Avast обнаружил Троян!!!

[Nbuhfif]

Здравствуйте.Хотела бы обратиться к вам за помощью. Каждый раз при загрузке компа Avast выдает информацию о заражении файла C:windowssystem32wingolon.exe трояном. ничего с ним сделать не удается, т.к. файл закрыт от каких-либо действий. ПОМОГИТЕ(((комп нач работать только с 3-4 перезагрузки, а так виснет. Заранее спасибо.

[Аноним]

Здравствуйте. Вполне вероятно, что это ложное детектирование Avast. Обновите антивирусные базы Аваста. Но всёже думаю будет не лишним посмотреть на систему более подробно.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Nbuhfif]

Спасибо.Вот, что у меня получилось:

Logfile of random’s system information tool 1.06 (written by random/random)
Run by Майя at 2009-09-16 00:30:37
Microsoft Windows XP Professional
System drive C: has 15 GB (26%) free of 59 GB
Total RAM: 255 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:31:45, on 16.09.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSSystem32oodag.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32oodtray.exe
C:Program FilesQIP Infiuminfium.exe
C:Program FilesOperaopera.exe
C:Documents and SettingsМайяРабочий столRSIT.exe
C:Program Filestrend microМайя.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = start.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: QIPBHO Class — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsМайяApplication DataMicrosoftInternet Explorerqipsearchbar.dll
R3 — URLSearchHook: (no name) — {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} — (no file)
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — (no file)
R3 — URLSearchHook: (no name) — {00A6FAF6-072E-44cf-8957-5838F569A31D} — (no file)
R3 — URLSearchHook: (no name) — — (no file)
O2 — BHO: AcroIEHelperStub — {18DF081C-E8AD-4283-A596-FA578C2EBDC3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 — BHO: Winamp Toolbar Loader — {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} — (no file)
O2 — BHO: MultiShop v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1MULTIS~1.DLL
O2 — BHO: QIPBHO — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsМайяApplication DataMicrosoftInternet Explorerqipsearchbar.dll
O2 — BHO: XBTBPos00 — {FCBCCB87-9224-4B8D-B117-F56D924BEB18} — C:Program FilesPivim Multibarpivim.dll
O3 — Toolbar: &Радио — {8E718888-423F-11D2-876E-00A0C9082467} — C:WINDOWSSystem32msdxm.ocx
O3 — Toolbar: (no name) — {468CD8A9-7C25-45FA-969E-3D925C689DC4} — (no file)
O3 — Toolbar: (no name) — {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} — (no file)
O3 — Toolbar: Pivim Multibar — {1BB22D38-A411-4B13-A746-C2A4F4EC7344} — C:Program FilesPivim Multibarpivim.dll
O4 — HKLM..Run: [OODefragTray] C:WINDOWSSystem32oodtray.exe
O4 — HKLM..Run: [UnlockerAssistant] «C:Program FilesUnlockerUnlockerAssistant.exe»
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O8 — Extra context menu item: &Search — http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCman000
O8 — Extra context menu item: &Winamp Search — C:Documents and SettingsAll UsersApplication DataWinamp ToolbarieToolbarresourcesen-USlocalsearch.html
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Найти с помощью Рамблера — res://C:Program FilesRambler AssistantramblertoolbarU0.dll/search.htm
O8 — Extra context menu item: Опубликовать в Дневнике — res://C:Program FilesRambler AssistantramblertoolbarU0.dll/planet.htm
O8 — Extra context menu item: Перевести с помощью словарей Рамблера — res://C:Program FilesRambler AssistantramblertoolbarU0.dll/dic.htm
O9 — Extra button: MultiShop v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1MULTIS~1.DLL
O9 — Extra ‘Tools’ menuitem: MultiShop v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1MULTIS~1.DLL
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Related — {c95fe080-8f5d-11d2-a20b-00aa003c157a} — C:WINDOWSwebrelated.htm
O9 — Extra ‘Tools’ menuitem: Show &Related Links — {c95fe080-8f5d-11d2-a20b-00aa003c157a} — C:WINDOWSwebrelated.htm
O17 — HKLMSystemCCSServicesTcpip..{89E41841-25B0-4E93-B241-390EA08B6571}: NameServer = 213.248.1.6 213.248.0.6
O20 — Winlogon Notify: ctlsys — ctlsys.dll (file missing)
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSSystem32Ati2evxx.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSSystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSSystem32mnmsrvc.exe
O23 — Service: Служба сетевого DDE (NetDDE) — Корпорация Майкрософт — C:WINDOWSsystem32netdde.exe
O23 — Service: Диспетчер сетевого DDE (NetDDEdsdm) — Корпорация Майкрософт — C:WINDOWSsystem32netdde.exe
O23 — Service: O&O Defrag — O&O Software GmbH — C:WINDOWSSystem32oodag.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Модуль поддержки смарт-карт (SCardDrv) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) — Protection Technology (StarForce) — C:WINDOWSsystem32sfrem01.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Telnet (TlntSvr) — Корпорация Майкрософт — C:WINDOWSSystem32tlntsvr.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSSystem32wbemwmiapsrv.exe

—
End of file — 6835 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{39AA6D29-4236-4F25-A36A-3410EF5283D9}]
MultiShop v2.0 — C:PROGRA~1PIVIMM~1MULTIS~1.DLL [2009-08-25 830976]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{95289393-33EA-4F8D-B952-483415B9C955}]
QIPBHO Class — C:Documents and SettingsМайяApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2009-02-12 119808]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
XBTBPos00 Class — C:Program FilesPivim Multibarpivim.dll [2009-07-09 2175488]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{8E718888-423F-11D2-876E-00A0C9082467} — &Радио — C:WINDOWSSystem32msdxm.ocx [2001-10-20 845340]
{468CD8A9-7C25-45FA-969E-3D925C689DC4}
{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}
{1BB22D38-A411-4B13-A746-C2A4F4EC7344} — Pivim Multibar — C:Program FilesPivim Multibarpivim.dll [2009-07-09 2175488]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«OODefragTray»=C:WINDOWSSystem32oodtray.exe [2009-04-08 2553088]
«UnlockerAssistant»=C:Program FilesUnlockerUnlockerAssistant.exe []

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«NOD32krn»=2
«avast! Web Scanner»=3
«avast! Mail Scanner»=3
«avast! Antivirus»=2
«aswUpdSv»=2

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2005-02-22 61440]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyctlsys]
ctlsys.dll []

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
«authentication packages»=msv1_0
C:WINDOWSSystem32yayyXpQI

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkUploadMgr]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]

======List of files/folders created in the last 1 months======

2009-09-16 00:30:40 —-D—- C:Program Filestrend micro
2009-09-16 00:30:37 —-D—- C:rsit
2009-09-14 13:08:29 —-A—- C:WINDOWSntbtlog.txt
2009-09-07 18:07:36 —-D—- C:Program FilesCCleaner
2009-09-07 18:05:44 —-D—- C:Program FilesPivim Multibar
2009-09-07 17:40:07 —-D—- C:WINDOWSSystem32oodag
2009-09-07 17:30:23 —-D—- C:Program FilesOO Software
2009-08-29 10:49:09 —-D—- C:Documents and SettingsМайяApplication DataDesktopicon
2009-08-29 10:07:11 —-D—- C:WINDOWSpss
2009-08-29 09:29:01 —-D—- C:Documents and SettingsМайяApplication DataAuslogics
2009-08-29 09:28:51 —-D—- C:Program FilesAuslogics
2009-08-29 09:16:50 —-A—- C:WINDOWSwincmd.ini

======List of files/folders modified in the last 1 months======

2009-09-16 00:30:44 —-D—- C:WINDOWSPrefetch
2009-09-16 00:30:40 —-RD—- C:Program Files
2009-09-15 22:47:59 —-D—- C:WINDOWSDebug
2009-09-14 17:08:38 —-A—- C:WINDOWSSchedLgU.Txt
2009-09-14 13:34:50 —-SH—- C:boot.ini
2009-09-14 13:34:50 —-A—- C:WINDOWSwin.ini
2009-09-14 13:34:50 —-A—- C:WINDOWSsystem.ini
2009-09-14 13:33:02 —-D—- C:WINDOWS
2009-09-14 13:11:48 —-SHD—- C:RECYCLER
2009-09-14 13:04:55 —-D—- C:WINDOWSTemp
2009-09-14 12:53:25 —-D—- C:WINDOWSsystem32
2009-09-14 12:53:20 —-D—- C:WINDOWSSystem32drivers
2009-09-14 11:57:32 —-D—- C:WINDOWSSystem32CatRoot2
2009-09-12 15:05:08 —-D—- C:WINDOWSMinidump
2009-09-10 20:12:33 —-D—- C:Program FilesMozilla Firefox
2009-09-09 20:34:23 —-A—- C:WINDOWSNeroDigital.ini
2009-09-07 17:52:53 —-D—- C:WINDOWSMedia
2009-09-07 17:30:53 —-SHD—- C:WINDOWSInstaller
2009-09-07 17:30:52 —-SHD—- C:Config.Msi
2009-08-29 10:14:51 —-D—- C:Program FilesESET
2009-08-17 10:57:37 —-D—- C:Documents and SettingsAll UsersApplication DataAlawarWrapper

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 prodrv06;StarForce Protection Environment Driver v6; C:WINDOWSSystem32driversprodrv06.sys [2003-04-28 50816]
R2 DgiVecp;DgiVecp; ??C:WINDOWSSystem32DriversDgiVecp.sys []
R2 irda;ИК-протокол IrDA; C:WINDOWSSystem32DRIVERSirda.sys [2001-08-17 55296]
R3 ati2mtag;ati2mtag; C:WINDOWSSystem32DRIVERSati2mtag.sys [2005-02-22 986624]
R3 cmuda;C-Media WDM Audio Interface; C:WINDOWSsystem32driverscmuda.sys [2003-09-19 754624]
R3 HidUsb;Драйвер класса HID Microsoft; C:WINDOWSSystem32DRIVERShidusb.sys [2001-08-17 9600]
R3 mouhid;Драйвер мыши HID; C:WINDOWSSystem32DRIVERSmouhid.sys [2001-10-19 12160]
R3 Rasirda;Минипорт WAN (IrDA); C:WINDOWSSystem32DRIVERSrasirda.sys [2001-08-17 19584]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSSystem32DRIVERSRTL8139.SYS [2001-08-17 23070]
R3 usbhub;USB2 концентратор; C:WINDOWSSystem32DRIVERSusbhub.sys [2001-10-20 50688]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSSystem32DRIVERSusbohci.sys [2001-10-20 15616]
R3 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2001-10-20 12032]
S2 AMON;AMON; ??C:WINDOWSSystem32driversamon.sys []
S2 SSPORT;SSPORT; ??C:WINDOWSSystem32DriversSSPORT.sys []
S3 aynb3p67;aynb3p67; C:WINDOWSSystem32driversaynb3p67.sys []
S3 MSIRCOMM;Microsoft IR Communications Driver; C:WINDOWSSystem32DRIVERSMSIRCOMM.sys [2001-08-17 20096]
S3 STIrUsb;SigmaTel USB-IrDA Dongle; C:WINDOWSSystem32DRIVERSirstusb.sys [2001-08-17 26624]
S3 usbaudio;Аудио драйвер USB (WDM); C:WINDOWSsystem32driversusbaudio.sys [2001-08-17 56448]
S3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSSystem32DRIVERSusbccgp.sys [2001-08-17 24960]
S3 usbprint;Класс принтеров Microsoft USB; C:WINDOWSSystem32DRIVERSusbprint.sys [2001-08-17 24832]
S3 usbscan;Драйвер USB-сканера; C:WINDOWSSystem32DRIVERSusbscan.sys [2001-08-17 13824]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSSystem32DRIVERSUSBSTOR.SYS [2001-08-17 21760]
S4 IntelIde;IntelIde; C:WINDOWSSystem32driversIntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSSystem32Ati2evxx.exe [2005-02-22 352256]
R2 Irmon;Монитор инфракрасной связи; C:WINDOWSSystem32svchost.exe [2001-10-20 12800]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-19 322120]
R2 O&O Defrag;O&O Defrag; C:WINDOWSSystem32oodag.exe [2009-04-08 1377536]
R2 UMWdf;Windows User Mode Driver Framework; C:WINDOWSSystem32wdfmgr.exe [2005-01-28 38912]
S2 sfrem01;SF FrontLine Drivers Auto Removal (v1); C:WINDOWSsystem32sfrem01.exe [2006-05-10 353912]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S4 NBService;NBService; C:Program FilesNeroNero 7Nero BackItUpNBService.exe [2006-08-08 208896]

---

EOF

---

[Nbuhfif]

Следующий:

info.txt logfile of random’s system information tool 1.06 2009-09-16 00:31:50

======Uninstall list======

—>C:Program FilesNeroNero 7nerouninstallUNNERO.exe /UNINSTALL
—>C:WINDOWSUNNeroBackItUp.exe /UNINSTALL
—>C:WINDOWSUNNeroMediaHome.exe /UNINSTALL
—>C:WINDOWSUNNeroShowTime.exe /UNINSTALL
—>C:WINDOWSUNNeroVision.exe /UNINSTALL
—>C:WINDOWSUNRecode.exe /UNINSTALL
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
10-ое издание Chessmaster—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{DB2D9315-1AE3-4AF4-BF4F-98100C621BCE}setup.exe»
ACE Mega CoDecS Pack—>»C:Program FilesACE Mega CoDecS Packunins000.exe»
Acrobat.com—>MsiExec.exe /X{287ECFA4-719A-2143-A09B-D6A12DE54E40}
Adobe AIR—>C:Program FilesCommon FilesAdobe AIRVersions1.0ResourcesAdobe AIR Updater.exe -arp:uninstall
Adobe AIR—>MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Reader 9.1—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A91000000001}
ATI Display Driver—>rundll32 C:WINDOWSSystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Barkanoid 2—>»C:Program FilesBarkanoid 2unins000.exe»
BPS Spyware Remover 9.4.0.8—>»C:Program FilesBPS Removerunins000.exe»
CCleaner (remove only)—>»C:Program FilesCCleaneruninst.exe»
C-Media 3D Audio—>C:WINDOWSCMIUnInstall.exe
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Office FrontPage 2003—>MsiExec.exe /I{90170419-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (3.0.13)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
Nero 7 Ultra Edition—>MsiExec.exe /I{38E0C491-5230-4373-B62E-F1A6E94B1049}
O&O Defrag Professional—>MsiExec.exe /I{F530581E-12FE-43B4-A28D-E5257AAD63E6}
Opera 9.64—>MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Pivim Multibar—>C:Program FilesPivim Multibaruninstall.exe
PowerDVD—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}Setup.exe» -uninstall
Readiris Pro 10—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{14D08502-FEE4-40E5-90D3-8A967A1D8BA2}setup.exe» -l0x9
Samsung SCX-4200 Series—>C:Program FilesSAMSUNGSamsung SCX-4200 SeriesInstallSetup.exe /R
SmarThru 4—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{90F1943D-EA4A-4460-B59F-30023F3BA69A}Setup.exe» -l0x19 uninstall -l0019
Winamp—>»C:WinampUninstWA.exe»
Windows Installer 3.1 (KB893803)—>»C:WINDOWS$MSI31Uninstall_KB893803v2$spuninstspuninst.exe»
Windows Media Format Runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
За 80 дней вокруг света—>C:Program FilesAlawar.ruЗа 80 дней вокруг светаUninstall.exe
Пазлы. Платиновая коллекция—>C:Program FilesAlawar.ruПазлы. Платиновая коллекцияUninstall.exe
Соло на Клавиатуре 8.1—>»C:Program FilesSolo8Uninstall.exe» «C:Program FilesSolo8install.log»

======System event log======

Computer Name: OQ8G42UORODO0XJ
Event Code: 7000
Message: Сбой при запуске службы «AMON» из-за ошибки
Не удается найти указанный файл.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090817103443.000000+240
Event Type: ошибка
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 7000
Message: Сбой при запуске службы «avast! Antivirus» из-за ошибки
Служба не ответила на запрос своевременно.

Record Number: 4
Source Name: Service Control Manager
Time Written: 20090817103443.000000+240
Event Type: ошибка
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 7009
Message: Таймаут (30000 мс) ожидания для подключения службы avast! Antivirus.

Record Number: 3
Source Name: Service Control Manager
Time Written: 20090817103443.000000+240
Event Type: ошибка
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 6005
Message: Запущена служба журнала событий.

Record Number: 2
Source Name: EventLog
Time Written: 20090817103303.000000+240
Event Type: информация
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090817103303.000000+240
Event Type: информация
User:

=====Application event log=====

Computer Name: OQ8G42UORODO0XJ
Event Code: 2001
Message: Служба EAPOL успешно запущена

Record Number: 252
Source Name: EAPOL
Time Written: 20051105194536.000000+180
Event Type: информация
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 2001
Message: Служба EAPOL успешно запущена

Record Number: 251
Source Name: EAPOL
Time Written: 20051105124924.000000+180
Event Type: информация
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 2001
Message: Служба EAPOL успешно запущена

Record Number: 250
Source Name: EAPOL
Time Written: 20051104100833.000000+180
Event Type: информация
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 2001
Message: Служба EAPOL успешно запущена

Record Number: 249
Source Name: EAPOL
Time Written: 20051102180605.000000+180
Event Type: информация
User:

Computer Name: OQ8G42UORODO0XJ
Event Code: 2001
Message: Служба EAPOL успешно запущена

Record Number: 248
Source Name: EAPOL
Time Written: 20051102112458.000000+180
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 2 Stepping 9, GenuineIntel
«PROCESSOR_REVISION»=0209
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

---

EOF

---

[Nbuhfif]

Хочу еще добавить, что я попробовала удалить AVAST. Комп загружается, но я боюсь, что в нем есть вирус. сейч без антивируса.может посоветуете, как поступить?

[Admin]

Здравствуйте.
Компьютер действительно заражён вирусом.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Nbuhfif]

Валери,извините, что долго не отвечала. Сможете ли вы мне помочь дальше 😥 вот логин, который у меня получился:

ComboFix 09-10-19.04 — Майя 20.10.2009 21:51.1.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1251.7.1049.18.255.96 [GMT 4:00]
Running from: c:documents and settingsМайяРабочий столComboFix.exe
Command switches used :: c:documents and settingsМайяРабочий столWinXP_EN_PRO_BF.EXE
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsМайяМои документыВерусяАэрографияКартинкиdragonsDesktop_.ini
c:documents and settingsAll UsersДокументыМои рисункиdragonsDesktop_.ini
c:program filesInternet Explorermsimg32.dll
c:recyclerS-1-5-21-1482476501-1644491937-682003330-1013
c:windowsInstallerde465.msi
c:windowssystem32aecrdqck.ini
c:windowssystem32ajnsciyv.ini
c:windowssystem32alurjwpe.ini
c:windowssystem32anmbsild.ini
c:windowssystem32axftjvqh.ini
c:windowssystem32bcejgmyt.ini
c:windowssystem32bkptshht.ini
c:windowssystem32cicwnubv.ini
c:windowssystem32cstpdkhr.ini
c:windowssystem32dblrjbjc.ini
c:windowssystem32dctgljfx.ini
c:windowssystem32dicotikk.ini
c:windowssystem32ecluprbk.ini
c:windowssystem32eiulwqoi.ini
c:windowssystem32f3PSSavr.scr
c:windowssystem32fkbwucqb.ini
c:windowssystem32fmnobade.ini
c:windowssystem32fnmlsjle.ini
c:windowssystem32fqceavus.ini
c:windowssystem32ghnexmjk.ini
c:windowssystem32ghucrmrk.ini
c:windowssystem32gojvjqvs.ini
c:windowssystem32gteaoewp.ini
c:windowssystem32gwbqgard.ini
c:windowssystem32hbbkninn.ini
c:windowssystem32hhtgritb.ini
c:windowssystem32hnqtyivq.ini
c:windowssystem32hrigcwop.ini
c:windowssystem32husbyudm.ini
c:windowssystem32i
c:windowssystem32ieuinit.inf
c:windowssystem32igovaogp.ini
c:windowssystem32iilocucw.ini
c:windowssystem32IQpXyyay.ini
c:windowssystem32IQpXyyay.ini2
c:windowssystem32jtxsyvvm.ini
c:windowssystem32kpigcyos.ini
c:windowssystem32lxcmcvoy.ini
c:windowssystem32mcrh.tmp
c:windowssystem32mfgpejup.ini
c:windowssystem32mqjqyrxu.ini
c:windowssystem32oouylwec.ini
c:windowssystem32ormhdraj.ini
c:windowssystem32powjvdho.ini
c:windowssystem32pxjolnkp.ini
c:windowssystem32pxnuouuw.ini
c:windowssystem32qvknmign.ini
c:windowssystem32rfcynqka.ini
c:windowssystem32rytheuoj.ini
c:windowssystem32silhkeaw.ini
c:windowssystem32syfuuvex.ini
c:windowssystem32tmhvfvey.ini
c:windowssystem32tpfdqdjk.ini
c:windowssystem32urgtvwvt.ini
c:windowssystem32urmyobvk.ini
c:windowssystem32vtyshvup.ini
c:windowssystem32wocsxbhp.ini
c:windowssystem32wpdtvkop.ini
c:windowssystem32xafytdim.ini
c:windowssystem32xaoelqpm.ini
c:windowssystem32xjoeppsv.ini
c:windowssystem32xrcjbfpu.ini
c:windowssystem32xrprvtwm.ini
c:windowssystem32yepmhofy.ini

c:windowssystem32qmgr.dll . . . is infected!!

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_Irmon

---

Service_Irmon

((((((((((((((((((((((((( Files Created from 2009-09-20 to 2009-10-20 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 20:31 . 2009-09-15 20:30

---

d

---

w- c:program filestrend micro
2009-09-07 14:14 . 2009-09-07 14:07

---

d

---

w- c:program filesCCleaner
2009-09-07 14:05 . 2009-09-07 14:05

---

d

---

w- c:program filesPivim Multibar
2009-09-07 13:40 . 2009-09-07 13:30

---

d

---

w- c:program filesOO Software
2009-09-07 13:26 . 2009-08-29 05:28

---

d

---

w- c:program filesAuslogics
2009-08-29 06:14 . 2008-02-17 12:10

---

d

---

w- c:program filesESET
2007-01-31 07:51 . 2005-12-30 06:14 40960 —sha-w- c:program filesThumbs.db
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{39AA6D29-4236-4F25-A36A-3410EF5283D9}]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«NOD32krn»=2 (0x2)
«avast! Web Scanner»=3 (0x3)
«avast! Mail Scanner»=3 (0x3)
«avast! Antivirus»=2 (0x2)
«aswUpdSv»=2 (0x2)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001

S2 SSPORT;SSPORT;??c:windowsSystem32DriversSSPORT.sys —> c:windowsSystem32DriversSSPORT.sys [?]
.
.

---

Supplementary Scan

---

.
uStart Page = start.qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Search — http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCman000
IE: &Winamp Search — c:documents and settingsAll UsersApplication DataWinamp ToolbarieToolbarresourcesen-USlocalsearch.html
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/search.htm
IE: Опубликовать в Дневнике — c:program filesRambler AssistantramblertoolbarU0.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/dic.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} — %SystemRoot%webrelated.htm
IE: {{39AA6D29-4236-4F25-A36A-3410EF5283D9} — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — c:progra~1PIVIMM~1MULTIS~1.DLL
LSP: c:windowsSystem32imon.dll
TCP: {89E41841-25B0-4E93-B241-390EA08B6571} = 213.248.1.6 213.248.0.6
FF — ProfilePath — c:documents and settingsМайяApplication DataMozillaFirefoxProfilesa4aqz306.default
FF — prefs.js: browser.search.defaulturl — hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF — prefs.js: browser.search.selectedEngine — Winamp Search
FF — prefs.js: browser.startup.homepage — http://www.yandex.ru
FF — prefs.js: keyword.URL — hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF — component: c:documents and settingsМайяApplication DataMozillaFirefoxProfilesa4aqz306.defaultextensions{0b38152b-1b20-484d-a11f-5e04a9b0661f}componentsWinampTBPlayer.dll
FF — plugin: c:program filesOperaprogrampluginsnppdf32.dll
.
— — — — ORPHANS REMOVED — — — —

URLSearchHooks-{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} — (no file)
HKLM-Run-UnlockerAssistant — c:program filesUnlockerUnlockerAssistant.exe
Notify-ctlsys — ctlsys.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 22:00
Windows 5.1.2600 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

LOCKED REGISTRY KEYS

---

[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionSystem*]
«OODEFRAG11.00.00.01WORKSTATION»=»7397C88F4AD0259AAEDC6BBB4B80C0747D271A80923697CBA193C247E332B688A63C70634DADD078F2740C6C9F661BB1ACA2DC273D38FEF9EF9B65F6B2491B4CCF9C8B6629421262B0C590411D9AAC5864B15AB370714B53281A078740FAA1C9E102DE6719F6CC49368185B56DBF325971908273625EAB6BB4F09EB6723C8FD40199073250DA7BDF08BDC9C92E9A776C53DC1CB7409B631833E8F4C99E243D040A72719EF39BAB9FDE7311037116E007BE18BFFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452FEBC9E127BECC74CC038D530D6EB34521E201CEF81B0086EF94F0A714A56DCC5EC9718AF99864A822A621392C8785E569C738F38E5D1B1D846E3794E1787BE95A1EA294B04933F629B7C8F665578A30798B773EEC81890360B21B7E5C754F75898AE39769A07B4205327373025C5BFF67EC9CE1A38F3F531E45105926C2AE31C40BA6380106BAE51AF651C532C2581E0BCFACE530A08954A7433C8C2DAAABF478A5AE5CCDBFD14DF14AE78C8A09298D2C810C448562C8B55DEF78B772B282F126DCA24D1372F3088E5EF269B7CBB193218412538786C5279CB467C483CACB60A61C0251B9F26335E1109A4EC81037BB2283D097A90084E33E7B76B5F2D75C20F65629348D8BAAF4703CD9A71B1FE1D607823AD780371C251E4DA50FA65702155F94A3E8C677B9D7CAF07CDF053FA3C1A8B89F2ACF852D8F8F6B0C46D0D448266A50918AF962A580C8DEFAAC6F2F47E126A79DEAB5D849FA057AF061C90C8009F72A0B70CF43B20D616B8C0E5DE1F6DD01FEE1B1AE097081440C27603210B92316C88D911D2D91613C984C44FAAE073AEBA5BF12FF64F667475C69BAE36CA98A0A5AADA434761C34C296D8E9D2ED3E1DB50A3D63AD82475B4B90FA04285FC55C4B567BFB7AC65135D3CFD98FB8247ED5B77225C9B8140D11CD65FD0F20F49EDCB33122D9BA12AD4F98D3704AA093DAE824CA1BD493384FC471874208D920E6DB6BE6FF02C872ABA282B0B947FE26CA07EED64D54C6F835CA54E7BA46D15DA43D977BC76BF8412DDBF29633360F83F254B002027C00005BA7B509596866074BF5E0529D3BA04C339709C1D694B75D400BD2BFB565A7004C2DEF458565F02511A411055BE1AB2D4AB3B2005E850C7FED9FB1997AADB1131873E1850E2914A216ED1C5DA12EC020FF8F553628413A244BE017C011320766FFE571C78644B4E4338B5D8C24BD52AEE48C9D86CB5CBFDDE1F1A06BF2013F7D5013E644523CE674B5B66FE0E8F0DA4A6A536D64D974715BECFECED4B853832B0CCDB5A9C8E72B3829FAFF0AE255C2F1CFE8B78276966E50588ED71129DA2067F82E96BD5382112E62DB26D0B77254C6829EF6C0D0F1CB3»
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘winlogon.exe'(540)
c:windowssystem32ODBC32.dll
c:windowssystem32Ati2evxx.dll

— — — — — — — > ‘lsass.exe'(596)
c:windowsSystem32imon.dll
c:windowssystem32mswsock.dll
c:windowsSystem32dssenh.dll

— — — — — — — > ‘explorer.exe'(1100)
c:windowsSystem32msi.dll
.

---

Other Running Processes

---

.
c:windowsSystem32Ati2evxx.exe
c:windowssystem32Ati2evxx.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:windowsSystem32wdfmgr.exe
c:combofixCF24980.exe
c:combofixPEV.cfxxe
.
**************************************************************************
.
Completion time: 2009-10-20 22:03 — machine was rebooted
ComboFix-quarantined-files.txt 2009-10-20 18:03

Pre-Run: 16 236 851 200 байт свободно
Post-Run: 16 084 148 224 байт свободно

WinXP_EN_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /fastdetect

— — End Of File — — 7158877E6E3DF94E70860FBAAC55890C

[Nbuhfif]

ПОМОГИТЕ, пожалуйста.

[Admin]

Кликните Пуск -> Выполнить
В строке ввода введите notepad и нажмите Enter.
Вствавьте в блокнот следующий текст:

dir qmgr.dll  /a h /s > File.txt

Кликните Файл, Сохранить как.
Смените тип файла на: Все файлы.
Введите имя файла find_file.bat и кликните Ok.
Сохраните файл на ваш рабочий стол.
Закройте блокнот.
Дважды кликните по созданному нами файлу find_file.bat.
По-завершению работы на рабочем столе появится файл File.txt, вставьте его содержимое в ваш ответ.
Так же приложите свежий Combofix лог.

[Nbuhfif]

’®¬ ў гбва®©б⢥ C ­Ґ Ё¬ҐҐв ¬ҐвЄЁ.
‘ҐаЁ©­л© ­®¬Ґа ⮬ : 2C0E-17A4

[Nbuhfif]

новый лог:

ComboFix 09-10-26.06 — Майя 27.10.2009 18:55.2.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1251.7.1049.18.255.77 [GMT 3:00]
Running from: c:documents and settingsМайяРабочий столComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem32ssms.exe

c:windowssystem32qmgr.dll . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2009-09-27 to 2009-10-27 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-25 08:37 . 2001-10-20 12:00 50206 —-a-w- c:windowssystem32perfc019.dat
2009-10-25 08:37 . 2001-10-20 12:00 349224 —-a-w- c:windowssystem32perfh019.dat
2009-09-15 20:31 . 2009-09-15 20:30

---

d

---

w- c:program filestrend micro
2009-09-07 14:14 . 2009-09-07 14:07

---

d

---

w- c:program filesCCleaner
2009-09-07 14:05 . 2009-09-07 14:05

---

d

---

w- c:program filesPivim Multibar
2009-09-07 13:40 . 2009-09-07 13:30

---

d

---

w- c:program filesOO Software
2009-09-07 13:26 . 2009-08-29 05:28

---

d

---

w- c:program filesAuslogics
2009-08-29 06:14 . 2008-02-17 12:10

---

d

---

w- c:program filesESET
2007-01-31 07:51 . 2005-12-30 06:14 40960 —sha-w- c:program filesThumbs.db
.

((((((((((((((((((((((((((((( SnapShot@2009-10-20_18.00.21 )))))))))))))))))))))))))))))))))))))))))
.
— 2001-10-20 12:00 . 2009-03-29 06:35 40836 c:windowssystem32perfc009.dat
+ 2001-10-20 12:00 . 2009-10-25 08:37 40836 c:windowssystem32perfc009.dat
— 2005-06-20 12:33 . 2009-08-28 20:02 32768 c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
+ 2005-06-20 12:33 . 2009-10-20 19:03 32768 c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
+ 2005-06-20 12:33 . 2009-10-20 19:03 16384 c:windowssystem32configsystemprofileCookiesindex.dat
— 2005-06-20 12:33 . 2009-08-28 20:02 16384 c:windowssystem32configsystemprofileCookiesindex.dat
+ 2001-10-20 12:00 . 2009-10-25 08:37 314508 c:windowssystem32perfh009.dat
— 2001-10-20 12:00 . 2009-03-29 06:35 314508 c:windowssystem32perfh009.dat
+ 2009-08-29 05:45 . 2009-10-27 15:55 262144 c:windowssystem32configsystemprofileNtUser.dat
— 2009-08-29 05:45 . 2009-10-20 17:49 262144 c:windowssystem32configsystemprofileNtUser.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{39AA6D29-4236-4F25-A36A-3410EF5283D9}]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«NOD32krn»=2 (0x2)
«avast! Web Scanner»=3 (0x3)
«avast! Mail Scanner»=3 (0x3)
«avast! Antivirus»=2 (0x2)
«aswUpdSv»=2 (0x2)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001

S2 SSPORT;SSPORT;??c:windowsSystem32DriversSSPORT.sys —> c:windowsSystem32DriversSSPORT.sys [?]

— Other Services/Drivers In Memory —

*Deregistered* — mbr
.
.

---

Supplementary Scan

---

.
uStart Page = start.qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Search — http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCman000
IE: &Winamp Search — c:documents and settingsAll UsersApplication DataWinamp ToolbarieToolbarresourcesen-USlocalsearch.html
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/search.htm
IE: Опубликовать в Дневнике — c:program filesRambler AssistantramblertoolbarU0.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/dic.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} — %SystemRoot%webrelated.htm
IE: {{39AA6D29-4236-4F25-A36A-3410EF5283D9} — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — c:progra~1PIVIMM~1MULTIS~1.DLL
LSP: c:windowsSystem32imon.dll
TCP: {89E41841-25B0-4E93-B241-390EA08B6571} = 213.248.1.6 213.248.0.6
FF — ProfilePath — c:documents and settingsМайяApplication DataMozillaFirefoxProfilesa4aqz306.default
FF — prefs.js: browser.search.defaulturl — hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF — prefs.js: browser.search.selectedEngine — Winamp Search
FF — prefs.js: browser.startup.homepage — http://www.yandex.ru
FF — prefs.js: keyword.URL — hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF — component: c:documents and settingsМайяApplication DataMozillaFirefoxProfilesa4aqz306.defaultextensions{0b38152b-1b20-484d-a11f-5e04a9b0661f}componentsWinampTBPlayer.dll
FF — plugin: c:program filesOperaprogrampluginsnppdf32.dll
.
— — — — ORPHANS REMOVED — — — —

AddRemove-Winamp — c:winampUninstWA.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-27 19:03
Windows 5.1.2600 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

LOCKED REGISTRY KEYS

---

[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionSystem*]
«OODEFRAG11.00.00.01WORKSTATION»=»7397C88F4AD0259AAEDC6BBB4B80C0747D271A80923697CBA193C247E332B688A63C70634DADD078F2740C6C9F661BB1ACA2DC273D38FEF9EF9B65F6B2491B4CCF9C8B6629421262B0C590411D9AAC5864B15AB370714B53281A078740FAA1C9E102DE6719F6CC49368185B56DBF325971908273625EAB6BB4F09EB6723C8FD40199073250DA7BDF08BDC9C92E9A776C53DC1CB7409B631833E8F4C99E243D040A72719EF39BAB9FDE7311037116E007BE18BFFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452FEBC9E127BECC74CC038D530D6EB34521E201CEF81B0086EF94F0A714A56DCC5EC9718AF99864A822A621392C8785E569C738F38E5D1B1D846E3794E1787BE95A1EA294B04933F629B7C8F665578A30798B773EEC81890360B21B7E5C754F75898AE39769A07B4205327373025C5BFF67EC9CE1A38F3F531E45105926C2AE31C40BA6380106BAE51AF651C532C2581E0BCFACE530A08954A7433C8C2DAAABF478A5AE5CCDBFD14DF14AE78C8A09298D2C810C448562C8B55DEF78B772B282F126DCA24D1372F3088E5EF269B7CBB193218412538786C5279CB467C483CACB60A61C0251B9F26335E1109A4EC81037BB2283D097A90084E33E7B76B5F2D75C20F65629348D8BAAF4703CD9A71B1FE1D607823AD780371C251E4DA50FA65702155F94A3E8C677B9D7CAF07CDF053FA3C1A8B89F2ACF852D8F8F6B0C46D0D448266A50918AF962A580C8DEFAAC6F2F47E126A79DEAB5D849FA057AF061C90C8009F72A0B70CF43B20D616B8C0E5DE1F6DD01FEE1B1AE097081440C27603210B92316C88D911D2D91613C984C44FAAE073AEBA5BF12FF64F667475C69BAE36CA98A0A5AADA434761C34C296D8E9D2ED3E1DB50A3D63AD82475B4B90FA04285FC55C4B567BFB7AC65135D3CFD98FB8247ED5B77225C9B8140D11CD65FD0F20F49EDCB33122D9BA12AD4F98D3704AA093DAE824CA1BD493384FC471874208D920E6DB6BE6FF02C872ABA282B0B947FE26CA07EED64D54C6F835CA54E7BA46D15DA43D977BC76BF8412DDBF29633360F83F254B002027C00005BA7B509596866074BF5E0529D3BA04C339709C1D694B75D400BD2BFB565A7004C2DEF458565F02511A411055BE1AB2D4AB3B2005E850C7FED9FB1997AADB1131873E1850E2914A216ED1C5DA12EC020FF8F553628413A244BE017C011320766FFE571C78644B4E4338B5D8C24BD52AEE48C9D86CB5CBFDDE1F1A06BF2013F7D5013E644523CE674B5B66FE0E8F0DA4A6A536D64D974715BECFECED4B853832B0CCDB5A9C8E72B3829FAFF0AE255C2F1CFE8B78276966E50588ED71129DA2067F82E96BD5382112E62DB26D0B77254C6829EF6C0D0F1CB3»
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘winlogon.exe'(540)
c:windowssystem32ODBC32.dll
c:windowssystem32Ati2evxx.dll

— — — — — — — > ‘lsass.exe'(596)
c:windowsSystem32imon.dll
c:windowssystem32mswsock.dll
c:windowsSystem32dssenh.dll

— — — — — — — > ‘explorer.exe'(888)
c:windowsSystem32msi.dll
.

---

Other Running Processes

---

.
c:windowsSystem32Ati2evxx.exe
c:windowssystem32logonui.exe
c:windowssystem32Ati2evxx.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:windowsSystem32wdfmgr.exe
c:combofixCF12888.exe
c:combofixPEV.cfxxe
.
**************************************************************************
.
Completion time: 2009-10-27 19:07 — machine was rebooted
ComboFix-quarantined-files.txt 2009-10-27 16:07
ComboFix2.txt 2009-10-20 18:03

Pre-Run: 17 159 163 904 байт свободно
Post-Run: 17 148 379 136 байт свободно

— — End Of File — — C28705C0D3CB79B9110F56B211AC1EB6

[Admin]

Проверьте файл c:windowssystem32qmgr.dll на сайте VirusTotal.

В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите подозрительный фай, о котором я писал выше.
Кликните по кнопке Отправить файл.

Результат сканирования вставьте в ваше ответное сообщение.

[Nbuhfif]

Вот результат:

Антивирус Версия Обновление Результат
a-squared 4.5.0.41 2009.11.06 —
AhnLab-V3 5.0.0.2 2009.11.06 —
AntiVir 7.9.1.61 2009.11.06 —
Antiy-AVL 2.0.3.7 2009.11.05 —
Authentium 5.2.0.5 2009.11.06 —
Avast 4.8.1351.0 2009.11.06 —
AVG 8.5.0.423 2009.11.06 —
BitDefender 7.2 2009.11.06 —
CAT-QuickHeal 10.00 2009.11.06 —
ClamAV 0.94.1 2009.11.06 —
Comodo 2862 2009.11.06 —
DrWeb 5.0.0.12182 2009.11.06 —
eTrust-Vet 35.1.7107 2009.11.06 —
F-Prot 4.5.1.85 2009.11.06 —
F-Secure 9.0.15370.0 2009.11.04 —
Fortinet 3.120.0.0 2009.11.06 —
GData 19 2009.11.06 —
Ikarus T3.1.1.74.0 2009.11.06 —
Jiangmin 11.0.800 2009.11.06 —
K7AntiVirus 7.10.890 2009.11.06 —
Kaspersky 7.0.0.125 2009.11.06 —
McAfee 5794 2009.11.06 —
McAfee+Artemis 5794 2009.11.06 —
McAfee-GW-Edition 6.8.5 2009.11.06 —
Microsoft 1.5202 2009.11.06 —
NOD32 4580 2009.11.06 —
Norman 6.03.02 2009.11.06 —
nProtect 2009.1.8.0 2009.11.06 —
Panda 10.0.2.2 2009.11.06 —
PCTools 7.0.3.5 2009.11.06 —
Prevx 3.0 2009.11.06 —
Rising 21.54.44.00 2009.11.06 —
Sophos 4.47.0 2009.11.06 —
Sunbelt 3.2.1858.2 2009.11.06 —
Symantec 1.4.4.12 2009.11.06 —
TheHacker 6.5.0.2.062 2009.11.05 —
TrendMicro 9.0.0.1003 2009.11.06 —
VBA32 3.12.10.11 2009.11.06 —
ViRobot 2009.11.6.2025 2009.11.06 —
VirusBuster 4.6.5.0 2009.11.06 —
Дополнительная информация
File size: 179200 bytes
MD5…: 6130ecb848901e7b1d60ad6114b49bdb
SHA1..: cc092689149e38b96a2b8cc7e66706dd575609b3
SHA256: e4d0940b5cb6c8d6c035813ef1002030d700ca88328bf6d20d1572b3fbef12b0
ssdeep: 3072:a5vmOk4nxD8SaQsRoPHd8WwvxMA3y20volCDyk3jvP:MTxYQsRuHd81O7vo
pe
PEiD..: —
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3b56
timedatestamp…..: 0x3bd08761 (Fri Oct 19 20:04:49 2001)
machinetype…….: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x24b31 0x24c00 6.47 e10fc78f6b0344c80dcd8332c30cec99
.data 0x26000 0x21330 0x200 2.16 e3cd107197201fa3d120a41579d21a68
.rsrc 0x48000 0x30b8 0x3200 3.96 76094d7c38cf2e523f3fb87775e872d7
.reloc 0x4c000 0x37fc 0x3800 6.28 7259352e99d80f8e94db3ffa3e2aa520

( 14 imports )
> msvcrt.dll: wcscat, wcslen, __1type_info@@UAE@XZ, _adjust_fdiv, __CxxFrameHandler, swprintf, free, _initterm, swscanf, wcstok, _except_handler3, _terminate@@YAXXZ, _wfullpath, _ftol, malloc, _CxxThrowException, wcsncpy, _purecall, wcscpy, wcscmp, _wcsicmp, memmove, wcsncmp, iswalpha, wcsstr
> ADVAPI32.dll: GetTokenInformation, RegOpenKeyExW, GetSidSubAuthorityCount, GetSidSubAuthority, AllocateAndInitializeSid, FreeSid, CopySid, StartTraceW, EnableTrace, ControlTraceW, UnregisterTraceGuids, RegisterTraceGuidsW, RegisterServiceCtrlHandlerExW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, SetServiceStatus, CloseServiceHandle, ChangeServiceConfigW, OpenServiceW, OpenSCManagerW, SetThreadToken, RevertToSelf, SetSecurityDescriptorDacl, SetEntriesInAclW, ImpersonateLoggedOnUser, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, MakeSelfRelativeSD, OpenThreadToken, ImpersonateSelf, AccessCheck, MakeAbsoluteSD, CheckTokenMembership, ConvertSidToStringSidW, EqualSid, MapGenericMask, GetLengthSid, LogonUserW, OpenProcessToken, ConvertStringSidToSidW, TraceEvent, RegSetValueExW, RegCreateKeyExW, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle
> KERNEL32.dll: QueryPerformanceFrequency, SystemTimeToFileTime, FileTimeToSystemTime, InterlockedExchangeAdd, QueryPerformanceCounter, lstrcmpW, WideCharToMultiByte, CompareFileTime, GetFileTime, SetFileTime, GetTickCount, FreeLibrary, InterlockedDecrement, InterlockedIncrement, GetProcAddress, LoadLibraryW, GetLastError, DisableThreadLibraryCalls, Sleep, SetEvent, CloseHandle, WaitForSingleObject, CreateEventW, GetModuleHandleW, HeapAlloc, HeapFree, GetCurrentThreadId, TlsGetValue, DuplicateHandle, GetCurrentProcess, SetWaitableTimer, LocalFree, LoadLibraryExW, FormatMessageW, SetLastError, GetExitCodeThread, WaitForMultipleObjects, CreateThread, CreateFileW, CreateWaitableTimerW, SetThreadPriority, GetCurrentThread, LocalAlloc, ReleaseMutex, ReleaseSemaphore, CancelWaitableTimer, CreateSemaphoreW, TlsSetValue, WaitForMultipleObjectsEx, TlsFree, ResetEvent, CreateMutexW, TlsAlloc, GetSystemTimeAsFileTime, MoveFileExW, SetFileAttributesW, GetFileAttributesW, DeleteFileW, GetVolumePathNameW, GetFullPathNameW, GetVolumeNameForVolumeMountPointW, GetVolumeInformationW, GetTempFileNameW, GetDriveTypeW, GetCurrentProcessId, lstrlenW, SetEndOfFile, SetFilePointerEx, GetFileSizeEx, FlushFileBuffers, WriteFile, ReadFile, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SleepEx, GlobalMemoryStatus, UnhandledExceptionFilter, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, CreateDirectoryW, lstrcatW, lstrcpyW
> ole32.dll: CoImpersonateClient, CoRevokeClassObject, StringFromIID, IIDFromString, CoTaskMemFree, CoInitializeEx, CoUninitialize, CoRegisterClassObject, CoTaskMemAlloc
> OLEAUT32.dll: -, -, —
> WTSAPI32.dll: WTSEnumerateSessionsW, WTSFreeMemory
> RPCRT4.dll: RpcBindingFree, RpcBindingSetAuthInfoExW, RpcBindingFromStringBindingW, UuidCreate, NdrClientCall2
> USER32.dll: MsgWaitForMultipleObjectsEx, TranslateMessage, DispatchMessageW, LoadStringW, PostThreadMessageW, UnregisterDeviceNotification, RegisterDeviceNotificationW, PeekMessageW
> WININET.dll: HttpOpenRequestW, InternetConnectW, HttpQueryInfoW, InternetCloseHandle, InternetOpenW, InternetSetOptionW, InternetCrackUrlW, InternetOpenUrlW, InternetTimeFromSystemTimeW, HttpAddRequestHeadersW, InternetReadFile, HttpSendRequestW
> SHFOLDER.dll: SHGetFolderPathW
> MSVCP60.dll: __1_Lockit@std@@QAE@XZ, __0_Lockit@std@@QAE@XZ
> iphlpapi.dll: GetBestInterface, GetIpForwardTable, GetIfTable, GetIfEntry
> WS2_32.dll: -, -, WSAIoctl, -, -, -, WSASocketW, —
> ntdll.dll: NtRaiseException

( 2 exports )
BITSServiceMain, ServiceMain
RDS…: NSRL Reference Data Set
—
pdfid.: —
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher….: __________ __________
copyright….: (c) __________ __________. ___ _____ ________.
product……: ____________ _______ Microsoft_ Windows_
description..: _______ ________________ ______ ________
original name: qmgr.dll
internal name: qmgr.dll
file version.: 6.0.2600.0 (xpclient.010817-1148)
comments…..: n/a
signers……: —
signing date.: —
verified…..: Unsigned

[Admin]

Как сейчас работает компьютер ? Avast находит что-либо ?

[Nbuhfif]

с AVAST комп не работает вообще. то есть включается, но работать на нем невозможно, каждое окно открывается по полчаса. я вообще удалила полностью его, комп работает. более или менее. но напрягает то, что без антивируса. может посоветуете, что можно поставить кроме AVASTa, чтобы уж нармально можно было работать.(((((((

[Автор]

Сообщения