Технический форум - Вирус или последствия.

Стыдно спросить что такое лог
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:27:53, on 24.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CNAB4RPK.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Registry Defragmentation\RegManServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\Syst3m32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Наиль\LOCALS~1\Temp\Rar$EX00.250\Hijac kThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fargus.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A867E101-1977-4D5F-9AE9-DEA9E22246B1}: NameServer = 217.23.80.12 195.161.106.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\qwerty12.exe (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: LiveUpdate System Manager - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Microsoft Host Service (MSHOST) - Unknown owner - C:\WINDOWS\system\host.exe (file missing)
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Registry Defragmentation\RegManServ.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows NT Logon Application (WINLOGON32) - Unknown owner - C:\WINDOWS\system\winlogon.exe (file missing)
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 6717 bytes

Огромное спасибо. Скачал утилиту AVZ проверил:

часть текста протокола выделеная красным шрифтом. Если можно не моглибы вы сказать это серьезное или нет (и вообще что это такое)

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (571) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D961->77ED6F9C
Функция kernel32.dll:LoadLibraryExA (572) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D941->77ED6FB0
Функция kernel32.dll:LoadLibraryExW (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D839->77ED6FD8
Функция kernel32.dll:LoadLibraryW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B38->77ED6FC4
Детектирована модификация IAT: LoadLibraryA - 77ED6F9C<>77E7D961
Детектирована модификация IAT: GetProcAddress - 77ED6FEC<>77E7B332

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = FF9EE008 (297)
>>> Внимание, таблица KiST перемещена ! (80502588(284)->FF9EE008(297))
Функция NtClose (19) перехвачена (80581355->F38B65B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057AA2E->F38AB280), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805AE8B3->F38B62C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (80590950->F38B6440), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (8057FB92->F38B6EE0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C0109->F38B6B2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8058F00C->F38B7830), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8056DE4B->F38AB340), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80567F3F->F38AB3C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80592B99->F38B6710), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8057D323->F38AB450), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8056A5F7->F38AB500), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtFlushKey (4F) перехвачена (805616E0->F38AB5B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtInitializeRegistry (5C) перехвачена (805B682A->F38AB630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805B4523->F38ABE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805B4535->F38AB650), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (805739E6->F38AB6F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (80585233->F9676028), перехватчик C:\WINDOWS\System32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (8058272F->F38AB7D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (80578115->F38B6050), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (80588D43->F38B6D2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80573460->F38AB870), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8062A577->F38AB920), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8058B1F4->F38B74C6), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (805833FB->F38AB9D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8062AC99->F38ABA80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (80629B9A->F38ABB10), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8058F519->F38B77A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (80629C34->F38ABBA0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805BBD83->F38B7B80), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80592589->F38B8270), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationKey (E2) перехвачена (8062A157->F38ABC30), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) перехвачена (80590056->F38BACD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (805722DC->F38ABCD0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805C1DD7->F38B7750), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (80591C32->F38B7300), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80629E33->F38ABDC0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8058FF6C->F38B65D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 38, восстановлено: 0

9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений