- This topic has 7 ответов, 2 участника, and was last updated 15 years назад by
.
-
Сообщения
-
Добрый вечер!
Разрешите обратиться к господам корифеям с просьбой о помощи.
Ситуация следующая: 13.10.10 Symantec Endpoint Protection v11.0.6 (со свежими обновлениями) обнаружил на моем буке (Acer Aspire5310, система WinXp Sp3 ver2002), ряд зловредов, выдав следующий отчет:1) setupapi.dll,Backdoor.Sheedash,Заносить в журнал,Файл,C:Program FilesOpera
2) sfcfiles.dll,Backdoor.Sheedash!inf,Заносить в журнал,Файл,C:WINDOWSsystem32
3) AIMICQvi.exe,Trojan.Gen,Помещен в карантин,Файл,D:-=PROGRAMS2QIP8092
4) mixw regdll generator.exe,Trojan Horse,Помещен в карантин,Файл,D:-=PROGRAMS2RADIOSOFTRADIODISTRMixW 2.18
5) DWH52.tmp,Trojan.Gen,Заносить в журнал,Файл,C:Documents and SettingsAdminLocal SettingsTempпрактически сразу система начала резко тормозить, перестала открываться Опера, в IE8 отказался соединять с сайтами антивирусов. после перезагрузки с рабочего стола слетели все ярлыки. работоспособность кое-как удалось восстановить после нескольких перезагрузок.
кроме этого, при запуске блокировались Hijackthis, AVZ, RSIT.
окольными путями удалось скачать CureIT и AVPTool. последний при запуске опять-таки оказался заблокирован, а CureIT по итогам сканирования обнаружил и удалил из автозагрузки троян chkntfs.exe.в общем в итоге удалось воспользоваться прогами ComboFix и DDS, логи которых ниже и прикрепляю.
что можете посоветовать в данной ситуации?UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH ITDDS (Ver_10-10-10.03)
Microsoft Windows XP Professional
Boot Device: DeviceHarddiskVolume2
Install Date: 22.04.2010 14:31:11
System Uptime: 14.10.2010 22:20:36 (0 hours ago)Motherboard: Acer | | Acadia
Processor: Intel(R) Celeron(R) M CPU 520 @ 1.60GHz | U1 | 1596/133mhz==== Disk Partitions =========================
C: is FIXED (NTFS) — 33 GiB total, 23,35 GiB free.
D: is FIXED (NTFS) — 32 GiB total, 4,567 GiB free.
E: is CDROM ()==== Disabled Device Manager Items =============
Class GUID:
Description:
Device ID: ROOTLEGACY_UTU1ODY1000
Manufacturer:
Name:
PNP Device ID: ROOTLEGACY_UTU1ODY1000
Service:Class GUID: {4D36E97D-E325-11CE-BFC1-08002BE10318}
Description: Plug and Play BIOS Extension
Device ID: ROOTSYSTEM003
Manufacturer: (Standard system devices)
Name: Plug and Play BIOS Extension
PNP Device ID: ROOTSYSTEM003
Service: Vax347bClass GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOTWPD000
Manufacturer: Nokia
Name: Nokia 6290
PNP Device ID: ROOTWPD000
Service: WUDFRdClass GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia 3109c
Device ID: ROOTWPD001
Manufacturer: Nokia
Name: Nokia 3109c
PNP Device ID: ROOTWPD001
Service: WUDFRd==== System Restore Points ===================
RP1: 14.10.2010 21:59:54 — Системная контрольная точка
==== Installed Programs ======================
Архиватор WinRAR
Исправление для Windows XP (KB889320-v2)
Исправление для Windows XP (KB922120-v6)
Исправление для Windows XP (KB932716-v2)
Исправление для Windows XP (KB938759)
Исправление для Windows XP (KB942288-v3)
Исправление для Windows XP (KB944043-v3)
Исправление для Windows XP (KB951830)
Исправление для Windows XP (KB952287)
Исправление для Windows XP (KB954708)
Исправление для Windows XP (KB960680-v2)
Исправление для Windows XP (KB961118)
Исправление для Windows XP (KB969084)
Исправление для Windows XP (KB969395)
Исправление для Windows XP (KB971314)
Исправление для Windows XP (KB976098-v2)
Исправление для проигрывателя Windows Media 11 — (KB939683)
µTorrent
Проигрыватель Windows Media 11
Базовый пакет поставщика службы криптографии смарт-карт (Microsoft)
Пакет Windows Feature Pack for Storage (32-разрядный) — обновление IMAPI для Blu-Ray
Пакет драйверов Windows — Nokia Modem (06/01/2009 7.01.0.4)
Пакет драйверов Windows — Nokia Modem (10/05/2009 4.2)
Пакет драйверов Windows — Nokia pccsmcfd (08/22/2008 7.0.0.0)
Ресурсы Windows Mobile
Обновление безопасности для Windows Internet Explorer 8 (KB971961)
Обновление безопасности для Windows Internet Explorer 8 (KB976325)
Обновление безопасности для Windows XP — (KB941569)
Обновление безопасности для Windows XP (KB923561)
Обновление безопасности для Windows XP (KB946648)
Обновление безопасности для Windows XP (KB950762)
Обновление безопасности для Windows XP (KB950974)
Обновление безопасности для Windows XP (KB951066)
Обновление безопасности для Windows XP (KB951376-v2)
Обновление безопасности для Windows XP (KB952004)
Обновление безопасности для Windows XP (KB952954)
Обновление безопасности для Windows XP (KB953155)
Обновление безопасности для Windows XP (KB955417)
Обновление безопасности для Windows XP (KB956572)
Обновление безопасности для Windows XP (KB956744)
Обновление безопасности для Windows XP (KB956802)
Обновление безопасности для Windows XP (KB956844)
Обновление безопасности для Windows XP (KB957097)
Обновление безопасности для Windows XP (KB957579)
Обновление безопасности для Windows XP (KB958644)
Обновление безопасности для Windows XP (KB958687)
Обновление безопасности для Windows XP (KB958869)
Обновление безопасности для Windows XP (KB959426)
Обновление безопасности для Windows XP (KB960803)
Обновление безопасности для Windows XP (KB960859)
Обновление безопасности для Windows XP (KB961371-v2)
Обновление безопасности для Windows XP (KB961501)
Обновление безопасности для Windows XP (KB969059)
Обновление безопасности для Windows XP (KB969947)
Обновление безопасности для Windows XP (KB970238)
Обновление безопасности для Windows XP (KB970430)
Обновление безопасности для Windows XP (KB970483)
Обновление безопасности для Windows XP (KB971486)
Обновление безопасности для Windows XP (KB971557)
Обновление безопасности для Windows XP (KB971633)
Обновление безопасности для Windows XP (KB971657)
Обновление безопасности для Windows XP (KB971961)
Обновление безопасности для Windows XP (KB973354)
Обновление безопасности для Windows XP (KB973507)
Обновление безопасности для Windows XP (KB973525)
Обновление безопасности для Windows XP (KB973869)
Обновление безопасности для Windows XP (KB973904)
Обновление безопасности для Windows XP (KB974112)
Обновление безопасности для Windows XP (KB974318)
Обновление безопасности для Windows XP (KB974392)
Обновление безопасности для Windows XP (KB974571)
Обновление безопасности для Windows XP (KB975025)
Обновление безопасности для Windows XP (KB975254)
Обновление безопасности для Windows XP (KB975467)
Обновление безопасности для проигрывателя Windows Media — (KB952069)
Обновление безопасности для проигрывателя Windows Media — (KB954155)
Обновление безопасности для проигрывателя Windows Media — (KB968816)
Обновление безопасности для проигрывателя Windows Media — (KB973540)
Обновление безопасности для проигрывателя Windows Media 11 — (KB954154)
Обновление для Microsoft Windows (KB971513)
Обновление для Windows Internet Explorer 8 (KB975364)
Обновление для Windows XP (KB898461)
Обновление для Windows XP (KB943729)
Обновление для Windows XP (KB951618-v2)
Обновление для Windows XP (KB951978)
Обновление для Windows XP (KB954920-v2)
Обновление для Windows XP (KB955704)
Обновление для Windows XP (KB955759)
Обновление для Windows XP (KB961503)
Обновление для Windows XP (KB968389)
Обновление для Windows XP (KB971029)
Обновление для Windows XP (KB971737)
Обновление для Windows XP (KB973687)
Обновление для Windows XP (KB973815)
7-Zip 4.65
ABBYY FineReader 8.0 Professional Edition
Adobe AIR
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color — Photoshop Specific
Adobe Color Common Settings
Adobe Color EU Extra Settings
Adobe Color JA Extra Settings
Adobe Color NA Recommended Settings
Adobe Default Language CS3
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Reader 7.0 — Russian
Adobe Setup
Adobe Shockwave Player 11.5
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Advanced Video FX Engine
AkelPad
Alcohol 120%
Application Suite
Cool Edit 2000
Creative Live! Cam Center
Creative Live! Cam Manager
Creative Live! Cam Video IM Pro Driver (1.00.07.0725)
Creative Live! Cam Video IM Pro User’s Guide (English)
Creative Photo Calendar
Creative Photo Manager
Creative Software AutoUpdate
Creative System Information
FastStone Image Viewer 4.0
Foxit Phantom 1.0.2.1123
FsCapture 6.5
Get Yahoo! Messenger
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB928788)
Hotfix for Windows Media Format 11 SDK (KB929773)
Hotfix for Windows Media Format 11 SDK (KB932390)
Hotfix for Windows Media Format 11 SDK (KB933547)
Hotfix for Windows Media Format 11 SDK (KB935551)
Hotfix for Windows Media Format 11 SDK (KB935552)
Hotfix for Windows Media Format 11 SDK (KB939209)
Hotfix for Windows Media Format 11 SDK (KB954069)
Hotfix for Windows Media Format 11 SDK (KB973442)
Hotfix for Windows Media Player 11 (KB935957)
Hotfix for Windows Media Player 11 (KB944882)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB958655-v2)
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 17
jetAudio Basic VX
K-Lite Mega Codec Pack 5.5.1
KMPlayer 2.9.4.1436
LiveUpdate 3.3 (Symantec Corporation)
Macromedia Dreamweaver 8
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft Office — профессиональный выпуск версии 2003
Microsoft User-Mode Driver Framework Feature Pack 1.7
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable — x86 9.0.30729.4148
MSVC80_x86_v2
MSXML 4.0 SP3 Parser (KB973685)
muvee autoProducer 4.1
Nero 6
Nokia Connectivity Cable Driver
Nokia PC Suite
Opera 10.10.1893
Opera 10.63
PartitionMagic
PC Connectivity Solution
PDF Settings
Power Data Recovery 4.1.2
PowerQuest PartitionMagic 8.0
QIP 2010 10.9.29.4196
QIP 8095
QIP Internet Guardian
Quarantine Console
QuickTime
Realtek High Definition Audio Driver
Reg Organizer
Registry Mechanic 10.0
SightSpeed (remove only)
Skype
Skype™ 4.2
Smart Install Maker 5.02
Sony Noise Reduction Plug-In 2.0e
Sony Sound Forge 9.0
Sun VirtualBox
Symantec Endpoint Protection
TeamViewer 5
Total Commander 7.50a
UltraISO Premium (only 32bit) v9.3.5.2716
Uninstall Tool 2.8.1.5023
Unlocker 1.8.8
USB Disk Security 5.3.0.12
uTorrent 1.8.5.17414
Vista Drive Icon
Vista Games 1.3 XP
Vuescan 8.5.40
WebFldrs XP
Winamp
Winamp Essentials Pack
WinDjView 1.0.3
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11==== Event Viewer Messages From Past Week ========
13.10.2010 21:28:17, информация: Windows File Protection [64033] — Не удалось инициализировать защиту файлов Windows. Код ошибки: 0xc00002c4.
==== End Of File ===========================
DDS (Ver_10-10-10.03) — NTFSx86
Run by Admin at 22:44:06,10 on 14.10.2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1014.358 [GMT 4:00]AV: Symantec Endpoint Protection *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}============== Running Processes ===============
C:WINDOWSsystem32svchost -k DcomLaunch
C:WINDOWSsystem32svchost -k rpcss
C:WINDOWSSystem32svchost.exe -k netsvcs
C:WINDOWSsystem32svchost.exe -k WudfServiceGroup
C:Program FilesSymantecSymantec Endpoint ProtectionSmc.exe
C:WINDOWSsystem32svchost.exe -k NetworkService
C:WINDOWSsystem32svchost.exe -k LocalService
C:Program FilesCommon FilesSymantec SharedccSvcHst.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32svchost.exe -k LocalService
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe
C:WINDOWSsystem32svchost.exe -k imgsvc
C:Program FilesSymantecSymantec Endpoint ProtectionRtvscan.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSsystem32igfxsrvc.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesSymantecSymantec Endpoint ProtectionSmcGui.exe
C:Program FilesUSB Disk SecurityUSBGuard.exe
C:Program FilesCreativeCreative Live! CamVideoFXStartFX.exe
C:WINDOWSsystem32V0230Mon.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:Program FilesCreativeCreative Live! CamLive! Cam ManagerCTLCMgr.exe
C:PROGRA~1MICROS~4rapimgr.exe
C:DOCUME~1AdminLOCALS~1TempRtkBtMnt.exe
C:WINDOWSexplorer.exe
C:Program Filesinternet exploreriexplore.exe
C:WINDOWSsystem32ctfmon.exe
C:Program Filesinternet exploreriexplore.exe
C:Program Filesinternet exploreriexplore.exe
C:Program Filesinternet exploreriexplore.exe
C:Program FilesSymantecSymantec Endpoint ProtectionSymCorpUI.exe
C:Program FilesMicrosoft OfficeOFFICE11EXCEL.EXE
C:Program Filesinternet exploreriexplore.exe
D:-=ANTIVIRdds.scr
C:WINDOWSsystem32wbemwmiprvse.exe============== Pseudo HJT Report ===============
uLocal Page = c:windowspchealthhelpctrsystempanelsblank.htm
uStart Page = hxxp://qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
mLocal Page = c:windowspchealthhelpctrsystempanelsblank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uURLSearchHooks: QIPBHO Class: {a55f9c95-2bb1-4ea2-bc77-dfaab78832ce} — c:documents and settingsadminapplication datamicrosoftinternet explorerqipsearchbar.dll
uURLSearchHooks: H — No File
mWinlogon: Userinit=c:windowssystem32userinit.exe,c:windowssystem32hhbnfs.exe,
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} — c:program filesadobeacrobat 7.0activexAcroIEHelper.dll
BHO: QIPBHO Class: {a55f9c95-2bb1-4ea2-bc77-dfaab78832ce} — c:documents and settingsadminapplication datamicrosoftinternet explorerqipsearchbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} — c:program filesjavajre6binjp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} — c:program filesjavajre6libdeployjqsiejqs_plugin.dll
uRun: [VistaIcon] c:program filesvistadriveiconVistaDrv.exe
uRun: [H/PC Connection Agent] «c:program filesmicrosoft activesyncwcescomm.exe»
uRun: [Creative Live! Cam Manager] «c:program filescreativecreative live! camlive! cam managerCTLCMgr.exe»
uRun: [ctfmon.exe] c:windowssystem32ctfmon.exe
mRun: [IgfxTray] c:windowssystem32igfxtray.exe
mRun: [HotKeysCmds] c:windowssystem32hkcmd.exe
mRun: [Persistence] c:windowssystem32igfxpers.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [ccApp] «c:program filescommon filessymantec sharedccApp.exe»
mRun: [USB Antivirus] c:program filesusb disk securityUSBGuard.exe
mRun: [AVFX Engine] c:program filescreativecreative live! camvideofxStartFX.exe
mRun: [V0230Mon.exe] c:windowssystem32V0230Mon.exe
mRun: [QuickTime Task] «c:program filesquicktimeqttask.exe» -atboottime
dRun: [CTFMON.EXE] c:windowssystem32CTFMON.EXE
dRun: [VistaIcon] c:program filesvistadriveiconVistaDrv.exe
dRunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection c:windowsinfcustom.inf,NewUserFirstLogonInstall,0
dRunOnce: [IE8_01] regsvr32 /s /n /i:u shell32
dRunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N
StartupFolder: c:docume~1admin5d29~14a66~160c2~1setup_~1.lnk — c:documents and settingsadminрабочий столvirus removal toolsetup_9.0.0.722_14.10.2010_16-39startup.exe
uPolicies-explorer: NoSMConfigurePrograms = 1 (0x1)
dPolicies-explorer: NoSMConfigurePrograms = 1 (0x1)
IE: &Экспорт в Microsoft Excel — c:progra~1micros~1office11EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} — {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} — c:progra~1micros~4INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} — {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} — c:progra~1micros~4INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} — {FF059E31-CC5A-4E2E-BF3B-96E929D65503} — c:progra~1micros~1office11REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} — hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} — hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} — hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
Handler: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — c:progra~1common~1skypeSKYPE4~1.DLL
Notify: igfxcui — igfxdev.dll
SSODL: WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — c:windowssystem32wpdshserviceobj.dll============= SERVICES / DRIVERS ===============
R0 73847862;73847862 Boot Guard Driver;c:windowssystem32drivers73847862.sys [2010-10-14 37392]
R0 Vax347s;Vax347s;c:windowssystem32driversVax347s.sys [2010-4-22 5248]
R1 73847861;73847861;c:windowssystem32drivers73847861.sys [2010-10-14 128016]
R1 setup_9.0.0.722_14.10.2010_16-39drv;setup_9.0.0.722_14.10.2010_16-39drv;c:windowssystem32drivers7384786.sys [2010-10-14 315408]
R1 VBoxDrv;VirtualBox Service;c:windowssystem32driversVBoxDrv.sys [2010-4-22 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:windowssystem32driversVBoxUSBMon.sys [2010-4-22 41616]
R2 ccEvtMgr;Symantec Event Manager;c:program filescommon filessymantec sharedccSvcHst.exe [2010-1-25 108392]
R2 ccSetMgr;Symantec Settings Manager;c:program filescommon filessymantec sharedccSvcHst.exe [2010-1-25 108392]
R2 StarWindService;StarWind iSCSI Service;c:program filesalcohol softalcohol 120starwindStarWindService.exe [2005-4-2 217600]
R2 Symantec AntiVirus;Symantec Endpoint Protection;c:program filessymantecsymantec endpoint protectionRtvscan.exe [2010-4-23 1831024]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:program filescommon filessymantec sharedeengineEraserUtilRebootDrv.sys [2010-10-1 102448]
R3 NAVENG;NAVENG;c:progra~1common~1symant~1virusd~120101013.039NAVENG.SYS [2010-10-14 86064]
R3 NAVEX15;NAVEX15;c:progra~1common~1symant~1virusd~120101013.039NAVEX15.SYS [2010-10-14 1371184]
R3 V0230Vfx;V0230Vfx;c:windowssystem32driversV0230Vfx.sys [2010-9-23 6272]
R3 V0230VID;Live! Cam Video IM Pro;c:windowssystem32driversV0230VID.sys [2010-9-23 498464]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:windowssystem32driversVBoxNetAdp.sys [2009-11-30 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:windowssystem32driversVBoxNetFlt.sys [2009-11-30 110992]
S3 Ambfilt;Ambfilt;c:windowssystem32driversAmbfilt.sys [2010-4-22 1684736]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [2009-7-14 23888]
S4 Vax347b;Vax347b;c:windowssystem32driversVax347b.sys [2010-4-22 159616]=============== Created Last 30 ================
2010-10-14 18:22:17
d
w- c:program filescommon files247B533Aa
2010-10-14 18:00:45
d-sha-r- C:cmdcons
2010-10-14 17:59:47 77312 —-a-w- c:windowsMBR.exe
2010-10-14 17:59:46 256512 —-a-w- c:windowsPEV.exe
2010-10-14 17:59:46 161792 —-a-w- c:windowsSWREG.exe
2010-10-14 17:59:45 98816 —-a-w- c:windowssed.exe
2010-10-14 17:23:46 37392 —-a-w- c:windowssystem32drivers73847862.sys
2010-10-14 17:23:46 315408 —-a-w- c:windowssystem32drivers7384786.sys
2010-10-14 17:23:46 128016 —-a-w- c:windowssystem32drivers73847861.sys
2010-10-13 17:13:05
d
w- c:program filescommon files247B50C2a
2010-10-13 17:01:40
d
w- c:program filescommon files247b562fa
2010-10-05 18:18:05
d
w- c:docume~1adminapplic~1QIP
2010-10-05 18:17:59
d
w- c:docume~1adminapplic~1QipGuard
2010-10-05 18:17:50 149968 —-a-w- c:docume~1adminapplic~1microsoftinternet explorerqipsearchbar.dll
2010-10-05 18:17:47
d
w- c:program filesQIP 2010
2010-10-02 19:15:27 880640 —-a-w- c:windowssystem32UniBox10.ocx
2010-10-02 19:15:27 37336 —-a-w- c:windowssystem32CleanMFT32.exe
2010-10-02 19:15:27 212992 —-a-w- c:windowssystem32UniBoxVB12.ocx
2010-10-02 19:15:27 1101824 —-a-w- c:windowssystem32UniBox210.ocx
2010-10-02 19:15:24
d
w- c:program filescommon filesPC Tools
2010-10-02 19:10:34
d
w- c:windowssystem32Adobe
2010-09-24 07:45:09
d
w- c:docume~1adminlocals~1applic~1Ahead
2010-09-24 07:41:45 1409 —-a-w- c:windowsQTFont.for
2010-09-23 19:08:29 86016 —-a-w- c:windowsunvise32qt.exe
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin6.dll
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin5.dll
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin4.dll
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin3.dll
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin2.dll
2010-09-23 19:08:27 98304 —-a-w- c:program filesinternet explorerpluginsnpqtplugin.dll
2010-09-23 19:08:01
d
w- c:windowssystem32QuickTime
2010-09-23 19:04:41 7062 —-a-w- c:windowssystem32audiopid.vxd
2010-09-23 19:04:02 41984
w- c:windowsCtregrun.exe
2010-09-23 19:01:57
d
w- c:program filesmuvee Technologies
2010-09-23 19:01:53
d
w- c:program filescommon filesmuvee Technologies
2010-09-23 19:01:26 692224 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32iKernel.dll
2010-09-23 19:01:26 57344 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32ctor.dll
2010-09-23 19:01:26 5632 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32DotNetInstaller.exe
2010-09-23 19:01:26 237568 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32iscript.dll
2010-09-23 19:01:26 155648 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32iuser.dll
2010-09-23 19:01:20 163972 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32iGdi.dll
2010-09-23 19:01:19 282756 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime701intel32setup.dll
2010-09-23 19:00:40
d
w- c:program filesSightSpeed
2010-09-23 18:59:56 306688 —-a-w- c:windowsIsUninst.exe
2010-09-23 18:57:49
d
w- c:program filesCreative
2010-09-23 18:57:18 729088 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32iKernel.dll
2010-09-23 18:57:18 69715 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32ctor.dll
2010-09-23 18:57:18 5632 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32DotNetInstaller.exe
2010-09-23 18:57:18 266240 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32iscript.dll
2010-09-23 18:57:18 192512 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32iuser.dll
2010-09-23 18:57:17 188548 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32iGdi.dll
2010-09-23 18:57:16 311428 —-a-w- c:program filescommon filesinstallshieldprofessionalruntime91intel32setup.dll==================== Find3M ====================
2005-10-04 07:42:58 217088 —-a-w- c:program filesxp-AntiSpy.exe
============= FINISH: 22:44:30,96 ===============
ComboFix 10-10-12.03 — Admin 14.10.2010 22:15:26.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1014.586 [GMT 4:00]
Running from: c:documents and settingsAdminРабочий столComboFix.exe
Command switches used :: c:documents and settingsAdminРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:C.tmp
c:windowssystem32Пузыри.scr
c:windowssystem32mssfc.dll.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_SFC
Service_sfc((((((((((((((((((((((((( Files Created from 2010-09-14 to 2010-10-14 )))))))))))))))))))))))))))))))
.2010-10-14 18:22 . 2010-10-14 18:22
d
w- c:program filesCommon Files247B533Aa
2010-10-14 17:34 . 2010-10-14 17:34
d
w- c:documents and settingsLocalServiceРабочий стол
2010-10-14 17:23 . 2009-10-22 09:54 37392 —-a-w- c:windowssystem32drivers73847862.sys
2010-10-14 17:23 . 2009-10-09 19:31 315408 —-a-w- c:windowssystem32drivers7384786.sys
2010-10-14 17:23 . 2009-09-25 13:59 128016 —-a-w- c:windowssystem32drivers73847861.sys
2010-10-13 17:13 . 2010-10-13 17:13
d
w- c:program filesCommon Files247B50C2a
2010-10-13 17:01 . 2010-10-13 17:01
d
w- c:program filesCommon Files247b562fa
2010-10-13 16:59 . 2010-10-13 16:59
d
w- c:windowsSun
2010-10-07 08:22 . 2010-10-11 05:03
d
w- c:documents and settingsAdminApplication DataskypePM
2010-10-07 08:21 . 2010-10-07 08:21
d
w- c:program filesCommon FilesSkype
2010-10-07 08:21 . 2010-10-07 08:21
d
w- c:documents and settingsAll UsersApplication DataSkype
2010-10-05 18:18 . 2010-10-05 18:18
d
w- c:documents and settingsAdminApplication DataQIP
2010-10-05 18:17 . 2010-10-05 18:17
d
w- c:documents and settingsAdminApplication DataQipGuard
2010-10-05 18:17 . 2010-09-29 11:20 149968 —-a-w- c:documents and settingsAdminApplication DataMicrosoftInternet Explorerqipsearchbar.dll
2010-10-05 18:17 . 2010-10-05 18:17
d
w- c:program filesQIP 2010
2010-10-02 19:15 . 2010-08-05 04:46 37336 —-a-w- c:windowssystem32CleanMFT32.exe
2010-10-02 19:15 . 2008-04-02 11:54 1101824 —-a-w- c:windowssystem32UniBox210.ocx
2010-10-02 19:15 . 2008-04-02 11:53 212992 —-a-w- c:windowssystem32UniBoxVB12.ocx
2010-10-02 19:15 . 2008-04-02 11:53 880640 —-a-w- c:windowssystem32UniBox10.ocx
2010-10-02 19:15 . 2010-10-08 16:45
d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2010-10-02 19:15 . 2010-10-02 19:15
d
w- c:program filesCommon FilesPC Tools
2010-10-02 19:10 . 2010-10-02 19:10
d
w- c:windowssystem32Adobe
2010-10-02 19:07 . 2010-10-02 19:07
d
w- c:program filesCommon FilesAdobe AIR
2010-09-24 07:45 . 2010-09-24 07:45
d
w- c:documents and settingsAdminLocal SettingsApplication DataAhead
2010-09-24 07:41 . 2010-10-14 17:56 1409 —-a-w- c:windowsQTFont.for
2010-09-23 19:13 . 2010-10-12 17:16
d
w- c:documents and settingsAdminApplication DataSkype
2010-09-23 19:11 . 2010-09-23 19:11
d
w- c:documents and settingsAdminApplication DataCreative
2010-09-23 19:08 . 1999-11-10 07:05 86016 —-a-w- c:windowsunvise32qt.exe
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin6.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin5.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin4.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin3.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin2.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin.dll
2010-09-23 19:08 . 2010-09-23 19:08
d
w- c:windowssystem32QuickTime
2010-09-23 19:07 . 2010-09-23 19:08
d
w- c:program filesQuickTime
2010-09-23 19:06 . 2010-09-23 19:08
d
w- c:documents and settingsAll UsersApplication DataQuickTime
2010-09-23 19:04 . 2003-06-12 19:25 7062 —-a-w- c:windowssystem32audiopid.vxd
2010-09-23 19:04 . 1999-10-10 17:00 41984
w- c:windowsCtregrun.exe
2010-09-23 19:01 . 2010-09-23 19:01
d
w- c:program filesmuvee Technologies
2010-09-23 19:01 . 2010-09-23 19:02
d
w- c:program filesCommon Filesmuvee Technologies
2010-09-23 19:01 . 2010-09-23 19:01
d
w- c:documents and settingsAll UsersApplication Datamuvee Technologies
2010-09-23 19:01 . 2002-12-05 10:12 692224 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iKernel.dll
2010-09-23 19:01 . 2002-12-05 10:10 155648 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iuser.dll
2010-09-23 19:01 . 2002-12-02 11:22 5632 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32DotNetInstaller.exe
2010-09-23 19:01 . 2002-12-02 09:33 57344 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32ctor.dll
2010-09-23 19:01 . 2002-12-02 09:33 237568 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iscript.dll
2010-09-23 19:01 . 2010-09-23 19:01 163972 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iGdi.dll
2010-09-23 19:01 . 2010-09-23 19:01 282756 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32setup.dll
2010-09-23 19:00 . 2010-09-23 19:01
d
w- c:program filesSightSpeed
2010-09-23 18:59 . 1998-10-29 12:45 306688 —-a-w- c:windowsIsUninst.exe
2010-09-23 18:57 . 2010-09-23 19:04
d
w- c:program filesCreative
2010-09-23 18:57 . 2003-11-10 14:14 729088 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iKernel.dll
2010-09-23 18:57 . 2003-11-10 14:13 69715 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32ctor.dll
2010-09-23 18:57 . 2003-11-10 14:12 266240 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iscript.dll
2010-09-23 18:57 . 2003-11-10 14:12 192512 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iuser.dll
2010-09-23 18:57 . 2003-11-10 14:11 5632 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32DotNetInstaller.exe
2010-09-23 18:57 . 2010-09-23 18:57 188548 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iGdi.dll
2010-09-23 18:57 . 2010-09-23 18:57 311428 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32setup.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Sigcheck
[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:windowssystem32driverstcpip.sys[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:windowssystem32wuauclt.exe
[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:windowssystem32user32.dll
[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:windowssystem32wininet.dll
[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:windowsexplorer.exe
[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:windowssystem32ctfmon.exe
c:windowsSystem32sfcfiles.dll … is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]
«Creative Live! Cam Manager»=»c:program filesCreativeCreative Live! CamLive! Cam ManagerCTLCMgr.exe» [2006-05-31 143360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-02-28 141848]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-02-28 166424]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-02-28 137752]
«RTHDCPL»=»RTHDCPL.EXE» [2009-10-16 18782720]
«ccApp»=»c:program filesCommon FilesSymantec SharedccApp.exe» [2010-01-25 115560]
«USB Antivirus»=»c:program filesUSB Disk SecurityUSBGuard.exe» [2009-12-19 819200]
«AVFX Engine»=»c:program filesCreativeCreative Live! CamVideoFXStartFX.exe» [2006-06-08 24576]
«V0230Mon.exe»=»c:windowssystem32V0230Mon.exe» [2006-07-19 36961]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2010-09-23 77824][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2009-12-26 30208]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE8_01″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2009-12-26 128512]
«IE8_02″=»advpack.dll» [2009-12-26 128512]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
setup_9.0.0.722_14.10.2010_16-39.lnk — c:documents and settingsAdminђ Ў®зЁ© бв®«Virus Removal Toolsetup_9.0.0.722_14.10.2010_16-39startup.exe [2010-10-14 72208]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
setup_9.0.0.722_14.10.2010_16-39.lnk — c:documents and settingsAdminђ Ў®зЁ© бв®«Virus Removal Toolsetup_9.0.0.722_14.10.2010_16-39startup.exe [2010-10-14 72208]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
setup_9.0.0.722_14.10.2010_16-39.lnk — c:documents and settingsAdminђ Ў®зЁ© бв®«Virus Removal Toolsetup_9.0.0.722_14.10.2010_16-39startup.exe [2010-10-14 72208]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
setup_9.0.0.722_14.10.2010_16-39.lnk — c:documents and settingsAdminђ Ў®зЁ© бв®«Virus Removal Toolsetup_9.0.0.722_14.10.2010_16-39startup.exe [2010-10-14 72208][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
«Userinit»=»c:windowssystem32userinit.exe,c:windowssystem32hhbnfs.exe,»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparameterspersistentroutes]
«69.20.104.0,255.255.255.0,192.168.0.0,1»=»»
«69.57.142.0,255.255.255.0,192.168.0.0,1»=»»
«69.93.226.0,255.255.255.0,192.168.0.0,1»=»»
«70.84.211.0,255.255.255.0,192.168.0.0,1»=»»
«72.232.246.0,255.255.255.0,192.168.0.0,1»=»»
«72.3.254.0,255.255.255.0,192.168.0.0,1»=»»
«72.32.125.0,255.255.255.0,192.168.0.0,1»=»»
«72.32.149.0,255.255.255.0,192.168.0.0,1»=»»
«72.32.70.0,255.255.255.0,192.168.0.0,1»=»»
«74.208.158.0,255.255.255.0,192.168.0.0,1»=»»
«74.208.20.0,255.255.255.0,192.168.0.0,1»=»»
«74.50.0.0,255.255.255.0,192.168.0.0,1»=»»
«74.52.233.0,255.255.255.0,192.168.0.0,1»=»»
«74.55.40.0,255.255.255.0,192.168.0.0,1»=»»
«74.53.201.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.29.0,255.255.255.0,192.168.0.0,1»=»»
«78.108.86.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.82.0,255.255.255.0,192.168.0.0,1»=»»
«78.137.164.0,255.255.255.0,192.168.0.0,1»=»»
«78.47.87.0,255.255.255.0,192.168.0.0,1»=»»
«79.125.5.0,255.255.255.0,192.168.0.0,1»=»»
«80.153.193.0,255.255.255.0,192.168.0.0,1»=»»
«80.190.130.0,255.255.255.0,192.168.0.0,1»=»»
«80.190.154.0,255.255.255.0,192.168.0.0,1»=»»
«80.237.132.0,255.255.255.0,192.168.0.0,1»=»»
«80.86.107.0,255.255.255.0,192.168.0.0,1»=»»
«81.176.66.0,255.255.255.0,192.168.0.0,1»=»»
«81.177.31.0,255.255.255.0,192.168.0.0,1»=»»
«82.117.238.0,255.255.255.0,192.168.0.0,1»=»»
«81.24.35.0,255.255.255.0,192.168.0.0,1»=»»
«82.151.107.0,255.255.255.0,192.168.0.0,1»=»»
«82.98.86.0,255.255.255.0,192.168.0.0,1»=»»
«82.165.103.0,255.255.255.0,192.168.0.0,1»=»»
«83.202.175.0,255.255.255.0,192.168.0.0,1»=»»
«83.222.31.0,255.255.255.0,192.168.0.0,1»=»»
«83.222.23.0,255.255.255.0,192.168.0.0,1»=»»
«83.223.117.0,255.255.255.0,192.168.0.0,1»=»»
«84.40.30.0,255.255.255.0,192.168.0.0,1»=»»
«85.12.57.0,255.255.255.0,192.168.0.0,1»=»»
«85.17.210.0,255.255.255.0,192.168.0.0,1»=»»
«85.214.106.0,255.255.255.0,192.168.0.0,1»=»»
«85.255.19.0,255.255.255.0,192.168.0.0,1»=»»
«85.31.222.0,255.255.255.0,192.168.0.0,1»=»»
«87.106.242.0,255.255.255.0,192.168.0.0,1»=»»
«87.106.254.0,255.255.255.0,192.168.0.0,1»=»»
«87.230.79.0,255.255.255.0,192.168.0.0,1»=»»
«87.242.72.0,255.255.255.0,192.168.0.0,1»=»»
«87.242.74.0,255.255.255.0,192.168.0.0,1»=»»
«87.238.48.0,255.255.255.0,192.168.0.0,1»=»»
«88.221.119.0,255.255.255.0,192.168.0.0,1»=»»
«87.242.79.0,255.255.255.0,192.168.0.0,1»=»»
«89.108.66.0,255.255.255.0,192.168.0.0,1»=»»
«89.111.176.0,255.255.255.0,192.168.0.0,1»=»»
«89.202.149.0,255.255.255.0,192.168.0.0,1»=»»
«89.202.157.0,255.255.255.0,192.168.0.0,1»=»»
«90.156.159.0,255.255.255.0,192.168.0.0,1»=»»
«90.183.101.0,255.255.255.0,192.168.0.0,1»=»»
«91.121.97.0,255.255.255.0,192.168.0.0,1»=»»
«91.199.212.0,255.255.255.0,192.168.0.0,1»=»»
«91.209.196.0,255.255.255.0,192.168.0.0,1»=»»
«92.123.155.0,255.255.255.0,192.168.0.0,1»=»»
«92.53.106.0,255.255.255.0,192.168.0.0,1»=»»
«93.184.71.0,255.255.255.0,192.168.0.0,1»=»»
«94.236.0.0,255.255.255.0,192.168.0.0,1»=»»
«95.140.225.0,255.255.255.0,192.168.0.0,1»=»»
«94.23.206.0,255.255.255.0,192.168.0.0,1»=»»
«93.191.13.0,255.255.255.0,192.168.0.0,1»=»»
«74.55.74.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.185.0,255.255.255.0,192.168.0.0,1»=»»
«174.120.186.0,255.255.255.0,192.168.0.0,1»=»»
«208.43.71.0,255.255.255.0,192.168.0.0,1»=»»
«74.53.70.0,255.255.255.0,192.168.0.0,1»=»»
«74.86.232.0,255.255.255.0,192.168.0.0,1»=»»
«174.133.38.0,255.255.255.0,192.168.0.0,1»=»»
«74.54.139.0,255.255.255.0,192.168.0.0,1»=»»
«174.120.185.0,255.255.255.0,192.168.0.0,1»=»»
«74.54.130.0,255.255.255.0,192.168.0.0,1»=»»
«174.120.184.0,255.255.255.0,192.168.0.0,1»=»»
«74.54.46.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.189.0,255.255.255.0,192.168.0.0,1»=»»
«74.86.125.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.212.0,255.255.255.0,192.168.0.0,1»=»»
«75.125.43.0,255.255.255.0,192.168.0.0,1»=»»
«207.44.254.0,255.255.255.0,192.168.0.0,1»=»»
«83.102.130.0,255.255.255.0,192.168.0.0,1»=»»
«87.242.75.0,255.255.255.0,192.168.0.0,1»=»»
«81.176.67.0,255.255.255.0,192.168.0.0,1»=»»
«212.59.118.0,255.255.255.0,192.168.0.0,1»=»»
«208.43.44.0,255.255.255.0,192.168.0.0,1»=»»
«188.40.74.0,255.255.255.0,192.168.0.0,1»=»»
«74.55.143.0,255.255.255.0,192.168.0.0,1»=»»
«62.67.184.0,255.255.255.0,192.168.0.0,1»=»»
«195.222.17.0,255.255.255.0,192.168.0.0,1»=»»
«81.176.230.0,255.255.255.0,192.168.0.0,1»=»»
«194.67.52.0,255.255.255.0,192.168.0.0,1»=»»
«184.84.67.0,255.255.255.0,192.168.0.0,1»=»»
«80.239.197.0,255.255.255.0,192.168.0.0,1»=»»
«74.125.77.0,255.255.255.0,192.168.0.0,1»=»»
«38.117.98.0,255.255.255.0,192.168.0.0,1»=»»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccEvtMgr]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccSetMgr]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSymantec Antivirus]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаУскоренный запуск Adobe Reader.lnk
backup=c:windowspssУскоренный запуск Adobe Reader.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregH/PC Connection Agent]
2006-11-13 13:21 1289000 —-a-w- c:program filesMicrosoft ActiveSyncwcescomm.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregInfium]
2010-09-29 11:20 5810128 —-a-w- c:program filesQIP 2010qip.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
2006-01-12 11:40 155648 —-a-w- c:windowssystem32NeroCheck.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPC Suite Tray]
2009-11-11 06:57 1451520 —-a-w- c:program filesNokiaNokia PC Suite 7PCSuite.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP Internet Guardian]
2010-09-29 11:20 190928 —-a-w- c:documents and settingsAdminApplication DataQipGuardQipGuard.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«TeamViewer5″=2 (0x2)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\Opera\opera.exe»=
«c:\Program Files\TeamViewer\Version5\TeamViewer.exe»=
«c:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe»=
«c:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
«21504:TCP»= 21504:TCPR0 73847862;73847862 Boot Guard Driver;c:windowssystem32drivers73847862.sys [14.10.2010 21:23 37392]
R0 Vax347s;Vax347s;c:windowssystem32driversVax347s.sys [22.04.2010 16:13 5248]
R1 73847861;73847861;c:windowssystem32drivers73847861.sys [14.10.2010 21:23 128016]
R1 setup_9.0.0.722_14.10.2010_16-39drv;setup_9.0.0.722_14.10.2010_16-39drv;c:windowssystem32drivers7384786.sys [14.10.2010 21:23 315408]
R1 VBoxDrv;VirtualBox Service;c:windowssystem32driversVBoxDrv.sys [22.04.2010 15:05 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:windowssystem32driversVBoxUSBMon.sys [22.04.2010 15:05 41616]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:program filesCommon FilesSymantec SharedEENGINEEraserUtilRebootDrv.sys [01.10.2010 8:12 102448]
R3 V0230Vfx;V0230Vfx;c:windowssystem32driversV0230Vfx.sys [23.09.2010 23:03 6272]
R3 V0230VID;Live! Cam Video IM Pro;c:windowssystem32driversV0230VID.sys [23.09.2010 23:03 498464]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:windowssystem32driversVBoxNetAdp.sys [30.11.2009 12:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:windowssystem32driversVBoxNetFlt.sys [30.11.2009 12:27 110992]
S3 Ambfilt;Ambfilt;c:windowssystem32driversAmbfilt.sys [22.04.2010 18:12 1684736]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [14.07.2009 12:51 23888]
S4 Vax347b;Vax347b;c:windowssystem32driversVax347b.sys [22.04.2010 16:13 159616]— Other Services/Drivers In Memory —
*NewlyCreated* — WUAUSERV
.
Contents of the ‘Scheduled Tasks’ folder2010-10-14 c:windowsTasksRMSchedule.job
— c:program filesRegistry MechanicRegMech.exe [2010-10-02 04:46]
.
.
Supplementary Scan
.
uLocal Page = c:windowspchealthhelpctrSystempanelsblank.htm
uStart Page = hxxp://qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
mLocal Page = c:windowspchealthhelpctrSystempanelsblank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
.
— — — — ORPHANS REMOVED — — — —Toolbar-ITBar7Position — (no file)
Notify-WgaLogon — (no file)
SafeBoot-Symantec Antvirus
MSConfigStartUp-OSSelectorReinstall — c:program filesCommon FilesAcronisAcronis Disk Directoross_reinstall.exe
AddRemove-HashTab 3.0.0 — c:windowssystem32Uninstall.exe.
LOCKED REGISTRY KEYS
[HKEY_USERSS-1-5-21-1214440339-2052111302-1177238915-500SoftwareMicrosoftInternet ExplorerUser Preferences]
@Denied: (2) (Administrator)
«88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,2a,88,de,ee,5a,e7,c5,4b,9a,86,a1,
«2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,13,0f,df,c0,51,ff,48,44,a5,4d,eb,
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1824)
c:windowssystem32cscui.dll— — — — — — — > ‘explorer.exe'(3332)
c:windowssystem32SHDOCVW.dll
c:windowssystem32WININET.dll
c:windowssystem32COMRes.dll
c:windowsSystem32cscui.dll
c:progra~1WINDOW~3wmpband.dll
c:windowssystem32msi.dll
c:windowssystem32wpdshserviceobj.dll
c:windowssystem32webcheck.dll
c:program filesNokiaNokia PC Suite 7PhoneBrowser.dll
c:program filesNokiaNokia PC Suite 7NGSCM.DLL
c:program filesNokiaNokia PC Suite 7LangPhoneBrowser_rus.nlr
c:program filesNokiaNokia PC Suite 7ResourcePhoneBrowser_Nokia.ngr
c:windowssystem32NETSHELL.dll
c:windowssystem32portabledevicetypes.dll
c:windowssystem32portabledeviceapi.dll
.
Other Running Processes
.
c:program filesSymantecSymantec Endpoint ProtectionSmc.exe
c:program filesCommon FilesSymantec SharedccSvcHst.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesAlcohol SoftAlcohol 120StarWindStarWindService.exe
c:program filesSymantecSymantec Endpoint ProtectionRtvscan.exe
c:windowssystem32wscntfy.exe
c:windowssystem32igfxsrvc.exe
c:windowsRTHDCPL.EXE
c:program filesSymantecSymantec Endpoint ProtectionSmcGui.exe
c:progra~1MICROS~4rapimgr.exe
c:docume~1AdminLOCALS~1TempRtkBtMnt.exe
c:\?c:windowssystem32WBEMWMIADAP.EXE
.
**************************************************************************
.
Completion time: 2010-10-14 22:26:41 — machine was rebooted
ComboFix-quarantined-files.txt 2010-10-14 18:26Pre-Run: 24 889 217 024 байт свободно
Post-Run: 25 054 076 928 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(2)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect— — End Of File — — DCF45A4F88D782326F4CFF3C8CA6BCEB
Здравствуйте, добро пожаловать на Spyware-ru форум.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
"Userinit"="c:windowssystem32userinit.exe,"
File::
c:windowssystem32hhbnfs.exeЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Кроме этого.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.
В конце работы программы будет показан лог. Его так же вставьте в ваше следующее сообщение.Здравствуйте, Valeri.
Произвел действия с Combofix. Лог прилагаю ниже.Хочу заметить, что в начале работы Combofix появлялась мелкая табличка с надписью Ошибка!, после нажатия ОК работа продолжалась.
Может быть это происходит ввиду того, что не получается полностью вырубить и выгрузить Symantec? Мне удается только остановить работу всех компонентов (((
Кроме того, провел зачистку компа с помощью DrWeb LiveCD, он обнаружил и удалил два объекта в разделе System Volume Information, зафиксировать название к сожалению не получилось. Но после его работы комп работает по-прежнему неадекватно — блокированы сайты антивирусов, не запускаются HijackThis. AVZ…
Лог от MBAM приложу чуть позже.
Спасибо за внимание )))ComboFix 10-10-16.03 — Admin 17.10.2010 14:56:54.2.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1014.549 [GMT 4:00]
Running from: c:documents and settingsAdminРабочий столComboFix.exe
Command switches used :: c:documents and settingsAdminРабочий столCFScript.txt
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
* Created a new restore pointFILE ::
«c:windowssystem32hhbnfs.exe»
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32hhbnfs.exe
.
((((((((((((((((((((((((( Files Created from 2010-09-17 to 2010-10-17 )))))))))))))))))))))))))))))))
.2010-10-15 17:19 . 2010-10-15 17:19 171520 —-a-w- c:windowssystem32
2010-10-14 18:46 . 2010-10-14 18:46
d
w- c:documents and settingsAdminApplication DataMalwarebytes
2010-10-14 18:45 . 2010-04-29 11:39 38224 —-a-w- c:windowssystem32driversmbamswissarmy.sys
2010-10-14 18:45 . 2010-10-14 18:46
d
w- c:program filesMalwarebytes’ Anti-Malware
2010-10-14 18:45 . 2010-10-14 18:45
d
w- c:documents and settingsAll UsersApplication DataMalwarebytes
2010-10-14 18:45 . 2010-04-29 11:39 20952 —-a-w- c:windowssystem32driversmbam.sys
2010-10-14 17:34 . 2010-10-14 17:34
d
w- c:documents and settingsLocalServiceРабочий стол
2010-10-14 17:23 . 2009-10-22 09:54 37392 —-a-w- c:windowssystem32drivers73847862.sys
2010-10-14 17:23 . 2009-10-09 19:31 315408 —-a-w- c:windowssystem32drivers7384786.sys
2010-10-14 17:23 . 2009-09-25 13:59 128016 —-a-w- c:windowssystem32drivers73847861.sys
2010-10-13 17:13 . 2010-10-13 17:13
d
w- c:program filesCommon Files247B50C2a
2010-10-13 17:01 . 2010-10-13 17:01
d
w- c:program filesCommon Files247b562fa
2010-10-13 16:59 . 2010-10-13 16:59
d
w- c:windowsSun
2010-10-07 08:22 . 2010-10-11 05:03
d
w- c:documents and settingsAdminApplication DataskypePM
2010-10-07 08:21 . 2010-10-07 08:21
d
w- c:program filesCommon FilesSkype
2010-10-07 08:21 . 2010-10-07 08:21
d
w- c:documents and settingsAll UsersApplication DataSkype
2010-10-05 18:18 . 2010-10-05 18:18
d
w- c:documents and settingsAdminApplication DataQIP
2010-10-05 18:17 . 2010-10-05 18:17
d
w- c:documents and settingsAdminApplication DataQipGuard
2010-10-05 18:17 . 2010-09-29 11:20 149968 —-a-w- c:documents and settingsAdminApplication DataMicrosoftInternet Explorerqipsearchbar.dll
2010-10-05 18:17 . 2010-10-05 18:17
d
w- c:program filesQIP 2010
2010-10-02 19:15 . 2010-08-05 04:46 37336 —-a-w- c:windowssystem32CleanMFT32.exe
2010-10-02 19:15 . 2008-04-02 11:54 1101824 —-a-w- c:windowssystem32UniBox210.ocx
2010-10-02 19:15 . 2008-04-02 11:53 212992 —-a-w- c:windowssystem32UniBoxVB12.ocx
2010-10-02 19:15 . 2008-04-02 11:53 880640 —-a-w- c:windowssystem32UniBox10.ocx
2010-10-02 19:15 . 2010-10-15 16:58
d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2010-10-02 19:15 . 2010-10-02 19:15
d
w- c:program filesCommon FilesPC Tools
2010-10-02 19:10 . 2010-10-02 19:10
d
w- c:windowssystem32Adobe
2010-10-02 19:07 . 2010-10-02 19:07
d
w- c:program filesCommon FilesAdobe AIR
2010-09-24 07:45 . 2010-09-24 07:45
d
w- c:documents and settingsAdminLocal SettingsApplication DataAhead
2010-09-24 07:41 . 2010-10-17 10:27 1409 —-a-w- c:windowsQTFont.for
2010-09-23 19:13 . 2010-10-12 17:16
d
w- c:documents and settingsAdminApplication DataSkype
2010-09-23 19:11 . 2010-09-23 19:11
d
w- c:documents and settingsAdminApplication DataCreative
2010-09-23 19:08 . 1999-11-10 07:05 86016 —-a-w- c:windowsunvise32qt.exe
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin6.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin5.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin4.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin3.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin2.dll
2010-09-23 19:08 . 2010-09-23 19:08 98304 —-a-w- c:program filesInternet ExplorerPluginsnpqtplugin.dll
2010-09-23 19:08 . 2010-09-23 19:08
d
w- c:windowssystem32QuickTime
2010-09-23 19:07 . 2010-09-23 19:08
d
w- c:program filesQuickTime
2010-09-23 19:06 . 2010-09-23 19:08
d
w- c:documents and settingsAll UsersApplication DataQuickTime
2010-09-23 19:04 . 2003-06-12 19:25 7062 —-a-w- c:windowssystem32audiopid.vxd
2010-09-23 19:04 . 1999-10-10 17:00 41984
w- c:windowsCtregrun.exe
2010-09-23 19:01 . 2010-09-23 19:01
d
w- c:program filesmuvee Technologies
2010-09-23 19:01 . 2010-09-23 19:02
d
w- c:program filesCommon Filesmuvee Technologies
2010-09-23 19:01 . 2010-09-23 19:01
d
w- c:documents and settingsAll UsersApplication Datamuvee Technologies
2010-09-23 19:01 . 2002-12-05 10:12 692224 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iKernel.dll
2010-09-23 19:01 . 2002-12-05 10:10 155648 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iuser.dll
2010-09-23 19:01 . 2002-12-02 11:22 5632 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32DotNetInstaller.exe
2010-09-23 19:01 . 2002-12-02 09:33 57344 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32ctor.dll
2010-09-23 19:01 . 2002-12-02 09:33 237568 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iscript.dll
2010-09-23 19:01 . 2010-09-23 19:01 163972 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32iGdi.dll
2010-09-23 19:01 . 2010-09-23 19:01 282756 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime701Intel32setup.dll
2010-09-23 19:00 . 2010-09-23 19:01
d
w- c:program filesSightSpeed
2010-09-23 18:59 . 1998-10-29 12:45 306688 —-a-w- c:windowsIsUninst.exe
2010-09-23 18:57 . 2010-09-23 19:04
d
w- c:program filesCreative
2010-09-23 18:57 . 2003-11-10 14:14 729088 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iKernel.dll
2010-09-23 18:57 . 2003-11-10 14:13 69715 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32ctor.dll
2010-09-23 18:57 . 2003-11-10 14:12 266240 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iscript.dll
2010-09-23 18:57 . 2003-11-10 14:12 192512 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iuser.dll
2010-09-23 18:57 . 2003-11-10 14:11 5632 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32DotNetInstaller.exe
2010-09-23 18:57 . 2010-09-23 18:57 188548 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32iGdi.dll
2010-09-23 18:57 . 2010-09-23 18:57 311428 —-a-w- c:program filesCommon FilesInstallShieldProfessionalRunTime91Intel32setup.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Sigcheck
[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:windowssystem32driverstcpip.sys[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:windowssystem32wuauclt.exe
[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:windowssystem32user32.dll
[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:windowssystem32wininet.dll
[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:windowsexplorer.exe
[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:windowssystem32ctfmon.exe
c:windowsSystem32sfcfiles.dll … is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]
«Creative Live! Cam Manager»=»c:program filesCreativeCreative Live! CamLive! Cam ManagerCTLCMgr.exe» [2006-05-31 143360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-02-28 141848]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-02-28 166424]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-02-28 137752]
«RTHDCPL»=»RTHDCPL.EXE» [2009-10-16 18782720]
«ccApp»=»c:program filesCommon FilesSymantec SharedccApp.exe» [2010-01-25 115560]
«USB Antivirus»=»c:program filesUSB Disk SecurityUSBGuard.exe» [2009-12-19 819200]
«AVFX Engine»=»c:program filesCreativeCreative Live! CamVideoFXStartFX.exe» [2006-06-08 24576]
«V0230Mon.exe»=»c:windowssystem32V0230Mon.exe» [2006-07-19 36961]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2010-09-23 77824][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2009-12-26 30208]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE8_01″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2009-12-26 128512]
«IE8_02″=»advpack.dll» [2009-12-26 128512]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
setup_9.0.0.722_14.10.2010_16-39.lnk — c:documents and settingsAdminђ Ў®зЁ© бв®«Virus Removal Toolsetup_9.0.0.722_14.10.2010_16-39startup.exe [2010-10-14 72208][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
«Userinit»=»c:windowssystem32userinit.exe,c:windowssystem32hhbnfs.exe,»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccEvtMgr]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccSetMgr]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSymantec Antivirus]
@=»Service»[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаУскоренный запуск Adobe Reader.lnk
backup=c:windowspssУскоренный запуск Adobe Reader.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregH/PC Connection Agent]
2006-11-13 13:21 1289000 —-a-w- c:program filesMicrosoft ActiveSyncwcescomm.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregInfium]
2010-09-29 11:20 5810128 —-a-w- c:program filesQIP 2010qip.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
2006-01-12 11:40 155648 —-a-w- c:windowssystem32NeroCheck.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPC Suite Tray]
2009-11-11 06:57 1451520 —-a-w- c:program filesNokiaNokia PC Suite 7PCSuite.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP Internet Guardian]
2010-09-29 11:20 190928 —-a-w- c:documents and settingsAdminApplication DataQipGuardQipGuard.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«TeamViewer5″=2 (0x2)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\Opera\opera.exe»=
«c:\Program Files\TeamViewer\Version5\TeamViewer.exe»=
«c:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe»=
«c:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
«21504:TCP»= 21504:TCPR0 73847862;73847862 Boot Guard Driver;c:windowssystem32drivers73847862.sys [14.10.2010 21:23 37392]
R0 Vax347s;Vax347s;c:windowssystem32driversVax347s.sys [22.04.2010 16:13 5248]
R1 73847861;73847861;c:windowssystem32drivers73847861.sys [14.10.2010 21:23 128016]
R1 setup_9.0.0.722_14.10.2010_16-39drv;setup_9.0.0.722_14.10.2010_16-39drv;c:windowssystem32drivers7384786.sys [14.10.2010 21:23 315408]
R1 VBoxDrv;VirtualBox Service;c:windowssystem32driversVBoxDrv.sys [22.04.2010 15:05 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:windowssystem32driversVBoxUSBMon.sys [22.04.2010 15:05 41616]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:program filesCommon FilesSymantec SharedEENGINEEraserUtilRebootDrv.sys [01.10.2010 8:12 102448]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:windowssystem32driversVBoxNetAdp.sys [30.11.2009 12:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:windowssystem32driversVBoxNetFlt.sys [30.11.2009 12:27 110992]
S3 Ambfilt;Ambfilt;c:windowssystem32driversAmbfilt.sys [22.04.2010 18:12 1684736]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [14.07.2009 12:51 23888]
S3 V0230Vfx;V0230Vfx;c:windowssystem32driversV0230Vfx.sys [23.09.2010 23:03 6272]
S3 V0230VID;Live! Cam Video IM Pro;c:windowssystem32driversV0230VID.sys [23.09.2010 23:03 498464]
S4 Vax347b;Vax347b;c:windowssystem32driversVax347b.sys [22.04.2010 16:13 159616]
.
Contents of the ‘Scheduled Tasks’ folder2010-10-15 c:windowsTasksRMSchedule.job
— c:program filesRegistry MechanicRegMech.exe [2010-10-02 04:46]
.
.
Supplementary Scan
.
uLocal Page = c:windowspchealthhelpctrSystempanelsblank.htm
uStart Page = hxxp://www.yandex.ru/
uDefault_Search_URL = hxxp://search.qip.ru
mLocal Page = c:windowspchealthhelpctrSystempanelsblank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
.
— — — — ORPHANS REMOVED — — — —Toolbar-ITBar7Position — (no file)
SafeBoot-Wdf01000.sys.
LOCKED REGISTRY KEYS
[HKEY_USERSS-1-5-21-1214440339-2052111302-1177238915-500SoftwareMicrosoftInternet ExplorerUser Preferences]
@Denied: (2) (Administrator)
«88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,2a,88,de,ee,5a,e7,c5,4b,9a,86,a1,
«2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,13,0f,df,c0,51,ff,48,44,a5,4d,eb,
«6256FFB019F8FDFBD36745B06F4540E9AEAF222A25″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,2a,88,de,ee,5a,e7,c5,4b,9a,86,a1,
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1816)
c:windowssystem32cscui.dll
.
Completion time: 2010-10-17 15:03:50
ComboFix-quarantined-files.txt 2010-10-17 11:03Pre-Run: 25 021 001 728 байт свободно
Post-Run: 25 024 380 928 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(2)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect— — End Of File — — F2DD3F542AEDE74811F2990CE080EC56
Malwarebytes’ Anti-Malware 1.46
http://www.malwarebytes.orgВерсия базы данных: 4824
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.1870217.10.2010 17:12:47
mbam-log-2010-10-17 (17-12-47).txtТип сканирования: Полное сканирование (C:|)
Просканированные объекты: 187146
Времени прошло: 42 минут, 3 секундЗараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 2Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)Зараженные модули в памяти:
(Вредоносных программ не обнаружено)Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)Объекты реестра заражены:
(Вредоносных программ не обнаружено)Зараженные папки:
(Вредоносных программ не обнаружено)Зараженные файлы:
C:Program FilesTotal CommanderPluginsarcDefault.sfx (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:Program FilesTotal CommanderUtilitesSFX ToolUpack.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
- Для ответа в этой теме необходимо авторизоваться.
