проверил авторан и обнаружил xInsIDE.exe

Одна тема - для одного вопроса!

Модераторы: CERBER, Valeri

проверил авторан и обнаружил xInsIDE.exe

Сообщение arey » Пт янв 23, 2009 7:56 pm

не стал создавать новую тему, так как натолкнулся на эту в гоогле
проблема в следующем:
кмьпютер стал долго загружаться, проверил авторан и обнаружил xInsIDE.exe
стоит нод32 с актуальными базами, после проверки combofix выдал след файл -отчет:
ComboFix 09-01-21.04 - Admin 2009-01-23 20:26:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2047.1513 [GMT 3:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: Персональный файервол ESET *enabled*
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\svchost.ini

.
((((((((((((((((((((((((( Files Created from 2008-12-23 to 2009-01-23 )))))))))))))))))))))))))))))))
.

2009-01-20 17:27 . 2009-01-20 17:35 <DIR> d-------- c:\program files\uTorrent
2009-01-20 17:27 . 2009-01-23 20:27 <DIR> d-------- c:\documents and settings\Admin\Application Data\uTorrent
2009-01-16 14:37 . 2009-01-16 14:37 <DIR> d-------- c:\program files\ATI Technologies
2009-01-10 16:54 . 2009-01-10 16:54 <DIR> d-------- c:\documents and settings\Admin\Application Data\Apple Computer
2009-01-10 15:22 . 2009-01-16 22:21 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-10 15:22 . 2009-01-10 15:22 1,409 --a------ c:\windows\QTFont.for
2008-12-29 15:16 . 2008-12-29 15:16 <DIR> d-------- c:\program files\Foxit Software
2008-12-29 15:16 . 2008-12-29 15:16 <DIR> d-------- c:\program files\AskBarDis
2008-12-29 15:16 . 2008-12-29 15:16 <DIR> d-------- c:\documents and settings\Admin\Application Data\Foxit
2008-12-28 13:23 . 2008-12-28 13:23 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-23 15:57 644 ----a-w c:\documents and settings\Admin\Application Data\aldea.dat
2009-01-23 14:56 202,040 ----a-w c:\windows\system32\PnkBstrB.exe
2009-01-23 14:51 --------- d-----w c:\program files\SpeedFan
2009-01-22 19:07 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-16 11:43 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-26 09:36 --------- d-----w c:\program files\ESET
2008-12-19 09:02 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-19 09:02 22,328 ----a-w c:\documents and settings\Admin\Application Data\PnkBstrK.sys
2008-12-19 09:02 2,250,024 ----a-w c:\windows\system32\pbsvc.exe
2008-12-14 12:30 --------- d-----w c:\documents and settings\Admin\Application Data\InstallShield
2008-12-09 13:52 --------- d-----w c:\documents and settings\Admin\Application Data\Auslogics
2008-12-09 12:41 --------- d-----w c:\documents and settings\Admin\Application Data\ESET
2008-12-09 12:40 --------- d-----w c:\documents and settings\All Users\Application Data\ESET
2008-12-09 11:15 --------- d-----w c:\program files\Auslogics
2008-12-06 17:00 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-11-23 12:50 --------- d-----w c:\documents and settings\Admin\Application Data\Aldea
2008-11-01 14:16 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-01 13:43 2,814 ----a-w c:\windows\system32\ealregsnapshot1.reg
2006-06-23 22:48 32,768 -c--a-r c:\windows\inf\UpdateUSB.exe
.

------- Sigcheck -------

2007-11-27 15:16 578560 5231f1983829611637e9493105e84751 c:\windows\system32\user32.dll

2007-11-27 15:37 360576 6ebeae64113900f24318b02d3a87c112 c:\windows\system32\drivers\tcpip.sys

2007-11-27 18:16 2158592 159e42007b9030b3dfe525251d4f5585 c:\windows\system32\ntkrnlpa.exe

2007-11-25 17:15 2278912 61a3571d0a6550623405bb4103f4cca5 c:\windows\system32\ntoskrnl.exe

2007-11-27 15:15 1608704 16577d75e24b75c7d34fd955f8f9b732 c:\windows\explorer.exe

2007-11-27 15:15 30208 ba72689de7721cc6a4414c5c92b43302 c:\windows\system32\ctfmon.exe

2007-11-27 15:16 80216 796678ab414abd87b2d5c4baeb236859 c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 --a------ c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8F88615-A49E-4443-A26F-E97379BE1B1A}]
2008-11-23 04:32 572416 --a------ c:\docume~1\Admin\APPLIC~1\Aldea\Aldea.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LClock"="c:\program files\LClock\lclock.exe" [2004-09-19 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"Ai Nap"="c:\program files\ASUS\AI Suite\AiNap\AiNap.exe" [2007-04-09 1423360]
"RivaTunerStartupDaemon"="c:\program files\RivaTuner v2.11\RivaTuner.exe" [2008-09-16 2715648]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-08-18 1447168]
"ATIPTA"="atiptaxx.exe" [2007-03-28 c:\windows\system32\atiptaxx.exe]
"ATIModeChange"="Ati2mdxx.exe" [2008-09-24 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2007-07-02 132608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2007-11-27 c:\windows\system32\advpack.dll]
"IE7_012"="advpack.dll" [2007-11-27 c:\windows\system32\advpack.dll]

c:\documents and settings\Admin\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
SpeedFan.lnk - c:\program files\SpeedFan\speedfan.exe [2008-11-21 3835904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"Download Master"=c:\program files\Download Master\dmaster.exe -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LiveMonitor"=c:\program files\MSI\Live Update 3\LMonitor.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"36X Raid Configurer"=c:\windows\system32\xRaidSetup.exe boot
"RTHDCPL"=RTHDCPL.EXE
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\QIP\\qip.exe"=
"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe"=
"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe"=
"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe"=
"d:\\Games\\CD4\\iw3mp.exe"=
"d:\\Games\\FarCray\\Far Cry 2\\bin\\FarCry2.exe"=
"d:\\Games\\FarCray\\Far Cry 2\\bin\\FC2Launcher.exe"=
"d:\\Games\\FarCray\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 pe3agvgb;Gothic3 Environment Driver (pe3agvgb);c:\windows\system32\drivers\pe3agvgb.sys [2007-11-14 64624]
R0 ps7agvgb;Gothic3 Synchronization Driver (ps7agvgb);c:\windows\system32\drivers\ps7agvgb.sys [2007-11-14 68216]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [2006-09-11 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [2006-08-11 59776]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2007-12-24 38656]
R4 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-08-18 468224]
S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2006-11-10 24064]
S3 NVKEYUSB;Guardant Stealth I/II USB Key;c:\windows\system32\DRIVERS\NVKEYUSB.SYS --> c:\windows\system32\DRIVERS\NVKEYUSB.SYS [?]
S4 pr2agvgb;Gothic3 Drivers Auto Removal (pr2agvgb);c:\windows\system32\pr2agvgb.exe svc --> c:\windows\system32\pr2agvgb.exe svc [?]
S4 sfrem02;FrontLine Drivers Auto Removal (v2);c:\windows\system32\sfrem02.exe svc --> c:\windows\system32\sfrem02.exe svc [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - PNKBSTRB
*NewlyCreated* - SRSERVICE
*NewlyCreated* - UJE5NDEZ
*NewlyCreated* - UTE5NDEZ
*Deregistered* - uje5ndez
*Deregistered* - ute5ndez
.
Contents of the 'Scheduled Tasks' folder

2009-01-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-Punto Switcher - c:\program files\Punto Switcher\ps.exe
HKLM-Explorer_Run-csrcs - c:\windows\system32\csrcs.exe


.
------- Supplementary Scan -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {C0C7FD03-60D8-4FED-BCC5-082A59F12988} = 212.33.225.211 212.33.224.131
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\ggxgvs9g.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-23 20:27:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1484)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1540)
c:\windows\system32\setupapi.dll
.
Completion time: 2009-01-23 20:28:18
ComboFix-quarantined-files.txt 2009-01-23 17:28:16

Pre-Run: 3 666 800 640 байт свободно
Post-Run: 3,658,182,656 байт свободно

201


все ли в порядке ??
arey
 
Сообщения: 2
Зарегистрирован: Пт янв 23, 2009 7:29 pm

Re: проверил авторан и обнаружил xInsIDE.exe

Сообщение Valeri » Сб янв 24, 2009 9:04 pm

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по доступной информации файл xInsIDE.exe (почитайте эту (eng) страничку) не является вирусом или трояном.

Но тем не менее, вы запустили combofix не зря, программа удалила один троян. В данный момент лог выглядит нормально.
Проблем с компьютером нет ?
Valeri
Site Admin
 
Сообщения: 5267
Зарегистрирован: Чт июн 12, 2008 9:31 am

Re: проверил авторан и обнаружил xInsIDE.exe

Сообщение arey » Ср янв 28, 2009 3:49 pm

проблем больше нет, спасибо
arey
 
Сообщения: 2
Зарегистрирован: Пт янв 23, 2009 7:29 pm

Re: проверил авторан и обнаружил xInsIDE.exe

Сообщение Valeri » Ср янв 28, 2009 9:33 pm

Прекрасно.
Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!
Valeri
Site Admin
 
Сообщения: 5267
Зарегистрирован: Чт июн 12, 2008 9:31 am


Вернуться в Удаление вирусов, троянов, спайваре

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 1