Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Windows системы
Страницы: 1
RSS
Открытие браузера по непонятным причинам
 
#1
Это нравится:0Да/0Нет
10.03.2009 08:46:11
Здравствуйте.
Помогите решить проблему, 2 дня назад, у меня при попытке зайти в какую либо папку, случайным образом открывается mozilla (браузер по умолчанию) со страницой:
Я так понимаю это троян или вирус, сканировал Nod32 SS, Касперский 8, Norton 360 2.0RU, Ad-aware, Trojan remover. Все с последними обновлениями и ничего не помогло, уже не знаю что делать.
 
 
 
#2
Это нравится:0Да/0Нет
10.03.2009 08:56:56
Цитата
Антон Волобуев пишет:
уже не знаю что делать
Ну, как минимум, предоставить общественности лог HijackThis
 
 
 
#3
Это нравится:0Да/0Нет
10.03.2009 08:57:17
В папках есть файл autorun.inf? (смотреть не через windows explorer).
Это могут быть последствия вируса.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#4
Это нравится:0Да/0Нет
10.03.2009 09:09:20
Незнаю правильно нет сделал, просканировал программой HijackThis v2.0.2, просто раньше ей не пользовался, вот лог файл:
Код
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:11, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\TMeter\TrafSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\TMeter\trafmonitor.exe
C:\Program Files\CPU-Control\CPU_Control.exe
C:\WINDOWS\system32\ctfmon.exe
H:\Fraps\fraps.exe
C:\Program Files\uTorrent\uTorrent.exe
D:\RunFiles\QIP Infium\infium.exe
D:\RunFiles\Opera\opera.exe
D:\RunFiles\Password Commander\PassCmd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
D:\Documents\программы\Total Commander\Totalcmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O2 - BHO: TrumanBar - {BDF6E57E-7330-40CB-8363-D82E9BFF223B} - C:\WINDOWS\system32\gjgsys.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [TrafMonitor] C:\Program Files\TMeter\trafmonitor.exe /logon /admin
O4 - HKCU\..\Run: [CPU_Control] C:\Program Files\CPU-Control\CPU_Control.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Fraps.lnk = H:\Fraps\fraps.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Fraps.lnk = H:\Fraps\fraps.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Fraps.lnk = H:\Fraps\fraps.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить все с помощью FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: Загрузить с помощью FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A15B008-83F6-450C-B67D-6C01A3D0532E}: NameServer = 83.136.112.246 80.71.208.209
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A15B008-83F6-450C-B67D-6C01A3D0532E}: NameServer = 83.136.112.246 80.71.208.209
O20 - AppInit_DLLs: C:\NeoSpy\nspl.dll,wbsys.dll
O20 - Winlogon Notify: LizmaUserNotify - C:\WINDOWS\SYSTEM32\LizmaUserNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Планировщик автоматического запуска LiveUpdate (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe (file missing)
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\ekrn.exe (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Unreal Tournament 3 Drivers Auto Removal (pr2anlqb) (pr2anlqb) - Noviy Disk - C:\WINDOWS\system32\pr2anlqb.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TMeter 9.0.523 (TrafSvc) - Unknown owner - C:\Program Files\TMeter\TrafSvc.exe
O23 - Service: User Monitor - Unknown owner - C:\Program Files\Lizma\UserMonitor\bin\UserMonitor.exe (file missing)
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10538 bytes

autorun.inf в папках нет, бывает такое что одна и та же папка сначала не открывается, затем нормально отркывается через несколько секунд.
 
 
 
#5
Это нравится:0Да/0Нет
10.03.2009 09:26:42
Вот он, твой троянчик:
Цитата
O2 - BHO: TrumanBar - {BDF6E57E-7330-40CB-8363-D82E9BFF223B} - C:\WINDOWS\system32\gjgsys.dll.
Убивай.
 
 
 
#6
Это нравится:0Да/0Нет
10.03.2009 09:31:07
Цитата
Антон Волобуев пишет:
Незнаю правильно нет сделал
Не совсем правильно - перезагрузись, и не запуская программ (тотал, браузеры, качалки, торент и т.д.) сделай ещё раз лог (а то куча лишних процессов запущено).


Код
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file) 
O2 - BHO: TrumanBar - {BDF6E57E-7330-40CB-8363-D82E9BFF223B} - C:\WINDOWS\system32\gjgsys.dll


Я бы смело удалил, на твоём месте (поставить галочку и внизу кнопка fix checked, как минимум, и после ребута проверить, не появились ли снова эти пункты) ...

norton и nod на одной машине - это жестоко по отношению к своему компьютеру.
 
 
 
#7
Это нравится:0Да/0Нет
10.03.2009 09:56:58
Nod я удалил вообще-то, может записи какие просто остались?
Я после нода ставил каспера, и немного накосячил при установке :) Начал ставить каспера забыв снести нод.
Код
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file) 
O2 - BHO: TrumanBar - {BDF6E57E-7330-40CB-8363-D82E9BFF223B} - C:\WINDOWS\system32\gjgsys.dll

Удалил, проблема изчезла, большое спасибо за помощь.
 
 
 
#8
Это нравится:0Да/0Нет
10.03.2009 10:06:19
Цитата
Антон Волобуев пишет:
может записи какие просто остались?

Остались:

Код
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe (file missing) 
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\ekrn.exe (file missing)


Вообще имеет смысл периодически запускать HijackThis, смотреть в лог, смотреть, что, откуда и зачем (на 99% возникающих вопросов ответ легко даёт гугл, просто копируешь непонятное строку в поиск) ... Всё, что (file missing), (no file) и т.д. вообще можно смело удалять (к примеру вот эти оставшиеся пункты nod'а). Особенно это актуально при наличии некоего "творческого бардака", как на искомой машине (судя по логу) - и тогда подобные проблемы будут возникать намного реже :)
 
 
 
#9
Это нравится:0Да/0Нет
10.03.2009 10:09:42
Цитата
RatKiller пишет:
Особенно это актуально при наличии некоего "творческого бардака", как на искомой машине
:oops:
Просто мало времени провожу за компутером, не успеваю порядок навести, главное пока что бы все работало. За совет спасибо, программка интересная довольно, правда впервые ее вижу, но думаю разберусь :)
Изменено: Антон Волобуев - 10.03.2009 10:10:08
 
 
 
Страницы: 1
Читают тему