Open Hosts file Manager - открыть Менеджер файла Hosts.
Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
Хост.jpg
Hosts file Manager

Delete line(s) - удалить строку(строки).
Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
Open in Notepad - открыть файл Hosts в Блокноте.


Кнопка Delete a file on Reboot - удалить файл во время перезагрузки системы.
С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы.
После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.


Кнопка Delete an NT service - удалить службу Microsoft Windows.
При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы.
Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").


Кнопка Open ADS Spy - открыть встроенную в HijackThis утилиту ADS Spy.

ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.
ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:
Спай.jpg
ADS Spy


Назначение основных кнопок:

Scan - сканирование на наличие в системе ADS.
Save log - сохранить отчет (adsspy.txt).
Remove selected - удалить выбранные.


Кнопка Open Uninstall Manager - открыть Менеджер Деинсталляций.
Анинстал.jpg
Uninstall Manager

Менеджер Деинсталляций позволяет:
- Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
- Видеть команду деинсталляции каждой программы.
- Деинсталлировать любую программу с помощью кнопки "Delete this entry".
- Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
- Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
- Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."


Раздел Advanced settings.

Дополнительные настройки сканирования HijackThis:

Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:
Код: Выделить всё
  O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)


Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:
Код: Выделить всё
 Windows folder: C:\WINDOWS
    System folder: C:\WINDOWS\SYSTEM32
    Hosts file: C:\WINDOWS\System32\drivers\etc\hosts



К слову: отчет HijackThis всегда начинается с общей информации следующего характера:

Logfile of HijackThis v1.99.1 - версия HijackThis.
Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования.
Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer.

Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes).

И последние кнопки раздела Misc Tools:
Update check - проверка обновлений программы.
Uninstall HijackThis - деинсталляция HijackThis.


На этом знакомство с возможностями и функционалом HijackThis можно считать завершенным.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Работа в HijackThis

Сообщение magiya » 05 окт 2010, 18:00

Работа в HijackThis

Для начала работы с HijackThis настоятельно рекомендую выполнить следующие условия.
1. Подключите и включите все периферийные устройства (принтеры, сканеры, модемы,сетевые карты и т.д)
2. Перезагрузите компьютер и не запускайте никаких программ.

Теперь можно найти файл запуска HijackThis. Это HijackThis.exe и запустить этот файл.

HijackThis загружен и готов к работе.

Перейдите в главное меню ("Main Menu") и нажмите кнопку "Do a system scan only".
Скан01.jpg


После некоторого раздумья HijackThis проведет сканирование Вашей системы.
Для сохранения лог-файла нажмите кнопку "Save Log" и укажите место сохранения файла.
Скан 2.jpg


Теперь в нашем распоряжении есть лог-файл HijackThis.
Вот пример лог-файла:
Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:07:33, on 05.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe
D:\HijackThis\HijackThis.exe
C:\Program Files (x86)\Adobe\Adobe Photoshop CS4\Photoshop.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts file is located at: C:\Windows\System32\drivers\etc\hosts
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кльб/bin/comdlg32.ocx
O20 - AppInit_DLLs:    C:\Windows\SysWOW64\guard32.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8401 bytes


Внимательно изучаем первую часть лога:
Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:07:33, on 05.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Здесь нет ничего особенного. Указаны дата и время сканирования, версия программы HijackThis, тип ОС и т.д.
Задерживаться не будем - перейдем к следующей части.

Код: Выделить всё
Running processes:
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe
D:\HijackThis\HijackThis.exe
C:\Program Files (x86)\Adobe\Adobe Photoshop CS4\Photoshop.exe
C:\Windows\SysWOW64\DllHost.exe

Наблюдаем кучу не нужных процессов т.к. не выполнено:
Для начала работы с HijackThis настоятельно рекомендую выполнить следующие условия.
1. Подключите и включите все периферийные устройства (принтеры, сканеры, модемы,сетевые карты и т.д)
2. Перезагрузите компьютер и не запускайте никаких программ.


Но процессы все же лучше опознать.
SoundMAX.exe - я знаю. Это драйвер управления звуковой карты.
AvastUI.exe - я знаю. Это антивирус Аваст.
ObjectDock.exe - я знаю. Украшалка рабочего стола.
smax4pnp.exe - я не знаю. Путь C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
firefox.exe - я знаю .Открыт браузер Firefox.
plugin-container.exe - я не знаю. Путь C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\NOTEPAD.EXE - я знаю. Это Блокнот Windows
iexplore.exe - я знаю. Это мой запущенный IE. Но почему их два?
hpswp_clipbook.exe - знаю. Это драйвер принтера
HijackThis.exe - это вообще знаю. Я им работаю.
Photoshop.exe - это я знаю .Сейчас открыт фотошоп.
DllHost.exe - это я не знаю.C:\Windows\SysWOW64\DllHost.exe

Итак в этой куче не понятно:
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe непонятно почему их два.
C:\Windows\SysWOW64\DllHost.exe

Начинаем поиск в гугле
По запросу "smax4pnp.exe" мне удалось найти :
Очередной процесс для изучения — smax4pnp.exe. Это кишки от драйвера звуковухи. Лежат в папке C:\Program Files\Analog Devices\Core\smax4pnp.exe. Записываются в автозагрузку для каких-то нужд.

Описание: SMax4PNP.exe находится в подпапках "C:\Program Files" - как правило C:\Program Files\Analog Devices\SoundMAX\. Известны следующие размеры файла для Windows XP 1,404,928 байт (28% всех случаев), 1,388,544 байт, 925,696 байт, 843,776 байт, 868,352 байт, 790,528 байт, 1,036,288 байт, 1,368,064 байт, 872,448 байт, 1,282,048 байт, 1,015,808 байт, 774,144 байт, 1,183,744 байт, 1,040,384 байт, 847,872 байт, 1,261,568 байт, 962,560 байт, 1,044,480 байт, 1,097,728 байт, 1,302,528 байт, 1,396,736 байт, 860,160 байт, 1,458,176 байт, 1,167,360 байт, 1,425,408 байт, 14,348 байт, 1,462,272 байт, 24,080 байт.
Это не файл Windows. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders). У процесса нет видимого окна. Это файл, подписанный Microsoft. Поэтому технический рейтинг надежности 35% опасности, тем не менее, так же прочитайте отзывы пользователей.
Важно: Некоторые вредоносные программы маскируют себя как SMax4PNP.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.

Ну это похоже на все ту же мою звуковую карту.И я ее считаю безопасной :-)

По запросу "plugin-container.exe" мне удалось найти :
В Firefox от 3.6.3 реализован запуск плагинов в отдельных процессах на платформах Windows и Linux, что существенно повышает стабильность работы Firefox. Теперь падения таких плагинов, как Adobe Flash, Apple Quicktime и Microsoft Silverlight не должны приводить к падению всего Firefox.


22 Июня 2010 года вышел долгожданный релиз Mozilla Firefox 3.6.4
Чем примечателен релиз? Тем, что теперь flash плагины работают в отдельном процессе. Давно считается, что flash нестабилен, и раньше при зависании или краха флеша падал весь браузер.
В данном релизе решили отделить мух от котлет и пустить отдельным процессом сам браузер firefox.exe и отдельным процессом плагины флеша 3.6.4 plugin-container.exe, который является дочерним процессом firefox.exe . Так же за компанию обновился Adobe Flash Player до версии 10,1,53,64


Ну похоже это кусок Firefox а.


По запросу "DllHost.exe" мне удалось найти :
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:


* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) - этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
* W32/Nachi-A (%SystemRoot%\Wins) - Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
* W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) - жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
* Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
* W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)

В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.


Но меня смущает специфический путь к файлу
C:\Windows\SysWOW64\DllHost.exe

Очень странно.
Сохраню этот лог под другим именем (hijackthisdll.log). Потом доем :-)

Идем к секциям...
Код: Выделить всё
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Тут только интересно то, что стартовая страница при запуске IE загружается с madlen.ucoz.com. Но это правда и мне не мешает.

Далее...

Код: Выделить всё
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000


O2 - это плагины IE и меня они не интересуют (хоть там кроме принтерных HP надстроек нет ничего.
O8 - контекстное меню IE. Это тоже не интересно. Там офис проставил чего то.
O4 - Автозагрузка. Интересненько.
avastUI.exe - Аваст
smax4pnp.exe - уже было драйвер звуковой карты
sidebar.exe - боковая панель Win 7 - это мы знаем
nTune - ну да .Утилита тонкой настройки видеокарт от NVIDIA. Ставилась с сайта NVIDIA мной лично.
mctadmin.exe - после поиска в интернете выясняется mctadmin.exe - Для управления пакетами локализации - утилита командной строки Content Management Engine Tool -Утилита входит в состав поставки Windows 7.

Вроде все нормально...
Код: Выделить всё
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кльб/bin/comdlg32.ocx

O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll

O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer. Ваще не интересно. Но это опять офис и принтер
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files). Тут мне по барабану .OPZ - программа предоставлена гос структурой. И отказаться от нее нельзя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
Поиск по интернету дал :
guard32.dll - Comodo file

Файерволл Comodo у меня стоит и хорошо.

Далее O23 - т.е запущенные службы Windows
Код: Выделить всё
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)


Очень много ключей с не найденными файлами.(file missing). Но подозрительных вроде нет.
Придется почистить систему каким нибудь CCleanerом.

После очистки CCleanerом лог файл приобрел такой вид
Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:38:35, on 05.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
D:\HijackThis\HijackThis.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = madlen.ucoz.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Показать или скрыть HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 6.0) - file:///E:/Program%20Files/OPZ/Кульбанская/bin/comdlg32.ocx
O20 - AppInit_DLLs:    C:\Windows\SysWOW64\guard32.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - SOURCENEXT - C:\Windows\SysWOW64\bgsvcgen.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: Acronis OS Selector activator (OS Selector) - Unknown owner - E:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SymSnapService - Unknown owner - E:\Program Files\Norton Ghost\Shared\Drivers\SymSnapServicex64.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7949 bytes


Лечение (file missing) не прошло . После поиска в сети выяснилось, что HijackThis иногда не находит файлы в системе и пишет (file missing). Но это может оказаться не так.
Зато пропал C:\Windows\SysWOW64\DllHost.exe
Видимо это не троян.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 19:49

Проводим проверку свеженьким AVZ и получаем лог этого AVZ .
Код: Выделить всё
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 05.10.2010 20:03:07
Загружена база: сигнатуры - 280937, нейропрофили - 2, микропрограммы лечения - 56, база от 04.10.2010 21:19
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 233837
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (114) перехвачена, метод APICodeHijack.JmpTo[10025B56]
Функция kernel32.dll:CopyFileExA (115) перехвачена, метод APICodeHijack.JmpTo[10025B16]
Функция kernel32.dll:CopyFileExW (116) перехвачена, метод APICodeHijack.JmpTo[10025AF6]
Функция kernel32.dll:CopyFileW (119) перехвачена, метод APICodeHijack.JmpTo[10025B36]
Функция kernel32.dll:CreateFileA (138) перехвачена, метод APICodeHijack.JmpTo[10025B96]
Функция kernel32.dll:CreateFileW (145) перехвачена, метод APICodeHijack.JmpTo[10025B76]
Функция kernel32.dll:CreateProcessA (166) перехвачена, метод APICodeHijack.JmpTo[10025DF6]
Функция kernel32.dll:CreateProcessW (170) перехвачена, метод APICodeHijack.JmpTo[10025DD6]
Функция kernel32.dll:DeleteFileA (213) перехвачена, метод APICodeHijack.JmpTo[10025A16]
Функция kernel32.dll:DeleteFileW (216) перехвачена, метод APICodeHijack.JmpTo[100259F6]
Функция kernel32.dll:GetModuleHandleA (535) перехвачена, метод APICodeHijack.JmpTo[100259D6]
Функция kernel32.dll:GetModuleHandleW (538) перехвачена, метод APICodeHijack.JmpTo[100259B6]
Функция kernel32.dll:GetProcAddress (583) перехвачена, метод APICodeHijack.JmpTo[10025C36]
Функция kernel32.dll:LoadLibraryA (829) перехвачена, метод APICodeHijack.JmpTo[10025996]
Функция kernel32.dll:LoadLibraryExA (830) перехвачена, метод APICodeHijack.JmpTo[10025BF6]
Функция kernel32.dll:LoadLibraryExW (831) перехвачена, метод APICodeHijack.JmpTo[10025BD6]
Функция kernel32.dll:LoadLibraryW (832) перехвачена, метод APICodeHijack.JmpTo[10025976]
Функция kernel32.dll:LoadModule (833) перехвачена, метод APICodeHijack.JmpTo[10025C16]
Функция kernel32.dll:MoveFileA (863) перехвачена, метод APICodeHijack.JmpTo[10025AD6]
Функция kernel32.dll:MoveFileExA (864) перехвачена, метод APICodeHijack.JmpTo[10025A96]
Функция kernel32.dll:MoveFileExW (865) перехвачена, метод APICodeHijack.JmpTo[10025A76]
Функция kernel32.dll:MoveFileW (868) перехвачена, метод APICodeHijack.JmpTo[10025AB6]
Функция kernel32.dll:MoveFileWithProgressA (869) перехвачена, метод APICodeHijack.JmpTo[10025A56]
Функция kernel32.dll:MoveFileWithProgressW (870) перехвачена, метод APICodeHijack.JmpTo[10025A36]
Функция kernel32.dll:OpenFile (887) перехвачена, метод APICodeHijack.JmpTo[10025BB6]
Функция kernel32.dll:WinExec (1299) перехвачена, метод APICodeHijack.JmpTo[10025956]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (130) перехвачена, метод APICodeHijack.JmpTo[10025C96]
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[100234B6]
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[1001CFD6]
Функция ntdll.dll:NtAdjustPrivilegesToken (190) перехвачена, метод APICodeHijack.JmpTo[10027F46]
Функция ntdll.dll:NtAllocateVirtualMemory (197) перехвачена, метод APICodeHijack.JmpTo[10025D16]
Функция ntdll.dll:NtAlpcConnectPort (200) перехвачена, метод APICodeHijack.JmpTo[10028966]
Функция ntdll.dll:NtClose (228) перехвачена, метод APICodeHijack.JmpTo[1001CEB6]
Функция ntdll.dll:NtConnectPort (237) перехвачена, метод APICodeHijack.JmpTo[1002B496]
Функция ntdll.dll:NtCreateFile (244) перехвачена, метод APICodeHijack.JmpTo[10025D96]
Функция ntdll.dll:NtCreateProcess (257) перехвачена, метод APICodeHijack.JmpTo[10025E36]
Функция ntdll.dll:NtCreateProcessEx (258) перехвачена, метод APICodeHijack.JmpTo[10025E16]
Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[1002A316]
Функция ntdll.dll:NtCreateSymbolicLinkObject (264) перехвачена, метод APICodeHijack.JmpTo[10027B66]
Функция ntdll.dll:NtCreateThread (265) перехвачена, метод APICodeHijack.JmpTo[1002BC66]
Функция ntdll.dll:NtCreateThreadEx (266) перехвачена, метод APICodeHijack.JmpTo[100285C6]
Функция ntdll.dll:NtDeleteFile (281) перехвачена, метод APICodeHijack.JmpTo[10025D56]
Функция ntdll.dll:NtFreeVirtualMemory (310) перехвачена, метод APICodeHijack.JmpTo[10025C56]
Функция ntdll.dll:NtLoadDriver (335) перехвачена, метод APICodeHijack.JmpTo[10025CF6]
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод APICodeHijack.JmpTo[1002AE06]
Функция ntdll.dll:NtOpenFile (359) перехвачена, метод APICodeHijack.JmpTo[10025D76]
Функция ntdll.dll:NtOpenSection (374) перехвачена, метод APICodeHijack.JmpTo[1002A946]
Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[10025D36]
Функция ntdll.dll:NtSetInformationProcess (513) перехвачена, метод APICodeHijack.JmpTo[10025CB6]
Функция ntdll.dll:NtSetSystemInformation (530) перехвачена, метод APICodeHijack.JmpTo[1002B046]
Функция ntdll.dll:NtShutdownSystem (540) перехвачена, метод APICodeHijack.JmpTo[100281F6]
Функция ntdll.dll:NtSystemDebugControl (548) перехвачена, метод APICodeHijack.JmpTo[1002AC06]
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[1002B806]
Функция ntdll.dll:NtTerminateThread (551) перехвачена, метод APICodeHijack.JmpTo[1002BA26]
Функция ntdll.dll:NtUnloadDriver (559) перехвачена, метод APICodeHijack.JmpTo[10025CD6]
Функция ntdll.dll:NtWriteVirtualMemory (598) перехвачена, метод APICodeHijack.JmpTo[10025DB6]
Функция ntdll.dll:RtlAllocateHeap (645) перехвачена, метод APICodeHijack.JmpTo[10025C76]
Функция ntdll.dll:ZwAdjustPrivilegesToken (1441) перехвачена, метод APICodeHijack.JmpTo[10027F46]
Функция ntdll.dll:ZwAllocateVirtualMemory (1448) перехвачена, метод APICodeHijack.JmpTo[10025D16]
Функция ntdll.dll:ZwAlpcConnectPort (1451) перехвачена, метод APICodeHijack.JmpTo[10028966]
Функция ntdll.dll:ZwClose (1479) перехвачена, метод APICodeHijack.JmpTo[1001CEB6]
Функция ntdll.dll:ZwConnectPort (1488) перехвачена, метод APICodeHijack.JmpTo[1002B496]
Функция ntdll.dll:ZwCreateFile (1495) перехвачена, метод APICodeHijack.JmpTo[10025D96]
Функция ntdll.dll:ZwCreateProcess (1508) перехвачена, метод APICodeHijack.JmpTo[10025E36]
Функция ntdll.dll:ZwCreateProcessEx (1509) перехвачена, метод APICodeHijack.JmpTo[10025E16]
Функция ntdll.dll:ZwCreateSection (1513) перехвачена, метод APICodeHijack.JmpTo[1002A316]
Функция ntdll.dll:ZwCreateSymbolicLinkObject (1515) перехвачена, метод APICodeHijack.JmpTo[10027B66]
Функция ntdll.dll:ZwCreateThread (1516) перехвачена, метод APICodeHijack.JmpTo[1002BC66]
Функция ntdll.dll:ZwCreateThreadEx (1517) перехвачена, метод APICodeHijack.JmpTo[100285C6]
Функция ntdll.dll:ZwDeleteFile (1531) перехвачена, метод APICodeHijack.JmpTo[10025D56]
Функция ntdll.dll:ZwFreeVirtualMemory (1560) перехвачена, метод APICodeHijack.JmpTo[10025C56]
Функция ntdll.dll:ZwLoadDriver (1584) перехвачена, метод APICodeHijack.JmpTo[10025CF6]
Функция ntdll.dll:ZwMakeTemporaryObject (1593) перехвачена, метод APICodeHijack.JmpTo[1002AE06]
Функция ntdll.dll:ZwOpenFile (1608) перехвачена, метод APICodeHijack.JmpTo[10025D76]
Функция ntdll.dll:ZwOpenSection (1623) перехвачена, метод APICodeHijack.JmpTo[1002A946]
Функция ntdll.dll:ZwProtectVirtualMemory (1644) перехвачена, метод APICodeHijack.JmpTo[10025D36]
Функция ntdll.dll:ZwSetInformationProcess (1762) перехвачена, метод APICodeHijack.JmpTo[10025CB6]
Функция ntdll.dll:ZwSetSystemInformation (1779) перехвачена, метод APICodeHijack.JmpTo[1002B046]
Функция ntdll.dll:ZwShutdownSystem (1789) перехвачена, метод APICodeHijack.JmpTo[100281F6]
Функция ntdll.dll:ZwSystemDebugControl (1797) перехвачена, метод APICodeHijack.JmpTo[1002AC06]
Функция ntdll.dll:ZwTerminateProcess (1799) перехвачена, метод APICodeHijack.JmpTo[1002B806]
Функция ntdll.dll:ZwTerminateThread (1800) перехвачена, метод APICodeHijack.JmpTo[1002BA26]
Функция ntdll.dll:ZwUnloadDriver (1808) перехвачена, метод APICodeHijack.JmpTo[10025CD6]
Функция ntdll.dll:ZwWriteVirtualMemory (1847) перехвачена, метод APICodeHijack.JmpTo[10025DB6]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JmpTo[100187E6]
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F5A->76F38954
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F75->76F23F44
Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205F90->76F028B3
Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->75205FAB->76EF243D
Функция user32.dll:EnableWindow (1725) перехвачена, метод APICodeHijack.JmpTo[10018336]
Функция user32.dll:EndTask (1730) перехвачена, метод APICodeHijack.JmpTo[10027416]
Функция user32.dll:ExitWindowsEx (1754) перехвачена, метод APICodeHijack.JmpTo[10018126]
Функция user32.dll:GetAsyncKeyState (1772) перехвачена, метод APICodeHijack.JmpTo[10019386]
Функция user32.dll:GetClipboardData (1787) перехвачена, метод APICodeHijack.JmpTo[100185D6]
Функция user32.dll:GetKeyState (1826) перехвачена, метод APICodeHijack.JmpTo[10019636]
Функция user32.dll:GetKeyboardState (1831) перехвачена, метод APICodeHijack.JmpTo[100198E6]
Функция user32.dll:MoveWindow (2052) перехвачена, метод APICodeHijack.JmpTo[10018E86]
Функция user32.dll:PostMessageA (2078) перехвачена, метод APICodeHijack.JmpTo[1001C126]
Функция user32.dll:PostMessageW (2079) перехвачена, метод APICodeHijack.JmpTo[1001BE86]
Функция user32.dll:PostThreadMessageA (2081) перехвачена, метод APICodeHijack.JmpTo[1001BBE6]
Функция user32.dll:PostThreadMessageW (2082) перехвачена, метод APICodeHijack.JmpTo[1001B946]
Функция user32.dll:RegisterRawInputDevices (2115) перехвачена, метод APICodeHijack.JmpTo[10019166]
Функция user32.dll:SendDlgItemMessageA (2139) перехвачена, метод APICodeHijack.JmpTo[1001A116]
Функция user32.dll:SendDlgItemMessageW (2140) перехвачена, метод APICodeHijack.JmpTo[10019E66]
Функция user32.dll:SendInput (2143) перехвачена, метод APICodeHijack.JmpTo[10019B96]
Функция user32.dll:SendMessageA (2144) перехвачена, метод APICodeHijack.JmpTo[1001B6A6]
Функция user32.dll:SendMessageCallbackA (2145) перехвачена, метод APICodeHijack.JmpTo[1001ABC6]
Функция user32.dll:SendMessageCallbackW (2146) перехвачена, метод APICodeHijack.JmpTo[1001A906]
Функция user32.dll:SendMessageTimeoutA (2147) перехвачена, метод APICodeHijack.JmpTo[1001B146]
Функция user32.dll:SendMessageTimeoutW (2148) перехвачена, метод APICodeHijack.JmpTo[1001AE86]
Функция user32.dll:SendMessageW (2149) перехвачена, метод APICodeHijack.JmpTo[1001B406]
Функция user32.dll:SendNotifyMessageA (2150) перехвачена, метод APICodeHijack.JmpTo[1001A666]
Функция user32.dll:SendNotifyMessageW (2151) перехвачена, метод APICodeHijack.JmpTo[1001A3C6]
Функция user32.dll:SetClipboardViewer (2160) перехвачена, метод APICodeHijack.JmpTo[100189E6]
Функция user32.dll:SetParent (2191) перехвачена, метод APICodeHijack.JmpTo[10018BE6]
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[1001C3C6]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[1001C926]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[1001C6D6]
Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[100247F6]
Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[100245E6]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F024B5->7514C334
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[1001FF36]
Функция advapi32.dll:CreateProcessAsUserW (1126) перехвачена, метод APICodeHijack.JmpTo[1001F726]
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02655->74D272D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0268C->74D2733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F026C3->74D27C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F026FA->74D25F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02732->74D25E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02766->74D271C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02799->74D26B9D
Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F027D1->7514C5DF
Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02858->73F72187
Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02871->73F72A1D
Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02896->73F72B3C
Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028BF->73F72259
Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028D8->73F727B9
Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F028FD->73F728D6
Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02926->73F72373
Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0293E->73F72447
Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F0295B->73F720B0
Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02977->73F72565
Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02996->73F72680
Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029B9->73F71FED
Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029D1->73F71F34
Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F029EB->73F72026
Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F02A3C->73003EA8
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASocketA (99) перехвачена, метод APICodeHijack.JmpTo[10025856]
Функция ws2_32.dll:WSASocketW (100) перехвачена, метод APICodeHijack.JmpTo[10025836]
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetConnectA (231) перехвачена, метод APICodeHijack.JmpTo[10025896]
Функция wininet.dll:InternetConnectW (232) перехвачена, метод APICodeHijack.JmpTo[10025876]
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadToCacheFileA (216) перехвачена, метод APICodeHijack.JmpTo[100257D6]
Функция urlmon.dll:URLDownloadToCacheFileW (217) перехвачена, метод APICodeHijack.JmpTo[100257B6]
Функция urlmon.dll:URLDownloadToFileA (218) перехвачена, метод APICodeHijack.JmpTo[10025816]
Функция urlmon.dll:URLDownloadToFileW (219) перехвачена, метод APICodeHijack.JmpTo[100257F6]
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B10->735729DD
Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B29->7357181B
Функция netapi32.dll:DavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B45->73571713
Функция netapi32.dll:DavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B5A->73572347
Функция netapi32.dll:DavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B76->7357275B
Функция netapi32.dll:DavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3B94->7357257D
Функция netapi32.dll:DsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BB2->73EC4A4D
Функция netapi32.dll:DsAddressToSiteNamesExA (8) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BD1->73EC4D79
Функция netapi32.dll:DsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3BF2->73EC5049
Функция netapi32.dll:DsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C13->73EC4C29
Функция netapi32.dll:DsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C32->73EC6DD9
Функция netapi32.dll:DsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C57->73EC6D59
Функция netapi32.dll:DsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C7C->73EC6771
Функция netapi32.dll:DsEnumerateDomainTrustsW (14) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3C9E->73EB60BC
Функция netapi32.dll:DsGetDcCloseW (15) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CC0->73EC495D
Функция netapi32.dll:DsGetDcNameA (16) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CD7->73EC5BB2
Функция netapi32.dll:DsGetDcNameW (17) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3CED->73EB4CA8
Функция netapi32.dll:DsGetDcNameWithAccountA (18) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D03->73EC55E9
Функция netapi32.dll:DsGetDcNameWithAccountW (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D24->73EB4CD1
Функция netapi32.dll:DsGetDcNextA (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D45->73EC4896
Функция netapi32.dll:DsGetDcNextW (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D5B->73EC47ED
Функция netapi32.dll:DsGetDcOpenA (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D71->73EC473D
Функция netapi32.dll:DsGetDcOpenW (23) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D87->73EC46AB
Функция netapi32.dll:DsGetDcSiteCoverageA (24) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3D9D->73EC5239
Функция netapi32.dll:DsGetDcSiteCoverageW (25) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DBB->73EC5409
Функция netapi32.dll:DsGetForestTrustInformationW (26) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DD9->73EC6E6F
Функция netapi32.dll:DsGetSiteNameA (27) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3DFF->73EC5B39
Функция netapi32.dll:DsGetSiteNameW (28) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E17->73EB5F24
Функция netapi32.dll:DsMergeForestTrustInformationW (29) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E2F->73EC6F71
Функция netapi32.dll:DsRoleAbortDownlevelServerUpgrade (30) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E57->73F64339
Функция netapi32.dll:DsRoleCancel (31) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E80->73F634A9
Функция netapi32.dll:DsRoleDcAsDc (32) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3E94->73F63EAD
Функция netapi32.dll:DsRoleDcAsReplica (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EA8->73F63F99
Функция netapi32.dll:DsRoleDemoteDc (34) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EC1->73F64189
Функция netapi32.dll:DsRoleDnsNameToFlatName (35) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3ED7->73F632B5
Функция netapi32.dll:DsRoleFreeMemory (36) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3EF6->73F619A9
Функция netapi32.dll:DsRoleGetDatabaseFacts (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F0E->73F63651
Функция netapi32.dll:DsRoleGetDcOperationProgress (38) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F2C->73F63351
Функция netapi32.dll:DsRoleGetDcOperationResults (39) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F50->73F63401
Функция netapi32.dll:DsRoleGetPrimaryDomainInformation (40) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F73->73F61F3D
Функция netapi32.dll:DsRoleIfmHandleFree (41) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3F9C->73F63539
Функция netapi32.dll:DsRoleServerSaveStateForUpgrade (42) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3FB7->73F635C9
Функция netapi32.dll:DsRoleUpgradeDownlevelServer (43) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A3FDE->73F64261
Функция netapi32.dll:DsValidateSubnetNameA (44) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4002->73EC5AF9
Функция netapi32.dll:DsValidateSubnetNameW (45) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4021->73EC49E1
Функция netapi32.dll:I_BrowserDebugCall (46) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4040->73B924A9
Функция netapi32.dll:I_BrowserDebugTrace (47) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A405B->73B92581
Функция netapi32.dll:I_BrowserQueryEmulatedDomains (48) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4077->73B929F9
Функция netapi32.dll:I_BrowserQueryOtherDomains (49) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A409D->73B922C1
Функция netapi32.dll:I_BrowserQueryStatistics (50) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A40C0->73B92651
Функция netapi32.dll:I_BrowserResetNetlogonState (51) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A40E1->73B923D1
Функция netapi32.dll:I_BrowserResetStatistics (52) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4105->73B92729
Функция netapi32.dll:I_BrowserServerEnum (53) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4126->73B920BF
Функция netapi32.dll:I_BrowserSetNetlogonState (54) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4142->73B92919
Функция netapi32.dll:I_DsUpdateReadOnlyServerDnsRecords (55) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4164->73EC5569
Функция netapi32.dll:I_NetAccountDeltas (56) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4190->73EC63AB
Функция netapi32.dll:I_NetAccountSync (57) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41AC->73EC63AB
Функция netapi32.dll:I_NetChainSetClientAttributes (59) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41C6->73EC6FA6
Функция netapi32.dll:I_NetChainSetClientAttributes2 (58) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A41ED->73EC7029
Функция netapi32.dll:I_NetDatabaseDeltas (60) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4215->73EC6391
Функция netapi32.dll:I_NetDatabaseRedo (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4232->73EC6521
Функция netapi32.dll:I_NetDatabaseSync (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A424D->73EC6391
Функция netapi32.dll:I_NetDatabaseSync2 (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4268->73EC639E
Функция netapi32.dll:I_NetDfsGetVersion (64) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4284->73187CA1
Функция netapi32.dll:I_NetDfsIsThisADomainName (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A429E->73B84E39
Функция netapi32.dll:I_NetGetDCList (66) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42BF->73EC5D9C
Функция netapi32.dll:I_NetGetForestTrustInformation (67) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42D7->73EC6EF1
Функция netapi32.dll:I_NetLogonControl (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A42FF->73EC63B8
Функция netapi32.dll:I_NetLogonControl2 (68) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A431A->73EC6439
Функция netapi32.dll:I_NetLogonGetDomainInfo (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4336->73EB64A4
Функция netapi32.dll:I_NetLogonSamLogoff (71) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4357->73EC6091
Функция netapi32.dll:I_NetLogonSamLogon (72) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4374->73EC5F39
Функция netapi32.dll:I_NetLogonSamLogonEx (73) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4390->73EC5FE1
Функция netapi32.dll:I_NetLogonSamLogonWithFlags (74) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43AE->73EBB22A
Функция netapi32.dll:I_NetLogonSendToSam (75) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43D3->73EC6111
Функция netapi32.dll:I_NetLogonUasLogoff (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A43F0->73EC5EC9
Функция netapi32.dll:I_NetLogonUasLogon (77) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A440D->73EC5E53
Функция netapi32.dll:I_NetServerAuthenticate (80) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4429->73EC6191
Функция netapi32.dll:I_NetServerAuthenticate2 (78) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A444A->73EC6211
Функция netapi32.dll:I_NetServerAuthenticate3 (79) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A446C->73EB6393
Функция netapi32.dll:I_NetServerGetTrustInfo (81) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A448E->73EC6C61
Функция netapi32.dll:I_NetServerPasswordGet (82) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44AF->73EC6B61
Функция netapi32.dll:I_NetServerPasswordSet (84) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44CF->73EC6291
Функция netapi32.dll:I_NetServerPasswordSet2 (83) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A44EF->73EC6311
Функция netapi32.dll:I_NetServerReqChallenge (85) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4510->73EB6424
Функция netapi32.dll:I_NetServerSetServiceBits (86) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4531->7318426D
Функция netapi32.dll:I_NetServerSetServiceBitsEx (87) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4552->73186D11
Функция netapi32.dll:I_NetServerTrustPasswordsGet (88) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4575->73EC6BE1
Функция netapi32.dll:I_NetlogonComputeClientDigest (89) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A459B->73EB5C20
Функция netapi32.dll:I_NetlogonComputeServerDigest (90) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A45C2->73EC6AEC
Функция netapi32.dll:NetAddAlternateComputerName (97) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A45E9->73295B21
Функция netapi32.dll:NetAddServiceAccount (98) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A460C->73EC70B1
Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A462A->732F1415
Функция netapi32.dll:NetApiBufferFree (102) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4648->732F13D2
Функция netapi32.dll:NetApiBufferReallocate (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4662->732F3729
Функция netapi32.dll:NetApiBufferSize (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4682->732F3771
Функция netapi32.dll:NetBrowserStatisticsGet (108) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A469C->73B92801
Функция netapi32.dll:NetConnectionEnum (112) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46BC->73185521
Функция netapi32.dll:NetDfsAdd (113) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46D5->73B878FD
Функция netapi32.dll:NetDfsAddFtRoot (114) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46E6->73B86859
Функция netapi32.dll:NetDfsAddRootTarget (115) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A46FD->73B87401
Функция netapi32.dll:NetDfsAddStdRoot (116) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4718->73B82B1E
Функция netapi32.dll:NetDfsAddStdRootForced (117) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4730->73B82BB1
Функция netapi32.dll:NetDfsEnum (118) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A474E->73B870F9
Функция netapi32.dll:NetDfsGetClientInfo (119) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4760->73B83F25
Функция netapi32.dll:NetDfsGetDcAddress (120) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A477B->73B82C51
Функция netapi32.dll:NetDfsGetFtContainerSecurity (121) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4795->73B85363
Функция netapi32.dll:NetDfsGetInfo (122) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47B9->73B82D69
Функция netapi32.dll:NetDfsGetSecurity (123) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47CE->73B87741
Функция netapi32.dll:NetDfsGetStdContainerSecurity (124) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A47E7->73B83AD5
Функция netapi32.dll:NetDfsGetSupportedNamespaceVersion (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A480C->73B85C19
Функция netapi32.dll:NetDfsManagerGetConfigInfo (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4836->73B82E9C
Функция netapi32.dll:NetDfsManagerInitialize (127) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4858->73B82F91
Функция netapi32.dll:NetDfsManagerSendSiteInfo (128) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4877->73B872C5
Функция netapi32.dll:NetDfsMove (129) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4898->73B85651
Функция netapi32.dll:NetDfsRemove (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48AA->73B87A19
Функция netapi32.dll:NetDfsRemoveFtRoot (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48BE->73B86A99
Функция netapi32.dll:NetDfsRemoveFtRootForced (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48D8->73B86BE5
Функция netapi32.dll:NetDfsRemoveRootTarget (133) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A48F8->73B85879
Функция netapi32.dll:NetDfsRemoveStdRoot (134) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4916->73B82CE1
Функция netapi32.dll:NetDfsRename (135) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4931->73B82E91
Функция netapi32.dll:NetDfsSetClientInfo (136) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4945->73B84301
Функция netapi32.dll:NetDfsSetFtContainerSecurity (137) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4960->73B853AF
Функция netapi32.dll:NetDfsSetInfo (138) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4984->73B86D8B
Функция netapi32.dll:NetDfsSetSecurity (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4999->73B87822
Функция netapi32.dll:NetDfsSetStdContainerSecurity (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49B2->73B83B24
Функция netapi32.dll:NetEnumerateComputerNames (141) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49D7->73295E39
Функция netapi32.dll:NetEnumerateServiceAccounts (142) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A49F8->73EC7199
Функция netapi32.dll:NetEnumerateTrustedDomains (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A1D->73EC652E
Функция netapi32.dll:NetFileClose (147) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A41->73185659
Функция netapi32.dll:NetFileEnum (148) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A55->73185729
Функция netapi32.dll:NetFileGetInfo (149) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A68->73185859
Функция netapi32.dll:NetGetAnyDCName (150) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A7E->73EC496D
Функция netapi32.dll:NetGetDCName (151) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4A97->73EC5913
Функция netapi32.dll:NetGetDisplayInformationIndex (152) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AAD->73B74117
Функция netapi32.dll:NetGetJoinInformation (153) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AD2->73292DC7
Функция netapi32.dll:NetGetJoinableOUs (154) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4AEF->732959D1
Функция netapi32.dll:NetGroupAdd (155) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B08->73B771C3
Функция netapi32.dll:NetGroupAddUser (156) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B1B->73B773AD
Функция netapi32.dll:NetGroupDel (157) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B32->73B773CB
Функция netapi32.dll:NetGroupDelUser (158) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B45->73B773EB
Функция netapi32.dll:NetGroupEnum (159) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B5C->73B77409
Функция netapi32.dll:NetGroupGetInfo (160) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B70->73B778C8
Функция netapi32.dll:NetGroupGetUsers (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B87->73B77952
Функция netapi32.dll:NetGroupSetInfo (162) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4B9F->73B77C02
Функция netapi32.dll:NetGroupSetUsers (163) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BB6->73B77DAE
Функция netapi32.dll:NetIsServiceAccount (164) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BCE->73EC72D9
Функция netapi32.dll:NetJoinDomain (165) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4BEB->732954B9
Функция netapi32.dll:NetLocalGroupAdd (166) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C00->73B7875A
Функция netapi32.dll:NetLocalGroupAddMember (167) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C18->73B78886
Функция netapi32.dll:NetLocalGroupAddMembers (168) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C36->73B78E99
Функция netapi32.dll:NetLocalGroupDel (169) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C55->73B788A4
Функция netapi32.dll:NetLocalGroupDelMember (170) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C6D->73B78928
Функция netapi32.dll:NetLocalGroupDelMembers (171) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4C8B->73B78EBD
Функция netapi32.dll:NetLocalGroupEnum (172) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CAA->73B78946
Функция netapi32.dll:NetLocalGroupGetInfo (173) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CC3->73B78CE4
Функция netapi32.dll:NetLocalGroupGetMembers (174) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CDF->73B72265
Функция netapi32.dll:NetLocalGroupSetInfo (175) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4CFE->73B78D57
Функция netapi32.dll:NetLocalGroupSetMembers (176) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D1A->73B78E75
Функция netapi32.dll:NetLogonGetTimeServiceParentDomain (177) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D39->73EC6CE9
Функция netapi32.dll:NetLogonSetServiceBits (178) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D65->73EB603C
Функция netapi32.dll:NetProvisionComputerAccount (184) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4D85->73B5F2D3
Функция netapi32.dll:NetQueryDisplayInformation (185) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DA9->73B73D87
Функция netapi32.dll:NetQueryServiceAccount (186) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DCB->73EC7249
Функция netapi32.dll:NetRemoteComputerSupports (188) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4DEB->732F2160
Функция netapi32.dll:NetRemoteTOD (189) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E0E->73186C11
Функция netapi32.dll:NetRemoveAlternateComputerName (190) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E22->73295C29
Функция netapi32.dll:NetRemoveServiceAccount (191) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E48->73EC7129
Функция netapi32.dll:NetRenameMachineInDomain (192) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E69->73295751
Функция netapi32.dll:NetRequestOfflineDomainJoin (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4E89->73B5B52F
Функция netapi32.dll:NetScheduleJobAdd (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EAD->73B319D1
Функция netapi32.dll:NetScheduleJobDel (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EC8->73B31AC9
Функция netapi32.dll:NetScheduleJobEnum (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EE3->73B31BC1
Функция netapi32.dll:NetScheduleJobGetInfo (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4EFF->73B31CE1
Функция netapi32.dll:NetServerAliasAdd (213) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F1E->73187843
Функция netapi32.dll:NetServerAliasDel (214) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F37->73187A79
Функция netapi32.dll:NetServerAliasEnum (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F50->73187931
Функция netapi32.dll:NetServerComputerNameAdd (216) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F6A->73187411
Функция netapi32.dll:NetServerComputerNameDel (217) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4F8A->731876FB
Функция netapi32.dll:NetServerDiskEnum (218) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FAA->73186559
Функция netapi32.dll:NetServerEnum (219) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FC3->73B92F61
Функция netapi32.dll:NetServerEnumEx (220) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FD9->73B92C5F
Функция netapi32.dll:NetServerGetInfo (221) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A4FF1->73183CFA
Функция netapi32.dll:NetServerSetInfo (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5009->73186681
Функция netapi32.dll:NetServerTransportAdd (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5021->73186851
Функция netapi32.dll:NetServerTransportAddEx (224) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A503E->73187329
Функция netapi32.dll:NetServerTransportDel (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A505D->73186A01
Функция netapi32.dll:NetServerTransportEnum (226) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A507A->73186AD9
Функция netapi32.dll:NetSessionDel (231) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5098->73185941
Функция netapi32.dll:NetSessionEnum (232) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50AD->73185A11
Функция netapi32.dll:NetSessionGetInfo (233) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50C3->73185B41
Функция netapi32.dll:NetSetPrimaryComputerName (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50DC->73295D31
Функция netapi32.dll:NetShareAdd (235) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A50FD->73185C81
Функция netapi32.dll:NetShareCheck (236) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5110->73185E91
Функция netapi32.dll:NetShareDel (237) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5125->73185F81
Функция netapi32.dll:NetShareDelEx (238) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5138->73187B61
Функция netapi32.dll:NetShareDelSticky (239) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A514D->731860D1
Функция netapi32.dll:NetShareEnum (240) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5166->73183F91
Функция netapi32.dll:NetShareEnumSticky (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A517A->731861C9
Функция netapi32.dll:NetShareGetInfo (242) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5194->7318433F
Функция netapi32.dll:NetShareSetInfo (243) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51AB->73186341
Функция netapi32.dll:NetUnjoinDomain (245) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51C2->73295641
Функция netapi32.dll:NetUseAdd (247) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51D9->73293693
Функция netapi32.dll:NetUseDel (248) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51EA->73295FA9
Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A51FB->73293184
Функция netapi32.dll:NetUseGetInfo (250) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A520D->73296039
Функция netapi32.dll:NetUserAdd (251) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5222->73B7464F
Функция netapi32.dll:NetUserChangePassword (252) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5234->73B75A06
Функция netapi32.dll:NetUserDel (253) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5251->73B74826
Функция netapi32.dll:NetUserEnum (254) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5263->73B749D6
Функция netapi32.dll:NetUserGetGroups (255) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5276->73B74E01
Функция netapi32.dll:NetUserGetInfo (256) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A528E->73B71C60
Функция netapi32.dll:NetUserGetLocalGroups (257) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52A4->73B72875
Функция netapi32.dll:NetUserModalsGet (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52C1->73B7206B
Функция netapi32.dll:NetUserModalsSet (259) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52D9->73B754AA
Функция netapi32.dll:NetUserSetGroups (260) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A52F1->73B75095
Функция netapi32.dll:NetUserSetInfo (261) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5309->73B74D1D
Функция netapi32.dll:NetValidateName (262) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A531F->73295859
Функция netapi32.dll:NetValidatePasswordPolicy (263) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5336->73B79967
Функция netapi32.dll:NetValidatePasswordPolicyFree (264) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5357->73B79B6B
Функция netapi32.dll:NetWkstaTransportAdd (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A537C->73294E45
Функция netapi32.dll:NetWkstaTransportDel (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5398->73294F21
Функция netapi32.dll:NetWkstaTransportEnum (269) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53B4->73294CF9
Функция netapi32.dll:NetWkstaUserEnum (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53D1->73294AD1
Функция netapi32.dll:NetWkstaUserGetInfo (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A53E9->73293280
Функция netapi32.dll:NetWkstaUserSetInfo (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5404->73294C15
Функция netapi32.dll:NetapipBufferAllocate (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A541F->732F37AA
Функция netapi32.dll:NetpIsRemote (289) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A543E->732F382D
Функция netapi32.dll:NetpwNameCanonicalize (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5454->732F1C30
Функция netapi32.dll:NetpwNameCompare (297) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5473->732F1F2E
Функция netapi32.dll:NetpwNameValidate (298) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A548D->732F1990
Функция netapi32.dll:NetpwPathCanonicalize (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54A8->732F275D
Функция netapi32.dll:NetpwPathCompare (300) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54C7->732F4086
Функция netapi32.dll:NetpwPathType (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54E1->732F2533
Функция netapi32.dll:NlBindingAddServerToCache (302) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A54F8->73EB61F8
Функция netapi32.dll:NlBindingRemoveServerFromCache (303) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A551B->73EB5D67
Функция netapi32.dll:NlBindingSetAuthInfo (304) перехвачена, метод ProcAddressHijack.GetProcAddress ->731A5543->73EB6198
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
 Количество найденных процессов: 11
 Количество загруженных модулей: 179
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\All Users\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp
Прямое чтение C:\Documents and Settings\All Users\Microsoft\RAC\Temp\sqlD72C.tmp
Прямое чтение C:\Documents and Settings\All Users\Microsoft\RAC\Temp\sqlDC2C.tmp
Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp
Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp
Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlD72C.tmp
Прямое чтение C:\Documents and Settings\Все пользователи\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\RAC\Temp\sqlDC2C.tmp
Прямое чтение C:\Users\Дмитрий\Local Settings\Application Data\Application Data\Application Data\Application Data\Temp\avz_1572_2.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\guard32.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 232252, извлечено из архивов: 73785, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.10.2010 20:25:00
Сканирование длилось 00:21:54
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
 


Важное тут
Просканировано файлов: 232252, извлечено из архивов: 73785, найдено вредоносных программ 0, подозрений - 0


Он лайн проверки тоже прошли успешно.
Считаю , что мой комп на данный момент свободен от spyware,trojans и вирусов.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 20:02

Как лечить?

Рассказывать о том как лечить или фиксить проблемные записи не стану.
Это опасно для компа и требует определенных навыков.

Подскажу только об остановке служб.

Остановка служб Windows с помощью HjJackThis

Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
aspi113210 (это пример)
5.Нажать кнопку OK
P.S. Перегрузиться не помешает

Иногда приходится загружаться в безопасном режиме предварительно вычистив временную папку "Temp" и идти на другие ухищрения. :-)

Параметры для запуска "Джека" из командной строки:

hijackthis - обычный запуск.
hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога.
hijackthis /ihatewhitelists - запуск программы именно таким образом увеличит размеры вашего лога, возможно, даже в несколько раз; так как некоторые компоненты, занесенные в так называемый внутренний "белый список", в обычном логе никогда не отображаются.
hijackthis /uninstall - деинсталляция HijackThis.



Ну и для тех, кто дочитал до этого места даю бонус-ссылки на бесплатные ON-Line анализаторы лог-файлов HijackThis.
Эти анализаторы оценивают лог-файлы и выдают свое мнение.
Но это мнение не конечно. Все решаете ВЫ.

http://www.hijackthis.de/en
http://www.help2go.com/content/home/31- ... ctive.html
http://hjt.networktechs.com/
http://www.spywareguide.com/contribute/parser.php
http://www.spyandseek.com/
http://exelib.com/hijack


А на этой страничке можно найти много полезной инфы.
Спасибо авторам.


Заключение.

HijackThis - это сильнейший анализатор системной среды.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 05 окт 2010, 21:58

Дима, статья очень полезная. Спасибо.
Возникла просто лавина вопросов.
Провела процедуру сканирования системы, сохранила логфайл...И начались вопросы... :-?
А, проанализировала результат по одной из приведенных ссылок (за это отдельное мерси). Вопросы и до того были, а теперь еще прибавились.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
Neutral This entry should be fixed by HijackThis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
Neutral This entry should be fixed by HijackThis!
Эти два пункта были обозначены большим жирным красным крестом, т.е. на сколько я поняла, отмеченные красным надо удалять однозначно?
Вот еще такой
R3 - URLSearchHook: (no name) - - (no file)
Neutral Nasty (2.76 / 5.00)
:-?
И что значат эти пункты? :x Что-то я совсем запуталась :x
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 22:06

Выставь весь лог файл с использованием ббкода Code. Посмотрим
Эти анализаторы оценивают лог-файлы и выдают свое мнение.
Но это мнение не конечно. Все решаете ВЫ.

Имеется ввиду , что анализаторы не могут точно определить "верно-неверно".
Они обращают внимание на необычность структуры.
И опираются на базы знаний других пользователей.А грамотных пользователей к сожалению не очень много.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 05 окт 2010, 22:39

Код: Выделить всё
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:08:38, on 05.10.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qstatsrv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PrintDisp] C:\WINDOWS\system32\PrintDisp.exe
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D491BD8-ED2C-4A6C-970B-8B03E727C885}: NameServer = 195.128.182.40 195.128.182.41
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: OSCM Utility Service - Unknown owner - C:\Program Files\Novatel Wireless\Sprint\Sprint PCS Connection Manager\OSCMUtilityService.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10661 bytes


Верхнюю часть я разбираю по поисковику, каждый пункт. И по ходу вопрос, винда у меня переустанавливалась 24-25 февраля 2008 года последний раз (ух, какая я уже умная, даже такое нашла :-))) ), а этот пунктик C:\WINDOWS\system32\crypserv.exe создан гораздо позже...
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 05 окт 2010, 22:55

crypserv.exe - это не системный файл.
Можно глянуть тут и здесь
Как тут утверждают переводчики
Это служба установлена, если вы используете "Swish" (swishzone.com). Он необходим для запуска программы, в противном случае ошибка о письменном памяти всплывает. Установите в инвалидов, пока это необходимо. .

А вот что ставилось от Swish не знаю. Это чей комп? :-)
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 05 окт 2010, 23:12

Хм.... Комп мой, а вот что ставилось от Swish и я не знаю..... :-? и поиск тоже не знает...
А этих процессов у меня целых три. Это так и должно быть?
C:\WINDOWS\system32\svchost.exe
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 06 окт 2010, 12:16

Дорофея писал(а):Хм.... Комп мой, а вот что ставилось от Swish и я не знаю..... :-? и поиск тоже не знает...

Ну если есть такая уверенность , то поставить галочку в чекбоксе и нажать "Fix checked"
Перезагрузить комп.
Дорофея писал(а):А этих процессов у меня целых три. Это так и должно быть?
C:\WINDOWS\system32\svchost.exe


Для XP - это нормально.
Для Vista и Win 7 мало (раза в два) :-) .
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 06 окт 2010, 18:38

Дорофея писал(а):Верхнюю часть я разбираю по поисковику, каждый пункт.


Вот и интересно посмотреть что удалось узнать.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 06 окт 2010, 19:38

Меня хватило только на эту часть ):
Код: Выделить всё
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe

Вроде бы ничего настораживающего, судя по тому, что я прочла в инете ))), кроме уже указанной строки
C:\WINDOWS\system32\crypserv.exe
, которая тоже оказалась не страшной.
А нижеидущая часть лог файла для меня "темный лес".
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 06 окт 2010, 20:53

C:\WINDOWS\system32\acs.exe мне не нравится

C:\Program Files\Java\jre6\bin\jqs.exe можно почитать http://nemcd.com/2009/03/chto-takoe-jqsexe/

C:\WINDOWS\system32\wbem\wmiapsrv.exe
Где то было прочитано
Файл wmiapsrv.exe всегда расположен в папке c:\windows\system32. В случае если вы обнаружили файл в другом каталоге, его следует немедленно удалить. В настоящее время не известно о существовании злонамеренных программ с именем wmiapsrv.exe.


C:\Program Files\Mail.Ru\Agent\MAgent.exe
Если только очень нужен.

C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Google\Google Talk\googletalk.exe
Зачем 2 интернет пейджера?

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
И как часто Nokia подключается к компу что в памяти аж три процесса?

Это касаемо загруженных процессов
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 06 окт 2010, 22:16

magiya писал(а):C:\WINDOWS\system32\acs.exe мне не нравится
изучила инфу, удалила
magiya писал(а):C:\Program Files\Java\jre6\bin\jqs.exe можно почитать http://nemcd.com/2009/03/chto-takoe-jqsexe/
прочитав отзывы в статье тоже решила удалить
magiya писал(а):C:\WINDOWS\system32\wbem\wmiapsrv.exe
а это, насколько я поняла, должно напрямую лежать в папкеWI C:\WINDOS\system32, а не в подпапке?
magiya писал(а):C:\Program Files\Mail.Ru\Agent\MAgent.exeЕсли только очень нужен.
Вообще-то нужен...Им удобно пользоваться, приходят уведомления о поступлении новых писем на ящик... :-?
magiya писал(а):C:\Program Files\ICQ6Toolbar\ICQ Service.exeC:\Program Files\Google\Google Talk\googletalk.exeЗачем 2 интернет пейджера?
для общения с разными человеками... smyt
magiya писал(а):C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exeC:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exeC:\Program Files\PC Connectivity Solution\ServiceLayer.exeИ как часто Nokia подключается к компу что в памяти аж три процесса?
Когда-то я использовала Nokia как модем, а сейчас этого не делаю. Удалить?
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 06 окт 2010, 22:51

Хочется глянуть на автозагрузку

Пуск --- Выполнить --- вбить msconfig --- закладка автозагрузка
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 06 окт 2010, 23:00

Автозагрузка:
авто1.jpg
авто2.jpg
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 07 окт 2010, 11:51

Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель в системной трее при старте операционной системы, и работает в фоновом режиме даже после закрытия всех программ пакета Microsoft Office, независимо от того, запускались ли программы Office XP.

Программа Ctfmon.exe активирует процессор текстового ввода компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Microsoft Office.

Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно множество вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя Ctfmon.exe для сокрытия своего присутствия в системе.
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение Дорофея » 07 окт 2010, 12:29

Ctfmon.exe

Нашла :x
безымянный.JPG

Удалила, тот который верхний.
"Роскошь - это когда изнанка так же красива, как и лицо" - Коко Шанель
Я Таня! Приятно познакомиться!
Аватара пользователя
Дорофея
Коренной житель
 
Сообщения: 275
Зарегистрирован: 27 апр 2009, 21:03
Откуда: Киевская область

Re: HijackThis - удаление spyware,trojans и вирусов

Сообщение magiya » 07 окт 2010, 13:37

в папке Prefetch содержится информация о частооткрываемых программах для быстрого доступа к ним. Можно удалить ВСЕ файлы из неё и система будет грузится быстрей, но программы открыватся дольше в первый раз... потом там снова образуются файлы... иногда можно их почистить...

Кстати, аналогичная судьба папки Temp :-)

Это не вирус был. :-)
Изображение
Изображение
Аватара пользователя
magiya
Site Admin
 
Сообщения: 1033
Зарегистрирован: 30 окт 2007, 14:38


Вернуться в Windows и все о ней

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
www.MAGIYA.com.ua - сайт о вязании
Написать письмо администратору
Мастер классы || Модели || Виды техник || О пряже || Узоры || О себе || Контакты
Rambler's Top100