Мое почтение, господин или товарищ *Podtoptalow*. Поговорим?

20 Янв 2008 в 16:02 некто Alexey Podtoptalow писал для Vyacheslav Sergeev:

VS>> Чем лечить-то?
AP> Если доктор еще не видит (по идее должен сразу при запуске через
AP> проверку запущенных процессов и загруженных модулей, если троян у тебя
AP> работает) - то вот это:
Подожду до следующей базы...

AP> И там, и там от тебя потребуют логи анализа системы, первый - лог
AP> hijackthis, причем сделанный по инструкции. В virusinfo.info еще два
По его логам определенно ничего подозрительного не нашел. Однако, вот он, не
посмотришь ли "взглядом специалиста":

=== _/*Hачать кусать тут: Windows Clipboard*/_ ===
Logfile of HijackThis v1.99.1
Scan saved at 23:11:39, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RusLat95.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\pIRC_Script2_1\pIRC.exe
C:\PROGRA~1\CHAMEL~1\ChamClock.exe
C:\Program Files\Winamp\Winamp_agent\Winamp agent.exe
D:\FIDO\GOLDED\GEDCYG.EXE
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {DEAF9418-84BC-491B-907A-97ADE1BCDF8C} -
C:\WINDOWS\system32\CTSPKHL.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RusLat95] RusLat95.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Program
Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe
bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost
Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost
Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC
Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - Global Startup: DELTEMP.lnk = C:\WINDOWS\DELTEMP.CMD
O4 - Global Startup: pIRC.lnk = C:\Program Files\pIRC_Script2_1\pIRC.exe
O4 - Global Startup: Winamp agent.lnk = C:\Program
Files\Winamp\Winamp_agent\Winamp agent.exe
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program
Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program
Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9}
- C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}
- C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lerlan.ru
O17 - HKLM\Software\..\Telephony: DomainName = lerlan.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
Domain = lerlan.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
NameServer = 192.168.1.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{2095E726-A98A-40ED-B912-1F8A50B1ECD4}:
NameServer = 172.16.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lerlan.ru
O17 - HKLM\System\CS1\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
Domain = lerlan.ru
O17 - HKLM\System\CS1\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
NameServer = 192.168.1.10
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lerlan.ru
O17 - HKLM\System\CS2\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
Domain = lerlan.ru
O17 - HKLM\System\CS2\Services\Tcpip\..\{03A70F58-803B-420B-BEC7-A6719C9D4651}:
NameServer = 192.168.1.10
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program
Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт -
C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) -
Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: lxbs_device - Lexmark International, Inc. -
C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация
Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. -
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт -
C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола
(RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт -
C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity
Solution\ServiceLayer.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. -
C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация
Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт -
C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация
Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

=== _/*Кончить кусать тут: Windows Clipboard*/_ ===

VS>> Посмотрел. Через winlogon запускается нечто непонятное, наподобии
VS>> WINotify.dll. Это оно?
AP> Ты хочешь сказать, что оно не зеленое ? У меня оно тоже есть, но
AP> зеленым цветом, т.е. контрольная сумма есть в базе безопасных. Скорее
AP> всего это не оно, это стандартное виндовое REGEDIT4
Зеленое, все нормально. Hе зеленого вообще ничего подозрительного нет, только
всякие мелочи, которые я сам же и ставил. Странно это всё...

Честь имею, *Alexey*!
[*ABBA*] [*Noir*] [*ФСИH*]