позрение на активность

[Андрей797979]

подозрение на "левую" активность на ноутбуке заметил когда подключался к интернету. не запускал ничего, а трафик жрет. установил

NetLimiter 2 Pro. он показал что служба svchost.exe и mDNSResponder.exe. с Bonjour Service вроде разобрался:)//www.makak.ru/2008/12/17/chto-takoe-mdnsresponderexe-i-mdnsnspdll/,а

в остальном прошу помощи. трфик тает на глазах.

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

Несколько вопросов к вам.

Почему использовали переименованную АВЗ?

Почему лог только после стандартного скрипта 2?

АВЗ запускали от имени администратора?

[Андрей797979]

переименованно, потому как вскачивал тута с форума полиморфный, галочки ставил на превых 4-х пунктах. при нажатии правой кнопкой в списке не было такой строки" запуск от имени администратора.

[ТроПа]

Скачайте стандартную АВЗ.

Обновите базы.

 

при нажатии правой кнопкой в списке не было такой строки" запуск от имени администратора.

Скриншот приложите, пожалуйста.

[Андрей797979]

скачал стандартную AVZ. все по правилам. восстановление системы отключил и пр.

новый лог от имени админ.

virusinfo_syscheck.zip

[Fasawe]

Много лишнего на машине. К примеру, меня смущает вот это из лога hijack:

D:\soft\t57c438x.exe

C:\Users\86A9~1\AppData\Local\Temp\RarSFX0\347b6x.exe

C:\Users\86A9~1\AppData\Local\Temp\RarSFX0\q9h5eXP.exe

Также может жрать трафик вот это:

C:\Windows\system32\SearchFilterHost.exe

А вот это я бы смело вырезал:

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Bonjour\mdnsNSP.dll

Вышеуказанные два файла ставятся вместе с Adobe Photoshop и это нечто вроде Adobe Updater, но для фотошопа.

По сути, за эту службу на Adobe можно подать в суд ))

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

Ещё порекомендовал бы отключить службу индексирования:

O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe

 

З.Ы. Не забываем, что все решения принимают наши врачи, а я лишь скромный пользователь...

Изменено 28 декабря, 2009 пользователем Fasawe

[Андрей797979]

q9h5eXP.exe это сканер от dr.web

вот еще лог от gmer

 

ауууу! кто нить предложит помощь.................

 

ауууу! кто нить предложит помощь.................

gmer.log

[akoK]

В логе Gmer не вижу ничего интересного.

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Андрей797979]

логи от rsil

info.txt

log.txt

[akoK]

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e794cd7-e30c-11de-a8a4-0016ea52be30}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3305-ced4-11de-a229-0016ea52be30}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3325-ced4-11de-a229-f856165b5264}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84aa5ad2-e000-11de-9319-fac7e1de469e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4566181-e496-11de-bd4e-0016ea52be30}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[Добрый Заазыч]

Fasawe

а как это вырезать? просто у меня тоже это есть на ноуте? просто удалить? или лучше ерез спец софтину?

 

"А вот это я бы смело вырезал:

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Bonjour\mdnsNSP.dll"

Изменено 28 декабря, 2009 пользователем Zaaza

[akoK]

Zaaza, обычное удаление Bonjour может привести к неработоспособности сети.

Что такое Bonjour Service и как его удалить.

[Андрей797979]

All processes killed

Error: Unable to interpret <Processes> in the current context!

Error: Unable to interpret <explorer.exe> in the current context!

========== SERVICES/DRIVERS ==========

========== FILES ==========

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e794cd7-e30c-11de-a8a4-0016ea52be30}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e794cd7-e30c-11de-a8a4-0016ea52be30}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3e818dc7-ecb9-11de-8c7b-0016ea52be30}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3305-ced4-11de-a229-0016ea52be30}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4efe3305-ced4-11de-a229-0016ea52be30}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4efe3325-ced4-11de-a229-f856165b5264}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4efe3325-ced4-11de-a229-f856165b5264}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84aa5ad2-e000-11de-9319-fac7e1de469e}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84aa5ad2-e000-11de-9319-fac7e1de469e}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4583e0-cf65-11de-b2cb-d645ca00b7d1}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4583e2-cf65-11de-b2cb-d645ca00b7d1}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4566181-e496-11de-bd4e-0016ea52be30}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c4566181-e496-11de-bd4e-0016ea52be30}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: Андрей

->Temp folder emptied: 31832 bytes

->Temporary Internet Files folder emptied: 38506 bytes

->Opera cache emptied: 658806 bytes

 

User: ￐ﾐ￐ﾽ￐ﾴ￑ﾀ￐ﾵ￐ﾹ

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 527810 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50532 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1,00 mb

 

 

OTM by OldTimer - Version 3.1.4.0 log created on 12282009_214440

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[akoK]

Что с проблемами?

[Андрей797979]

пока писал ответ 1,5 мб входящего трафика...............

 

а еще через минуту еще 1,5 мб......приходиться разрывать соединение. что может так кушать мб?