@Valeri wrote:
Попробуйте ещё раз запустить программу Combofix. В конце своей работы она откроет блокнот с логом. Выделите весь текст и скопируйте в ваше следующее сообщение.
Сделала как вы написали. Посмотрите, пожалуйста, результат. Пожалуйста, прокоментируйте.Не знаю в чём ,,причина .но программы очень долго загружаются и виснут.
ComboFix 09-09-28.01 — GK 29.09.2009 22:25.2.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1031.18.1015.503 [GMT 2:00]
Running from: c:dokumente und einstellungenGKDesktopComboFix.exe
Command switches used :: c:dokumente und einstellungenGKDesktopWindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
((((((((((((((((((((((((( Files Created from 2009-08-28 to 2009-09-29 )))))))))))))))))))))))))))))))
.
2009-09-29 10:03 . 2009-09-29 19:47 45056 —-a-w- c:windowssystem32acovcnt.exe
2009-09-23 21:47 . 2009-09-23 21:47
d
w- c:dokumente und einstellungenGKSecurityScans
2009-09-23 21:34 . 2009-09-23 21:34
d
w- c:programmeReplay Converter 3
2009-09-23 21:34 . 2009-09-23 21:34
d
w- c:windowsReplay Converter 3
2009-09-23 21:28 . 2009-09-23 21:28
d
w- c:dokumente und einstellungenGKAnwendungsdatenWinPatrol
2009-09-23 21:28 . 2009-09-23 21:28
d
w- c:programmeBillP Studios
2009-09-23 20:46 . 2009-09-28 19:35
d
w- c:dokumente und einstellungenLocalServiceAnwendungsdatenSACore
2009-09-23 20:46 . 2009-09-23 20:46
d
w- c:windowssystem32configsystemprofileAnwendungsdatenSACore
2009-09-23 20:46 . 2009-09-23 20:46
d
w- c:dokumente und einstellungenAll UsersAnwendungsdatenSiteAdvisor
2009-09-23 20:45 . 2009-09-23 20:45
d
w- c:programmeGemeinsame DateienMcAfee
2009-09-23 20:44 . 2009-09-24 05:38
d
w- c:programmeMcAfee
2009-09-23 20:44 . 2009-09-23 20:45
d
w- c:dokumente und einstellungenAll UsersAnwendungsdatenMcAfee
2009-09-23 20:44 . 2009-09-23 20:54
d
w- c:dokumente und einstellungenAll UsersAnwendungsdatenYahoo! Companion
2009-09-23 20:44 . 2009-09-23 20:44
d
w- c:dokumente und einstellungenGKAnwendungsdatenYahoo!
2009-09-23 20:44 . 2009-09-23 20:44
d
w- c:programmeYahoo!
2009-09-23 19:58 . 2009-09-23 19:58
d
w- c:programmeMicrosoft Baseline Security Analyzer 2
2009-09-21 08:56 . 2009-09-21 08:56
d-sh—w- c:dokumente und einstellungenGKPrivacIE
2009-09-21 08:49 . 2009-09-21 08:49
d-sh—w- c:windowssystem32configsystemprofileIETldCache
2009-09-19 21:09 . 2009-09-19 21:09
d-sh—w- c:dokumente und einstellungenGKIETldCache
2009-09-19 21:03 . 2009-08-07 08:48 100352 -c—-w- c:windowssystem32dllcacheiecompat.dll
2009-09-19 21:02 . 2009-09-19 21:04
d
w- c:windowsie8updates
2009-09-19 21:02 . 2009-07-03 16:55 12800 -c—-w- c:windowssystem32dllcachexpshims.dll
2009-09-19 21:02 . 2009-07-03 16:55 594432 -c—-w- c:windowssystem32dllcachemsfeeds.dll
2009-09-19 21:02 . 2009-07-03 16:55 55296 -c—-w- c:windowssystem32dllcachemsfeedsbs.dll
2009-09-19 21:02 . 2009-07-03 16:55 1985536 -c—-w- c:windowssystem32dllcacheiertutil.dll
2009-09-19 21:02 . 2009-07-03 16:55 246272 -c—-w- c:windowssystem32dllcacheieproxy.dll
2009-09-19 21:02 . 2009-07-19 16:41 11067392 -c—-w- c:windowssystem32dllcacheieframe.dll
2009-09-19 20:58 . 2009-09-19 21:01
dc-h—w- c:windowsie8
2009-09-16 06:33 . 2009-09-23 21:54
d
w- c:programmetrend micro
2009-09-16 06:33 . 2009-09-16 06:33
d
w- C:rsit
2009-09-15 23:20 . 2009-09-15 23:20
d
w- c:programmeMSXML 4.0
2009-09-15 16:40 . 2009-09-23 12:25
d
w- c:windowssystem32CatRoot_bak
2009-09-15 16:35 . 2008-06-14 17:57 273024 -c—-w- c:windowssystem32dllcachebthport.sys
2009-09-15 16:33 . 2009-06-21 22:05 153088 -c—-w- c:windowssystem32dllcachetriedit.dll
2009-09-15 16:31 . 2008-05-01 14:30 331776 -c—-w- c:windowssystem32dllcachemsadce.dll
2009-09-15 16:31 . 2008-04-11 18:50 683520 -c—-w- c:windowssystem32dllcacheinetcomm.dll
2009-09-15 16:30 . 2008-09-04 16:43 1106944 -c—-w- c:windowssystem32dllcachemsxml3.dll
2009-09-15 16:30 . 2008-12-11 11:57 333184 -c—-w- c:windowssystem32dllcachesrv.sys
2009-09-15 16:30 . 2008-10-15 16:57 332800 -c—-w- c:windowssystem32dllcachenetapi32.dll
2009-09-15 16:29 . 2008-10-24 11:10 453632 -c—-w- c:windowssystem32dllcachemrxsmb.sys
2009-09-15 16:28 . 2009-07-10 13:39 1315328 -c—-w- c:windowssystem32dllcachemsoe.dll
2009-09-15 16:28 . 2008-10-03 10:15 247326 -c—-w- c:windowssystem32dllcachestrmdll.dll
2009-09-15 16:27 . 2009-06-05 07:42 655872 -c—-w- c:windowssystem32dllcachemstscax.dll
2009-09-15 16:25 . 2008-04-21 21:25 217600 -c—-w- c:windowssystem32dllcachewordpad.exe
2009-09-14 15:39 . 2009-09-14 15:39
d
w- c:dokumente und einstellungenGKAnwendungsdatenMalwarebytes
2009-09-14 15:38 . 2009-09-10 12:54 38224 —-a-w- c:windowssystem32driversmbamswissarmy.sys
2009-09-14 15:38 . 2009-09-14 15:38
d
w- c:dokumente und einstellungenAll UsersAnwendungsdatenMalwarebytes
2009-09-14 15:38 . 2009-09-10 12:53 19160 —-a-w- c:windowssystem32driversmbam.sys
2009-09-12 06:44 . 2009-09-12 06:44
d
w- c:dokumente und einstellungenGKLokale EinstellungenAnwendungsdatenNero
2009-09-11 19:53 . 2009-09-11 19:53
d
w- c:programmeOpera
2009-09-06 08:50 . 2009-09-23 14:51
d
w- c:dokumente und einstellungenGKAnwendungsdatenFileZilla
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 19:31 . 2007-12-10 18:14
d
w- c:programmeLogitech
2009-09-23 21:03 . 2009-02-18 15:42
d
w- c:dokumente und einstellungenGKAnwendungsdatenMSN6
2009-09-16 06:21 . 2003-04-02 12:00 84656 —-a-w- c:windowssystem32perfc007.dat
2009-09-16 06:21 . 2003-04-02 12:00 459116 —-a-w- c:windowssystem32perfh007.dat
2009-09-14 12:26 . 2007-12-02 13:51
d
w- c:programmeLight Alloy
2009-09-12 10:04 . 2007-12-02 14:29
d
w- c:programmeGemeinsame DateienNero
2009-09-12 09:59 . 2007-12-02 14:29
d
w- c:dokumente und einstellungenAll UsersAnwendungsdatenNero
2009-09-12 09:46 . 2007-12-02 14:29
d
w- c:programmeNero
2009-09-12 09:42 . 2007-12-02 11:32
d—h—w- c:programmeInstallShield Installation Information
2009-09-12 06:57 . 2007-12-02 14:35
d
w- c:dokumente und einstellungenGKAnwendungsdatenNero
2009-08-29 20:11 . 2007-12-10 18:51
d
w- c:dokumente und einstellungenGKAnwendungsdatenSkype
2009-08-29 14:02 . 2007-12-10 19:02
d
w- c:dokumente und einstellungenGKAnwendungsdatenskypePM
2009-08-26 10:07 . 2009-08-24 22:12
d
w- c:programmeReplay Media Catcher
2009-08-26 10:06 . 2009-08-26 10:06 156672 —-a-w- c:windowssystem32rmc_fixasf.exe
2009-08-26 10:06 . 2009-08-26 10:06 237568 —-a-w- c:windowssystem32rmc_rtspdl.dll
2009-08-26 10:05 . 2009-08-26 10:05 323584 —-a-w- c:windowssystem32AUDIOGENIE2.DLL
2009-08-26 10:03 . 2009-08-24 22:11 9385791 —-a-w- c:programmeFLV PlayerRCATSetup.exe
2009-08-26 10:00 . 2009-08-24 22:07 21425608 —-a-w- c:programmeFLV PlayerRCSetup.exe
2009-08-26 09:50 . 2007-12-02 12:40 23808 —-a-w- c:dokumente und einstellungenGKLokale EinstellungenAnwendungsdatenGDIPFONTCACHEV1.DAT
2009-08-26 09:50 . 2009-06-12 19:21
d
w- c:programmeCDBurnerXP
2009-08-26 08:48 . 2009-08-26 08:48
d
w- c:programme7-Zip
2009-08-26 08:47 . 2009-08-26 08:47
d
w- c:programmeWinDjView
2009-08-25 07:14 . 2009-08-25 07:14
d
w- c:dokumente und einstellungenGKAnwendungsdatenMail.Ru
2009-08-25 06:48 . 2009-08-25 06:47
d
w- c:dokumente und einstellungenGKAnwendungsdatenMra
2009-08-24 22:06 . 2009-08-24 22:06
d
w- c:programmeFLV Player
2009-08-05 09:05 . 2003-04-02 12:00 206336 —-a-w- c:windowssystem32mswebdvd.dll
2009-07-29 04:48 . 2003-04-02 12:00 119808 —-a-w- c:windowssystem32t2embed.dll
2009-07-29 04:48 . 2003-04-02 12:00 82432 —-a-w- c:windowssystem32fontsub.dll
2009-07-17 18:56 . 2003-04-02 12:00 58880 —-a-w- c:windowssystem32atl.dll
2009-07-13 00:18 . 2007-12-02 12:33 233472
w- c:windowssystem32wmpdxm.dll
2009-07-03 16:55 . 2003-04-02 12:00 915456
w- c:windowssystem32wininet.dll
.
Sigcheck
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:windowsSoftwareDistributionDownloada746b2abbbec3e139e29152ba22decd1winlogon.exe
[-] 2007-12-02 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
[-] 2007-12-02 . 12A682E34CCCC8FCE5B484DACA6CE267 . 521728 . . [5.1.2600.1106] . . c:windows$NtServicePackUninstall$winlogon.exe
[7] 2004-08-03 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:windowsServicePackFilesi386winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-09-23_13.53.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-29 19:49 . 2009-09-29 19:49 16384 c:windowsTempPerflib_Perfdata_bcc.dat
+ 2009-09-23 19:58 . 2009-09-23 19:58 30240 c:windowsInstaller{6AF5CAB9-FD0A-494F-8AA6-784D4B5D06C5}mbsa.exe
+ 2009-03-10 20:18 . 2009-03-10 20:18 970632 c:windowssystem32WgaTray.exe
+ 2009-03-10 20:18 . 2009-03-10 20:18 265096 c:windowssystem32WgaLogon.dll
+ 2009-03-10 20:18 . 2009-03-10 20:18 970632 c:windowssystem32dllcacheWgaTray.exe
+ 2009-03-10 20:18 . 2009-03-10 20:18 265096 c:windowssystem32dllcachewgaLogon.dll
+ 2009-01-20 04:59 . 2008-06-20 07:14 719872 c:windowssystem32devil.dll
+ 2009-01-20 04:58 . 2008-06-20 07:14 308224 c:windowssystem32avisynth.dll
+ 2009-09-23 21:34 . 2009-09-23 21:34 471552 c:windowsReplay Converter 3uninstall.exe
+ 2009-09-23 19:58 . 2009-09-23 19:58 562688 c:windowsInstaller1a9d11b.msi
+ 2009-03-10 20:18 . 2009-03-10 20:18 1482112 c:windowssystem32LegitCheckControl.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{9CB65206-89C4-402c-BA80-02D8C59F9B1D}»= «c:programmeAskTBarSrchAstt1.binA5SRCHAS.DLL» [2007-12-02 57344]
[HKEY_CLASSES_ROOTclsid{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«MSMSGS»=»c:programmeMessengermsmsgs.exe» [2004-08-03 1667584]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»c:windowsSystem32igfxtray.exe» [2006-08-14 98304]
«HotKeysCmds»=»c:windowsSystem32hkcmd.exe» [2006-08-14 114688]
«Persistence»=»c:windowsSystem32igfxpers.exe» [2006-08-14 94208]
«ACU»=»c:programmeAtherosACU.exe» [2007-05-03 376921]
«SynTPEnh»=»c:programmeSynapticsSynTPSynTPEnh.exe» [2006-05-12 774233]
«Power_Gear»=»c:programmeASUSPower4 GearBatteryLife.exe» [2006-07-26 90112]
«ACMON»=»c:programmeASUSSplendidACMON.exe» [2006-05-30 811008]
«ATKHOTKEY»=»c:programmeATK HotkeyHcontrol.exe» [2007-04-19 225280]
«Lingvo Launcher»=»c:programmeABBYY Lingvo 12Lvagent.exe» [2006-12-13 258048]
«LogitechCommunicationsManager»=»c:programmeGemeinsame DateienLogiShrdLComMgrCommunications_Helper.exe» [2007-07-25 563984]
«LogitechQuickCamRibbon»=»c:programmeLogitechQuickCamQuickcam.exe» [2007-07-25 2027792]
«ccApp»=»c:programmeGemeinsame DateienSymantec SharedccApp.exe» [2007-11-09 115560]
«SunJavaUpdateSched»=»c:programmeJavajre6binjusched.exe» [2009-02-18 136600]
«TkBellExe»=»c:programmeGemeinsame DateienRealUpdate_OBrealsched.exe» [2009-02-18 185896]
«Adobe Reader Speed Launcher»=»c:programmeAdobeReader 9.0ReaderReader_sl.exe» [2009-02-27 35696]
«Malwarebytes Anti-Malware (reboot)»=»d:_softwareprofileMalwarebytes’ Anti-Malwarembam.exe» [2009-09-10 1312080]
«Verknupfung mit der High Definition Audio-Eigenschaftenseite»=»HDAShCut.exe» — c:windowssystem32HdAShCut.exe [2005-01-07 61952]
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2004-08-03 15360]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccEvtMgr]
@=»Service»
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccSetMgr]
@=»Service»
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSymantec Antivirus]
@=»Service»
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Programme\Bonjour\mDNSResponder.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpqste08.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpofxm08.exe»=
«c:\Programme\HP\Digital Imaging\bin\hposfx08.exe»=
«c:\Programme\HP\Digital Imaging\bin\hposid01.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpqCopy.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpfccopy.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe»=
«c:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe»=
«c:\Programme\HP\Digital Imaging\bin\hpoews01.exe»=
«c:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe»=
«c:\Programme\Symantec\Symantec Endpoint Protection\SNAC.EXE»=
«c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe»=
«c:\Programme\Skype\Phone\Skype.exe»=
«c:\Programme\Opera\opera.exe»=
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:programmeMcAfeeSiteAdvisorMcSACore.exe [23.09.2009 22:44 210216]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:programmeGemeinsame DateienSymantec SharedEENGINEEraserUtilRebootDrv.sys [01.09.2009 21:16 102448]
R3 WSIMD;wsimd Service;c:windowssystem32driverswsimd.sys [02.12.2007 13:43 57024]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [29.05.2007 14:55 23888]
S3 PLUsbbc2;Hi-Speed USB Bridge Cable Driver;c:windowssystem32driversusbbc2.sys [02.12.2007 15:59 7936]
[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
«c:windowssystem32rundll32.exe» «c:windowssystem32iedkcs32.dll»,BrandIEActiveSetup SIGNUP
.
Contents of the ‘Scheduled Tasks’ folder
2009-09-29 c:windowsTasksUser_Feed_Synchronization-{6BE504F5-B71C-4123-9784-F14D1BD27B5C}.job
— c:windowssystem32msfeedssync.exe [2009-03-08 02:31]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.pravoslavie.ru/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: Nach Microsoft &Excel exportieren — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.
— — — — ORPHANS REMOVED — — — —
HKLM-Run-WinPatrol Russian v.2 — c:programmeBillP StudiosWinPatrolwinpatrol.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-29 22:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Verknьpfung mit der High Definition Audio-Eigenschaftenseite»=»HDAShCut.exe»
[HKEY_LOCAL_MACHINESystemControlSet001Servicesvsdatant]
«ImagePath»=»a»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(4856)
c:programmeMcAfeeSiteAdvisorsaHook.dll
c:programmeABBYY Lingvo 12LvHook.dll
c:windowssystem32msi.dll
c:windowssystem32webcheck.dll
.
Completion time: 2009-09-29 22:36
ComboFix-quarantined-files.txt 2009-09-29 20:36
Pre-Run: 9.687.691.264 Bytes frei
Post-Run: 9.778.065.408 Bytes frei
220 — E O F — 2009-09-28 20:16
Заранее спасибо за ответ
