- This topic has 11 ответов, 2 участника, and was last updated 16 years, 4 months назад by
.
-
Сообщения
-
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте Valeri! Спасибо за программу Сombofix! Она постоянно меня выручала. Ибо ловил вирус из-за любопытства. Последний раз не пойму, что поймал с купленного диска.При переносе папок через флешку на другой комп они приобретали расширение *exe и всё папки приходилось просто удалять. Воспользовался вашей программой для флешек. Вроде бы работает. Проблема в другом перестала работать система восстановления из меню Справка и поддержка. Она просто не открывается. Опять запустил Сombofix! И всё заработало. Проблема в другом в лог файле, в секции Others Deletions, перечисленны удаленные файлы, которые появляются вновь и вновь. При каждом запуске Сombofix одни и те же файлы. Помогите пожалуйста, что я поймал и как от этого избавится? Просто боюсь переустановки windows.
Лог Сombofix:
ComboFix 08-12-02.02 — Николай 2009-04-03 20:13:08.23 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.138 [GMT 11:00]
Running from: c:documents and settingsНиколайРабочий столComboFix.exeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
— REDUCED FUNCTIONALITY MODE —
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:docume~1E4CE~1LOCALS~1TempE_4
c:docume~1E4CE~1LOCALS~1TempE_4com.run
c:docume~1E4CE~1LOCALS~1TempE_4dp1.fne
c:docume~1E4CE~1LOCALS~1TempE_4eAPI.fne
c:docume~1E4CE~1LOCALS~1TempE_4internet.fne
c:docume~1E4CE~1LOCALS~1TempE_4krnln.fnr
c:docume~1E4CE~1LOCALS~1TempE_4RegEx.fne
c:docume~1E4CE~1LOCALS~1TempE_4shell.fne
c:docume~1E4CE~1LOCALS~1TempE_4spec.fne
c:windowssystem32com.run
c:windowssystem32dp1.fne
c:windowssystem32eAPI.fne
c:windowssystem32internet.fne
c:windowssystem32krnln.fnr
c:windowssystem32og.dll
c:windowssystem32og.edt
c:windowssystem32shell.fne
c:windowssystem32spec.fne
c:windowssystem32ul.dll.
((((((((((((((((((((((((( Files Created from 2009-03-03 to 2009-04-03 )))))))))))))))))))))))))))))))
.2009-04-02 23:15 . 2009-04-02 23:32
d
C:SDFix
2009-04-02 22:23 . 2009-04-02 22:23d
c:documents and settingsAll UsersApplication DataESET
2009-03-30 08:11 . 2009-04-02 23:30d
c:documents and settings.
2009-03-27 23:59 . 2009-03-28 00:00d
c:windowsERUNT
2009-03-24 19:13 . 2009-03-24 19:13d
C:backups
2009-03-23 16:51 . 2009-03-23 16:51 1,227,891 -r-hs—- c:windowssystem32XP-0B0338E2.EXE
2009-03-20 16:27 . 2009-03-20 16:27 396,288 —a
C:HijackThis.exe
2009-03-20 16:01 . 2009-03-20 16:01d
c:documents and settingsНиколайApplication DataNero
2009-03-19 19:27 . 2009-03-19 19:28d
c:program filesFar
2009-03-19 18:26 . 2009-03-19 18:26d
c:program filesWebteh
2009-03-19 18:11 . 2009-03-19 18:11d
c:program filesproDAD
2009-03-19 18:11 . 2009-03-19 18:11d
c:documents and settingsДети и внукиApplication DataproDAD
2009-03-19 18:10 . 2003-06-26 11:04 237,568 -ra
c:windowssystem32qtmlClient.dll
2009-03-19 18:10 . 2003-07-01 17:49 69,632 —a
c:windowssystem32MtxPreview.dll
2009-03-19 18:10 . 2003-07-01 17:49 49,152 —a
c:windowssystem32MtxParhBFXPreview.dll
2009-03-19 18:10 . 2003-01-20 10:08 49,152 —a
c:windowssystem32CvoAPI.dll
2009-03-19 18:10 . 2003-07-09 11:43 45,056 —a
c:windowssystem32BFXSrcFilter.ax
2009-03-19 18:10 . 2009-03-23 18:14 2,145 —a
c:windowsGraffiti5.2Pin.ini
2009-03-19 18:09 . 2009-03-22 12:42d
c:program filesBoris FX, Inc
2009-03-19 18:07 . 2009-03-19 18:08d
C:Studio12UPG
2009-03-19 18:05 . 2009-03-19 18:18d
c:program filesSureThing Express Labeler
2009-03-19 18:05 . 2009-03-19 18:05d
c:program filesCommon FilesSureThing Shared
2009-03-19 18:01 . 2005-09-24 00:18 171,520 —a
c:windowssystem32driversMarvinBus.sys
2009-03-19 18:00 . 2009-03-19 18:02d—-c— c:windowssystem32DRVSTORE
2009-03-19 18:00 . 2009-03-19 18:00d
c:program filesCommon FilesPinnacle
2009-03-19 17:59 . 2009-03-19 17:59d
c:documents and settingsAll UsersApplication DataPinnacle Studio Ultimate
2009-03-19 17:37 . 2009-03-19 18:08d
c:program filesPinnacle
2009-03-19 17:37 . 2009-03-19 17:37d
c:program filesCommon FilesYahoo!
2009-03-19 17:37 . 2009-03-19 17:37d
c:documents and settingsAll UsersApplication DataStudio 12
2009-03-19 17:37 . 2009-03-19 17:37d
c:documents and settingsAll UsersApplication DataPinnacle Studio Plus
2009-03-19 17:18 . 2009-03-19 18:03d
c:documents and settingsAll UsersApplication DataPinnacle
2009-03-19 17:16 . 2009-03-19 17:18d
C:Studio12Plusup
2009-03-19 00:22 . 2009-03-19 00:22d
c:documents and settingsДети и внукиApplication DataSony
2009-03-19 00:22 . 2009-03-19 00:22d
c:documents and settingsДети и внукиApplication DataPublish Providers
2009-03-19 00:12 . 2009-03-19 00:12d
c:program filesVstplugins
2009-03-19 00:12 . 2009-03-19 00:12d
c:documents and settingsAll UsersApplication DataSony
2009-03-19 00:11 . 2009-03-19 00:11d
c:program filesSony
2009-03-19 00:06 . 2009-03-19 00:06d
c:documents and settingsДети и внукиApplication DataSony Setup
2009-03-18 22:11 . 2009-03-18 22:12d
c:program filesGoogle
2009-03-18 22:10 . 2009-03-18 22:10d
c:program filesCommon FilesCyberLink
2009-03-18 21:30 . 2009-03-18 21:30d
c:documents and settingsДети и внукиApplication DataNero
2009-03-18 21:26 . 2009-03-18 21:26d
c:program filesNero
2009-03-18 21:26 . 2009-03-18 21:29d
c:program filesCommon FilesNero
2009-03-18 21:26 . 2009-03-18 21:27d
c:documents and settingsAll UsersApplication DataNero
2009-03-18 18:05 . 2009-03-18 18:06d
c:documents and settingsДети и внукиApplication DataMedia Player Classic
2009-03-15 15:42 . 1995-01-01 11:00 44 —a
C:Track01.cda
2009-03-11 18:41 . 2009-03-11 18:41 167,936 —h
c:windowssystem32RegEx.fne.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-03 09:16 2,404 —sh—w c:windowssystem32ul.dll
2009-04-03 09:03
d
w c:program filesEasyRecoveryPro6.04
2009-04-03 07:19 755,216 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-04-02 11:23
d
w c:program filesEset
2009-03-22 07:46 98,304 —-a-w c:windowssystem32CmdLineExt.dll
2009-03-19 08:33
d
w c:documents and settingsДети и внукиApplication DataBSplayer PRO
2009-03-19 07:09
d—h—w c:program filesInstallShield Installation Information
2009-03-18 12:17
d
w c:program filesDivX
2009-03-18 11:23
d
w c:documents and settingsДети и внукиApplication DataCyberLink
2009-03-18 11:14
d
w c:program filesCyberLink
2009-03-18 11:11
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-03-18 08:53
d
w c:program filesAhead
2009-03-03 07:42
d
w c:program filesCommon FilesAdobe
2009-01-05 02:34 2,829 —-a-w c:windowsWar3Unin.pif
2009-01-05 02:34 139,264 —-a-w c:windowsWar3Unin.exe
2007-04-16 15:54 168,096 —sha-r c:windowssystem32bupxyg.dll
2007-08-19 06:51 35 -csh—w c:windowssystem32wirexe.dll
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-14 1694208]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.911.3380GoogleToolbarNotifier.exe» [2009-03-18 162744]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2007-12-13 1688872][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-16 86016]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-16 13529088]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-07-29 3110392]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCam10QuickCam10.exe» [2007-02-08 774168]
«LogitechCommunicationsManager»=»c:program filesCommon FilesLogiShrdLComMgrCommunications_Helper.exe» [2007-02-08 488984]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-12-03 2213160]
«RemoteControl8″=»c:program filesCyberLinkPowerDVD8PDVD8Serv.exe» [2008-03-20 83240]
«PDVD8LanguageShortcut»=»c:program filesCyberLinkPowerDVD8LanguageLanguage.exe» [2007-12-14 50472]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-03-21 91432]
«XP-0B0338E2″=»c:windowssystem32XP-0B0338E2.EXE» [2009-03-23 1227891]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-02-06 1443072]
«WinGuard Pro»=»c:windowssystem32wgp.exe» [2007-10-04 307200]
«SoundMan»=»SOUNDMAN.EXE» [2003-03-27 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«WUAppSetup»=»c:program filesCommon FileslogishrdWUApp32.exe» [2007-02-04 435736]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
цццццц.lnk — c:windowssystem32XP-0B0338E2.EXE [2009-03-23 1227891]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
цццццц.lnk — c:windowssystem32XP-0B0338E2.EXE [2009-03-23 1227891]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
цццццц.lnk — c:windowssystem32XP-0B0338E2.EXE [2009-03-23 1227891]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-03-03 113664]
ATISched.lnk — c:atiATIDESKatisched.exe [2008-12-03 45568]
Logitech Desktop Messenger.lnk — c:program filesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe [2008-12-20 67128][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«HonorAutoRunSetting»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
«Userinit»=»c:\WINDOWS\System32\userinit.exe»[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= DivXa32.acm
«vidc.ffds»= ffdshow.ax
«VIDC.HFYU»= huffyuv.dll
«msacm.l3codecp»= l3codecp.acm
«vidc.mjpg»= pvmjpg30.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
backup=c:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Instant Update Reminder.lnk]
backup=c:windowspssInstant Update Reminder.lnkCommon Startup[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\U.S. Robotics\ControlCenter\Reminder.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Electronic Arts\Под знаменем Короля-чародея\game.dat»=
«g:\WLASTELIN\game.dat»=
«g:\Warcraft III\Warcraft III.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Application
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync RAPI Manager
«c:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe»=
«c:\WINDOWS\htpatch.exe»=
«c:\WINDOWS\Explorer.EXE»=
«c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe»=
«c:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\umi.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Disabled:ActiveSync Service
«5891:TCP»= 5891:TCP:sdixyohR0 d344bus;d344bus;c:windowssystem32DRIVERSd344bus.sys [2007-03-22 137216]
R0 ps6aktjb;The Matrix Path of Neo Synchronization Driver (ps6aktjb);c:windowssystem32driversps6aktjb.sys [2007-04-20 53152]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [2005-12-07 35328]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-02-06 34312]
R1 tvtool;tvtool;??c:program filesTVTooltvtool.sys [1996-04-04 5248]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};??c:program filesCyberLinkPowerDVD8000.fcl [2008-02-01 18:24:04 41456]
R2 ekrn;Eset Service;»c:program filesESETESET NOD32 Antivirusekrn.exe» [2008-02-06 472320]
R3 WMIBIOS;%WMIBIOS.ServiceName%;c:windowssystem32Driverswmibios.sys [2007-05-29 18272]
R3 WMIINFO;WMIINFO Driver;c:windowssystem32Driverswmiinfo.sys [2007-05-29 21184]
S2 i386si;i386si;??c:windowssystem32driversi386si.sys []
S2 netsik;netsik;??c:windowssystem32driversnetsik.sys []
S2 pr2aktjb;The Matrix Path of Neo Drivers Auto Removal (pr2aktjb);c:windowssystem32pr2aktjb.exe svc []
S2 sfrem02;FrontLine Drivers Auto Removal (v2);c:windowssystem32sfrem02.exe svc []
S2 systemntmi;systemntmi;??c:windowssystem32driverssystemntmi.sys []
S2 tyeudfzej;Image Update;c:windowssystem32svchost.exe -k netsvcs [2004-08-18 14336]
S3 A4S2600;A4S2600;c:windowssystem32driversA4S2600.sys [2007-11-27 70336]
S3 huadio;huadio;??c:huadio.tmp []
S4 d344prt;d344prt;c:windowssystem32Driversd344prt.sys [2007-03-22 5248]HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost — NetSvcs
tyeudfzej[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2D]
ShellAutoRuncommand — D:RunGame.exe
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-03 20:16:16
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
c:windowssystem32shell.fne 40960 bytes executable
c:windowssystem32ul.dll 2404 bytes
c:windowssystem32dp1.fne 114688 bytes executable
c:windowssystem32eAPI.fne 323584 bytes executable
c:windowssystem32og.dll 692 bytes
c:windowssystem32og.edt 512 bytes
c:windowssystem32krnln.fnr 1097728 bytes executable
c:windowssystem32com.run 266240 bytes executable
c:windowssystem32spec.fne 73728 bytes executable
c:windowssystem32internet.fne 184320 bytes executablescan completed successfully
hidden files: 10**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(652)
c:program filesROL Acceleratorprplsf.dll
.
Other Running Processes
.
c:program filesCommon FileslogishrdLVMVFMLVPrcSrv.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32wscntfy.exe
c:program filesCommon FileslogishrdLComMgrLVComSX.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:program filesCommon FileslogishrdLQCVFXCOCIManager.exe
.
**************************************************************************
.
Completion time: 2009-04-03 20:20:10 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-03 09:20:00
ComboFix2.txt 2009-04-01 20:48:08Pre-Run: 41 488 904 192 байт свободно
Post-Run: 41,476,534,272 байт свободно
246 — E O F — 2009-03-07 11:23:19Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте свежую версию Combofix и установите Recovery console.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
i386si
netsik
systemntmi
tyeudfzej
Registry::
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"XP-0B0338E2"=-
NetSvc::
tyeudfzej
File::
c:windowssystem32XP-0B0338E2.EXE
c:windowssystem32driversi386si.sys
c:windowssystem32driversnetsik.sys
c:windowssystem32driverssystemntmi.sysЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте Валерий! Спасибо за помощь! Сделал всё как Вы рекомендовали.
Лог Combofix:
ComboFix 08-12-02.02 — Людмила 2009-04-11 0:31:28.25 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.152 [GMT 11:00]
Running from: c:documents and settingsЛюдмилаРабочий столComboFix.exe
Command switches used :: c:documents and settingsЛюдмилаРабочий столCFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
— REDUCED FUNCTIONALITY MODE —FILE ::
c:windowssystem32driversi386si.sys
c:windowssystem32driversnetsik.sys
c:windowssystem32driverssystemntmi.sys
c:windowssystem32XP-0B0338E2.EXE
.((((((((((((((((((((((((( Files Created from 2009-03-10 to 2009-04-10 )))))))))))))))))))))))))))))))
.2009-04-08 23:09 . 2009-04-08 23:09 d
c:documents and settingsДети и внукиDoctorWeb
2009-04-08 23:09 . 2009-04-08 23:09 d
c:documents and settingsДети и внукиDoctorWeb
2009-04-08 23:02 . 2009-04-08 23:02 d
c:documents and settingsЛюдмилаDoctorWeb
2009-04-08 23:02 . 2009-04-08 23:02 d
c:documents and settingsЛюдмилаDoctorWeb
2009-04-08 17:51 . 2009-04-08 17:56 d
c:documents and settingsAll UsersESET NOD32 Antivirus
2009-04-05 23:10 . 2009-04-05 23:10 d
c:documents and settings???????? ?? ??????????
2009-04-05 19:39 . 2009-04-05 23:10 d
c:documents and settings.
2009-04-02 23:30 . 2009-04-02 23:30 d
c:documents and settingsЛюдмилаApplication DataWinRAR
2009-04-02 22:23 . 2009-04-02 22:23 d
c:documents and settingsAll UsersApplication DataESET
2009-03-30 08:11 . 2009-04-05 23:10 d
c:documents and settings.
2009-03-27 23:59 . 2009-03-28 00:00 d
c:windowsERUNT
2009-03-24 19:13 . 2009-03-24 19:13 d
C:backups
2009-03-20 16:27 . 2009-03-20 16:27 396,288 —a
C:HijackThis.exe
2009-03-19 19:27 . 2009-03-19 19:28 d
c:program filesFar
2009-03-19 18:26 . 2009-03-19 18:26 d
c:program filesWebteh
2009-03-19 18:11 . 2009-03-19 18:11 d
c:program filesproDAD
2009-03-19 18:11 . 2009-03-19 18:11 d
c:documents and settingsДети и внукиApplication DataproDAD
2009-03-19 18:10 . 2003-06-26 11:04 237,568 -ra
c:windowssystem32qtmlClient.dll
2009-03-19 18:10 . 2003-07-01 17:49 69,632 —a
c:windowssystem32MtxPreview.dll
2009-03-19 18:10 . 2003-07-01 17:49 49,152 —a
c:windowssystem32MtxParhBFXPreview.dll
2009-03-19 18:10 . 2003-01-20 10:08 49,152 —a
c:windowssystem32CvoAPI.dll
2009-03-19 18:10 . 2003-07-09 11:43 45,056 —a
c:windowssystem32BFXSrcFilter.ax
2009-03-19 18:10 . 2009-03-23 18:14 2,145 —a
c:windowsGraffiti5.2Pin.ini
2009-03-19 18:09 . 2009-03-22 12:42 d
c:program filesBoris FX, Inc
2009-03-19 18:07 . 2009-03-19 18:08 d
C:Studio12UPG
2009-03-19 18:05 . 2009-04-05 23:22 d
c:program filesSureThing Express Labeler
2009-03-19 18:05 . 2009-03-19 18:05 d
c:program filesCommon FilesSureThing Shared
2009-03-19 18:01 . 2005-09-24 00:18 171,520 —a
c:windowssystem32driversMarvinBus.sys
2009-03-19 18:00 . 2009-03-19 18:02 d—-c— c:windowssystem32DRVSTORE
2009-03-19 18:00 . 2009-03-19 18:00 d
c:program filesCommon FilesPinnacle
2009-03-19 17:59 . 2009-03-19 17:59 d
c:documents and settingsAll UsersApplication DataPinnacle Studio Ultimate
2009-03-19 17:37 . 2009-03-19 18:08 d
c:program filesPinnacle
2009-03-19 17:37 . 2009-03-19 17:37 d
c:program filesCommon FilesYahoo!
2009-03-19 17:37 . 2009-03-19 17:37 d
c:documents and settingsAll UsersApplication DataStudio 12
2009-03-19 17:37 . 2009-03-19 17:37 d
c:documents and settingsAll UsersApplication DataPinnacle Studio Plus
2009-03-19 17:18 . 2009-03-19 18:03 d
c:documents and settingsAll UsersApplication DataPinnacle
2009-03-19 17:16 . 2009-03-19 17:18 d
C:Studio12Plusup
2009-03-19 08:35 . 2009-03-19 08:35 d
c:documents and settingsЛюдмилаApplication DataGoogle
2009-03-19 00:22 . 2009-03-19 00:22 d
c:documents and settingsДети и внукиApplication DataSony
2009-03-19 00:22 . 2009-03-19 00:22 d
c:documents and settingsДети и внукиApplication DataPublish Providers
2009-03-19 00:12 . 2009-03-19 00:12 d
c:program filesVstplugins
2009-03-19 00:12 . 2009-03-19 00:12 d
c:documents and settingsAll UsersApplication DataSony
2009-03-19 00:11 . 2009-03-19 00:11 d
c:program filesSony
2009-03-19 00:06 . 2009-03-19 00:06 d
c:documents and settingsДети и внукиApplication DataSony Setup
2009-03-18 22:35 . 2009-03-18 22:35 d
c:documents and settingsЛюдмилаApplication DataNero
2009-03-18 22:12 . 2009-03-18 22:12 d
c:documents and settingsДети и внукиApplication DataGoogle
2009-03-18 22:11 . 2009-03-18 22:12 d
c:program filesGoogle
2009-03-18 22:10 . 2009-03-18 22:10 d
c:program filesCommon FilesCyberLink
2009-03-18 21:30 . 2009-03-18 21:30 d
c:documents and settingsДети и внукиApplication DataNero
2009-03-18 21:26 . 2009-03-18 21:26 d
c:program filesNero
2009-03-18 21:26 . 2009-03-18 21:29 d
c:program filesCommon FilesNero
2009-03-18 21:26 . 2009-03-18 21:27 d
c:documents and settingsAll UsersApplication DataNero
2009-03-18 18:05 . 2009-03-18 18:06 d
c:documents and settingsДети и внукиApplication DataMedia Player Classic
2009-03-17 08:56 . 2009-03-17 08:56 d
c:documents and settingsЛюдмилаApplication DataSony Corporation
2009-03-15 15:42 . 1995-01-01 11:00 44 —a
C:Track01.cda
2009-03-11 18:41 . 2009-03-11 18:41 167,936 —h
c:windowssystem32RegEx.fne.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-10 13:25 755,216 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-04-07 08:20
d
w c:program filesFinal Codecs
2009-04-06 08:52
d
w c:program filesНовый Диск
2009-04-05 12:01
d—h—w c:program filesInstallShield Installation Information
2009-04-03 09:03
d
w c:program filesEasyRecoveryPro6.04
2009-04-02 11:23
d
w c:program filesEset
2009-03-22 07:46 98,304 —-a-w c:windowssystem32CmdLineExt.dll
2009-03-19 08:33
d
w c:documents and settingsДети и внукиApplication DataBSplayer PRO
2009-03-18 12:17
d
w c:program filesDivX
2009-03-18 11:23
d
w c:documents and settingsДети и внукиApplication DataCyberLink
2009-03-18 11:14
d
w c:program filesCyberLink
2009-03-18 11:11
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-03-18 08:53
d
w c:program filesAhead
2009-03-03 07:42
d
w c:program filesCommon FilesAdobe
2007-08-19 06:51 35 -csh—w c:windowssystem32wirexe.dll
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-14 1694208]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2007-12-13 1688872]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.911.3380GoogleToolbarNotifier.exe» [2009-03-18 162744][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-16 86016]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-16 13529088]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-07-29 3110392]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCam10QuickCam10.exe» [2007-02-08 774168]
«LogitechCommunicationsManager»=»c:program filesCommon FilesLogiShrdLComMgrCommunications_Helper.exe» [2007-02-08 488984]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-12-03 2213160]
«RemoteControl8″=»c:program filesCyberLinkPowerDVD8PDVD8Serv.exe» [2008-03-20 83240]
«PDVD8LanguageShortcut»=»c:program filesCyberLinkPowerDVD8LanguageLanguage.exe» [2007-12-14 50472]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-03-21 91432]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-02-06 1443072]
«WinGuard Pro»=»c:windowssystem32wgp.exe» [2007-10-04 307200]
«SoundMan»=»SOUNDMAN.EXE» [2003-03-27 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«WUAppSetup»=»c:program filesCommon FileslogishrdWUApp32.exe» [2007-02-04 435736]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings‹о¤¬Ё« ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
‡ ЇгбвЁвм ђЋ‹ “бЄ®аЁвҐ«м.lnk — c:program filesROL AcceleratorPropelAC.exe [2008-06-13 917545]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-03-03 113664]
ATISched.lnk — c:atiATIDESKatisched.exe [2008-12-03 45568]
Logitech Desktop Messenger.lnk — c:program filesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe [2008-12-20 67128][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«HonorAutoRunSetting»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
«Userinit»=»c:\WINDOWS\System32\userinit.exe»[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= DivXa32.acm
«vidc.ffds»= ffdshow.ax
«VIDC.HFYU»= huffyuv.dll
«msacm.l3codecp»= l3codecp.acm
«vidc.mjpg»= pvmjpg30.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
backup=c:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Instant Update Reminder.lnk]
backup=c:windowspssInstant Update Reminder.lnkCommon Startup[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\U.S. Robotics\ControlCenter\Reminder.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Electronic Arts\Под знаменем Короля-чародея\game.dat»=
«g:\WLASTELIN\game.dat»=
«g:\Warcraft III\Warcraft III.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Application
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync RAPI Manager
«c:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe»=
«c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe»=
«c:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\umi.exe»=
«c:\WINDOWS\htpatch.exe»=
«c:\WINDOWS\Explorer.EXE»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Disabled:ActiveSync Service
«5891:TCP»= 5891:TCP:sdixyohR0 d344bus;d344bus;c:windowssystem32DRIVERSd344bus.sys [2007-03-22 137216]
R0 ps6aktjb;The Matrix Path of Neo Synchronization Driver (ps6aktjb);c:windowssystem32driversps6aktjb.sys [2007-04-20 53152]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [2005-12-07 35328]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-02-06 34312]
R1 tvtool;tvtool;??c:program filesTVTooltvtool.sys [1996-04-04 5248]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};??c:program filesCyberLinkPowerDVD8000.fcl [2008-02-01 18:24:04 41456]
R2 ekrn;Eset Service;»c:program filesESETESET NOD32 Antivirusekrn.exe» [2008-02-06 472320]
R3 WMIBIOS;%WMIBIOS.ServiceName%;c:windowssystem32Driverswmibios.sys [2007-05-29 18272]
R3 WMIINFO;WMIINFO Driver;c:windowssystem32Driverswmiinfo.sys [2007-05-29 21184]
S2 i386si;i386si;??c:windowssystem32driversi386si.sys []
S2 netsik;netsik;??c:windowssystem32driversnetsik.sys []
S2 pr2aktjb;The Matrix Path of Neo Drivers Auto Removal (pr2aktjb);c:windowssystem32pr2aktjb.exe svc []
S2 sfrem02;FrontLine Drivers Auto Removal (v2);c:windowssystem32sfrem02.exe svc []
S2 systemntmi;systemntmi;??c:windowssystem32driverssystemntmi.sys []
S3 A4S2600;A4S2600;c:windowssystem32driversA4S2600.sys [2007-11-27 70336]
S3 huadio;huadio;??c:huadio.tmp []
S4 d344prt;d344prt;c:windowssystem32Driversd344prt.sys [2007-03-22 5248][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2D]
ShellAutoRuncommand — D:RunGame.exe*Newly Created Service* — CATCHME
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-11 00:31:54
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(648)
c:program filesROL Acceleratorprplsf.dll
Completion time: 2009-04-11 0:33:18
ComboFix-quarantined-files.txt 2009-04-10 13:32:57
ComboFix2.txt 2009-04-10 13:28:00Pre-Run: 40 043 429 888 байт свободно
Post-Run: 40,029,786,112 байт свободно
213 — E O F — 2009-03-07 11:23:19
С уважением Николай.Судя по логу, свежую версию Combofix вы не скачали.
Откройте страницу описания программы Combofix, на ней приведены несколько ссылок. Скачайте свежую версию, запустите и получившийся лог вставьте в ваш ответ.- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте Валерий! Я скачал ComboFix по ссылке с Сайта 2, но при перетаскивании CFScript на ComboFix у меня появлялось постоянно сообщение: some installation are corrupt. please download a fresh copy and retry the installation. Поэтому я сделал всё на старой версии ComboFix. Лучше бы не проявлял инициативу. Сейчас скачал ComboFix по ссылке с сайта 1.
Вот лог:
ComboFix 09-04-13.06 — Людмила 2009-04-13 19:36.26 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.148 [GMT 11:00]
Running from: c:documents and settingsЛюдмилаРабочий столComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2009-03-13 to 2009-04-13 )))))))))))))))))))))))))))))))
.2009-04-11 08:31 . 2009-04-11 08:31
d
w C:TEXCACHE
2009-04-08 12:09 . 2009-04-08 12:09
d
w c:documents and settingsДети и внукиDoctorWeb
2009-04-08 12:09 . 2009-04-08 12:09
d
w c:documents and settingsДети и внукиDoctorWeb
2009-04-08 12:02 . 2009-04-08 12:02
d
w c:documents and settingsЛюдмилаDoctorWeb
2009-04-08 12:02 . 2009-04-08 12:02
d
w c:documents and settingsЛюдмилаDoctorWeb
2009-04-08 06:51 . 2009-04-11 09:43
d
w c:documents and settingsAll UsersESET NOD32 Antivirus
2009-04-05 12:10 . 2009-04-05 12:10
d
w c:documents and settings???????? ?? ??????????
2009-04-05 08:39 . 2009-04-05 08:39
d
w c:documents and settings??????????????
2009-04-02 12:30 . 2009-04-02 12:30
d
w c:documents and settingsЛюдмилаApplication DataWinRAR
2009-04-02 11:23 . 2009-04-02 11:23
d
w c:documents and settingsAll UsersApplication DataESET
2009-03-29 21:11 . 2009-03-29 21:11
d
w c:documents and settings??????????????
2009-03-27 12:59 . 2009-03-27 13:00
d
w c:windowsERUNT
2009-03-24 08:58 . 2009-03-24 08:58
d—a-w C:autorun.inf
2009-03-24 08:13 . 2009-03-24 08:13
d
w C:backups
2009-03-23 21:59 . 2009-03-23 21:59
d
w c:documents and settingsЛюдмилаLocal SettingsApplication DataNero
2009-03-20 05:27 . 2009-03-20 05:27 396288 —-a-w C:HijackThis.exe
2009-03-19 08:27 . 2009-03-19 08:28
d
w c:program filesFar
2009-03-19 07:26 . 2009-03-19 07:26
d
w c:program filesWebteh
2009-03-19 07:17 . 2009-03-19 07:17
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataPinnacle
2009-03-19 07:11 . 2009-03-19 07:11
d
w c:documents and settingsДети и внукиApplication DataproDAD
2009-03-19 07:11 . 2009-03-19 07:11
d
w c:program filesproDAD
2009-03-19 07:10 . 2009-04-13 08:30 2177 —-a-w c:windowsGraffiti5.2Pin.ini
2009-03-19 07:10 . 2003-07-09 00:43 45056 —-a-w c:windowssystem32BFXSrcFilter.ax
2009-03-19 07:10 . 2003-07-01 06:49 69632 —-a-w c:windowssystem32MtxPreview.dll
2009-03-19 07:10 . 2003-07-01 06:49 49152 —-a-w c:windowssystem32MtxParhBFXPreview.dll
2009-03-19 07:10 . 2003-06-26 00:04 237568 —-a-r c:windowssystem32qtmlClient.dll
2009-03-19 07:10 . 2003-01-19 23:08 49152 —-a-w c:windowssystem32CvoAPI.dll
2009-03-19 07:09 . 2009-03-22 01:42
d
w c:program filesBoris FX, Inc
2009-03-19 07:07 . 2009-03-19 07:08
d
w C:Studio12UPG
2009-03-19 07:05 . 2009-03-19 07:05
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataMicroVision Applications
2009-03-19 07:05 . 2009-03-19 07:05
d
w c:program filesCommon FilesSureThing Shared
2009-03-19 07:05 . 2009-04-05 12:22
d
w c:program filesSureThing Express Labeler
2009-03-19 07:01 . 2005-09-23 13:18 171520 —-a-w c:windowssystem32driversMarvinBus.sys
2009-03-19 07:00 . 2009-03-19 07:02
dc—-w c:windowssystem32DRVSTORE
2009-03-19 07:00 . 2009-03-19 07:00
d
w c:program filesCommon FilesPinnacle
2009-03-19 06:59 . 2009-03-19 06:59
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataDownloaded Installations
2009-03-19 06:59 . 2009-03-19 06:59
d
w c:documents and settingsAll UsersApplication DataPinnacle Studio Ultimate
2009-03-19 06:37 . 2009-03-19 07:08
d
w c:program filesPinnacle
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:program filesCommon FilesYahoo!
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:documents and settingsAll UsersApplication DataStudio 12
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:documents and settingsAll UsersApplication DataPinnacle Studio Plus
2009-03-19 06:18 . 2009-03-19 07:03
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-03-19 06:16 . 2009-03-19 06:18
d
w C:Studio12Plusup
2009-03-18 21:35 . 2009-03-18 21:35
d
w c:documents and settingsЛюдмилаApplication DataGoogle
2009-03-18 13:22 . 2009-03-18 13:22
d
w c:documents and settingsДети и внукиApplication DataPublish Providers
2009-03-18 13:22 . 2009-03-18 13:22
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataSony
2009-03-18 13:22 . 2009-03-18 13:22
d
w c:documents and settingsДети и внукиApplication DataSony
2009-03-18 13:12 . 2009-03-18 13:12
d
w c:program filesVstplugins
2009-03-18 13:12 . 2009-03-18 13:12
d
w c:documents and settingsAll UsersApplication DataSony
2009-03-18 13:11 . 2009-03-18 13:11
d
w c:program filesSony
2009-03-18 13:06 . 2009-03-18 13:06
d
w c:documents and settingsДети и внукиApplication DataSony Setup
2009-03-18 11:35 . 2009-03-18 11:35
d
w c:documents and settingsЛюдмилаApplication DataNero
2009-03-18 11:12 . 2009-03-18 11:12
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataGoogle
2009-03-18 11:12 . 2009-03-18 11:12
d
w c:documents and settingsДети и внукиApplication DataGoogle
2009-03-18 11:11 . 2009-03-18 11:12
d
w c:program filesGoogle
2009-03-18 11:10 . 2009-03-18 11:10
d
w c:program filesCommon FilesCyberLink
2009-03-18 10:45 . 2009-03-18 10:45
d
w c:documents and settingsДети и внукиLocal SettingsApplication DataNero
2009-03-18 10:30 . 2009-03-18 10:30
d
w c:documents and settingsДети и внукиApplication DataNero
2009-03-18 10:26 . 2009-03-18 10:29
d
w c:program filesCommon FilesNero
2009-03-18 10:26 . 2009-03-18 10:27
d
w c:documents and settingsAll UsersApplication DataNero
2009-03-18 10:26 . 2009-03-18 10:26
d
w c:program filesNero
2009-03-18 07:05 . 2009-03-18 07:06
d
w c:documents and settingsДети и внукиApplication DataMedia Player Classic
2009-03-16 21:56 . 2009-03-16 21:56
d
w c:documents and settingsЛюдмилаApplication DataSony Corporation
2009-03-15 04:42 . 1995-01-01 00:00 44 —-a-w C:Track01.cda.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-13 08:32 . 2007-04-22 00:41 755216 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-04-12 11:22 . 2007-04-22 08:32
d
w c:program filesEasyRecoveryPro6.04
2009-04-11 08:23 . 2008-12-11 13:08
d
w c:program filesFinal Codecs
2009-04-10 13:33 . 2009-04-10 13:33 16088 —-a-w C:сравни.txt
2009-04-06 08:52 . 2008-05-02 02:40
d
w c:program filesНовый Диск
2009-04-05 12:01 . 2007-03-22 07:11
d—h—w c:program filesInstallShield Installation Information
2009-04-02 11:23 . 2008-12-03 06:52
d
w c:program filesEset
2009-03-25 22:12 . 2009-03-25 22:12 13215 —-a-w C:hijackthis.log
2009-03-24 08:28 . 2009-03-24 08:28 33850 —-a-w C:avenger.txt
2009-03-23 22:00 . 2007-03-31 00:49 96216 —-a-w c:documents and settingsЛюдмилаLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-22 07:46 . 2007-08-29 21:38 98304 —-a-w c:windowssystem32CmdLineExt.dll
2009-03-19 08:33 . 2008-12-11 13:13
d
w c:documents and settingsДети и внукиApplication DataBSplayer PRO
2009-03-19 07:48 . 2007-03-21 09:17 96216 -c—a-w c:documents and settingsДети и внукиLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-18 12:17 . 2008-12-11 13:03
d
w c:program filesDivX
2009-03-18 11:23 . 2007-06-30 08:37
d
w c:documents and settingsДети и внукиApplication DataCyberLink
2009-03-18 11:14 . 2008-12-29 13:24
d
w c:program filesCyberLink
2009-03-18 11:11 . 2008-12-03 08:36
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-03-18 08:53 . 2007-03-27 09:26
d
w c:program filesAhead
2009-03-03 07:42 . 2007-03-22 08:56
d
w c:program filesCommon FilesAdobe
2009-03-02 21:46 . 2008-10-07 21:19 113647 —-a-w C:Output.prn
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-14 1694208]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2007-12-13 1688872]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.911.3380GoogleToolbarNotifier.exe» [2009-03-18 162744][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-16 86016]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-16 13529088]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-07-29 3110392]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCam10QuickCam10.exe» [2007-02-08 774168]
«LogitechCommunicationsManager»=»c:program filesCommon FilesLogiShrdLComMgrCommunications_Helper.exe» [2007-02-08 488984]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-12-03 2213160]
«RemoteControl8″=»c:program filesCyberLinkPowerDVD8PDVD8Serv.exe» [2008-03-20 83240]
«PDVD8LanguageShortcut»=»c:program filesCyberLinkPowerDVD8LanguageLanguage.exe» [2007-12-14 50472]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-03-21 91432]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-02-06 1443072]
«WinGuard Pro»=»c:windowssystem32wgp.exe» [2007-10-04 307200]
«ISUSPM Startup»=»c:progra~1COMMON~1INSTAL~1UPDATE~1ISUSPM.exe» [2005-02-16 221184]
«ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-02-16 81920]
«SoundMan»=»SOUNDMAN.EXE» [2003-03-27 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«WUAppSetup»=»c:program filesCommon FileslogishrdWUApp32.exe» [2007-02-04 435736]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings‹о¤¬Ё« ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
‡ ЇгбвЁвм ђЋ‹ “бЄ®аЁвҐ«м.lnk — c:program filesROL AcceleratorPropelAC.exe [2008-06-13 917545]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-03-03 113664]
ATISched.lnk — c:atiATIDESKatisched.exe [2008-12-03 45568]
Logitech Desktop Messenger.lnk — c:program filesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe [2008-12-20 67128][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= DivXa32.acm
«vidc.ffds»= ffdshow.ax
«VIDC.HFYU»= huffyuv.dll
«msacm.l3codecp»= l3codecp.acm
«vidc.mjpg»= pvmjpg30.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
backup=c:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Instant Update Reminder.lnk]
backup=c:windowspssInstant Update Reminder.lnkCommon Startup[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\U.S. Robotics\ControlCenter\Reminder.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Electronic Arts\Под знаменем Короля-чародея\game.dat»=
«g:\WLASTELIN\game.dat»=
«g:\Warcraft III\Warcraft III.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Application
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync RAPI Manager
«c:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe»=
«c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe»=
«c:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\umi.exe»=
«c:\WINDOWS\htpatch.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Disabled:ActiveSync Service
«5891:TCP»= 5891:TCP:sdixyohR2 i386si;i386si; [x]
R2 netsik;netsik; [x]
R2 pr2aktjb;The Matrix Path of Neo Drivers Auto Removal (pr2aktjb); [x]
R2 sfrem02;FrontLine Drivers Auto Removal (v2); [x]
R2 systemntmi;systemntmi; [x]
R3 huadio;huadio; [x]
R4 d344prt;d344prt;c:windowssystem32Driversd344prt.sys [2003-12-27 5248]
S0 d344bus;d344bus;c:windowssystem32DRIVERSd344bus.sys [2003-12-27 137216]
S0 ps6aktjb;The Matrix Path of Neo Synchronization Driver (ps6aktjb);c:windowssystem32driversps6aktjb.sys [2007-04-20 53152]
S0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowsSystem32driverssfsync03.sys [2005-12-07 35328]
S1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-02-06 34312]
S1 tvtool;tvtool;c:program filesTVTooltvtool.sys [1996-04-04 5248]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:program filesCyberLinkPowerDVD8000.fcl [2008-02-01 18:24 41456]
S2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-02-06 472320]
S3 WMIBIOS;%WMIBIOS.ServiceName%;c:windowssystem32Driverswmibios.sys [2002-10-15 18272]
S3 WMIINFO;WMIINFO Driver;c:windowssystem32Driverswmiinfo.sys [2002-05-13 21184].
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mSearch Bar = hxxp://www.24w.ru/search.php
uInternet Settings,ProxyServer = http=localhost:8080
uInternet Settings,ProxyOverride =
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Загрузить изображение без потери качества — c:program filesROL Acceleratorpac-image.html
IE: Загрузить страницу без потери качества — c:program filesROL Acceleratorpac-page.html
IE: Закачать все при помощи FlashGet — c:progra~1FlashGetjc_all.htm
IE: Закачать при помощи FlashGet — c:progra~1FlashGetjc_link.htm
IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/SEARCH.HTM
IE: Разрешить всплывающие окна с этого сайта — c:program filesROL Acceleratorpac-addwl.html
IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/TRANSLATE.HTM
IE: {{10954C80-4F0F-11d3-B17C-00C0DFE39737} — http://www.24w.ru
IE: {{10954C80-4F0F-11d3-B17C-00C0DFE39738} — http://www.umatno.ru
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — c:program filesPRMT6PRMTIEprmtie5.htm
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — c:program filesPRMT6PRMTIEoptions.htm
LSP: c:program filesROL Acceleratorprplsf.dll
Handler: bwfile-8876480 — {9462A756-7B47-47BC-8C80-C34B9B80B32B} — c:program filesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-13 19:41
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_USERSS-1-5-21-1202660629-308236825-1801674531-1004SoftwareMicrosoftSystemCertificatesAddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(644)
c:program filesROL Acceleratorprplsf.dll— — — — — — — > ‘explorer.exe'(13644)
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Completion time: 2009-04-13 19:43
ComboFix-quarantined-files.txt 2009-04-13 08:43Pre-Run: 39 975 059 456 байт свободно
Post-Run: 39,965,626,368 байт свободноCurrent=1 Default=1 Failed=4 LastKnownGood=2 Sets=,1,2,3,4,5,6,7,8,9
246 — E O F — 2009-03-07 11:23
Извините за назойливость. Вроде бы всё работает, кроме справка и поддержка. Не открывается. Я на ней зациклился. С уважением Николай.Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
i386si
netsik
systemntmiЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.кроме справка и поддержка
Не работает внутренняя Windows служба справки ?
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте Валерий! Спасибо за помощь. Да, внутренние службы Windows тоже не работают.
Выполнил Ваши рекомендации. Вот лог:
ComboFix 09-04-13.06 — Людмила 2009-04-18 23:13.27 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.239 [GMT 11:00]
Running from: c:documents and settingsЛюдмилаРабочий столComboFix.exe
Command switches used :: c:documents and settingsЛюдмилаРабочий столCFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
..
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_I386SI
Legacy_NETSIK
Legacy_SYSTEMNTMI
Service_i386si
Service_netsik
Service_systemntmi((((((((((((((((((((((((( Files Created from 2009-03-18 to 2009-04-18 )))))))))))))))))))))))))))))))
.2009-04-18 00:38 . 2009-04-18 00:38
d
w c:program filesESET
2009-04-17 22:46 . 2009-04-17 22:48 20992 —-a-w C:заголовок.doc
2009-04-14 12:11 . 2009-04-14 12:11 1374 —-a-w c:windowsimsins.BAK
2009-04-11 08:31 . 2009-04-11 08:31
d
w C:TEXCACHE
2009-04-08 12:09 . 2009-04-08 12:09
d
w c:documents and settingsДети и внукиDoctorWeb
2009-04-08 12:09 . 2009-04-08 12:09
d
w c:documents and settingsДети и внукиDoctorWeb
2009-04-08 12:02 . 2009-04-08 12:02
d
w c:documents and settingsЛюдмилаDoctorWeb
2009-04-08 12:02 . 2009-04-08 12:02
d
w c:documents and settingsЛюдмилаDoctorWeb
2009-04-05 12:10 . 2009-04-05 12:10
d
w c:documents and settings???????? ?? ??????????
2009-04-05 08:39 . 2009-04-05 08:39
d
w c:documents and settings??????????????
2009-04-02 11:23 . 2009-04-02 11:23
d
w c:documents and settingsAll UsersApplication DataESET
2009-03-29 21:11 . 2009-03-29 21:11
d
w c:documents and settings??????????????
2009-03-27 12:59 . 2009-03-27 13:00
d
w c:windowsERUNT
2009-03-24 08:58 . 2009-03-24 08:58
d—a-w C:autorun.inf
2009-03-24 08:13 . 2009-03-24 08:13
d
w C:backups
2009-03-23 21:59 . 2009-03-23 21:59
d
w c:documents and settingsЛюдмилаLocal SettingsApplication DataNero
2009-03-20 05:27 . 2009-03-20 05:27 396288 —-a-w C:HijackThis.exe.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-18 11:58 . 2007-04-22 00:41 755216 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-04-13 08:43 . 2009-04-13 08:43 19119 —-a-w C:ремонт.txt
2009-04-12 11:22 . 2007-04-22 08:32
d
w c:program filesEasyRecoveryPro6.04
2009-04-11 08:23 . 2008-12-11 13:08
d
w c:program filesFinal Codecs
2009-04-10 13:33 . 2009-04-10 13:33 16088 —-a-w C:сравни.txt
2009-04-06 08:52 . 2008-05-02 02:40
d
w c:program filesНовый Диск
2009-04-05 12:22 . 2009-03-19 07:05
d
w c:program filesSureThing Express Labeler
2009-04-05 12:01 . 2007-03-22 07:11
d—h—w c:program filesInstallShield Installation Information
2009-03-25 22:12 . 2009-03-25 22:12 13215 —-a-w C:hijackthis.log
2009-03-24 08:28 . 2009-03-24 08:28 33850 —-a-w C:avenger.txt
2009-03-23 22:00 . 2007-03-31 00:49 96216 —-a-w c:documents and settingsЛюдмилаLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-22 07:46 . 2007-08-29 21:38 98304 —-a-w c:windowssystem32CmdLineExt.dll
2009-03-22 01:42 . 2009-03-19 07:09
d
w c:program filesBoris FX, Inc
2009-03-19 08:33 . 2008-12-11 13:13
d
w c:documents and settingsДети и внукиApplication DataBSplayer PRO
2009-03-19 08:28 . 2009-03-19 08:27
d
w c:program filesFar
2009-03-19 07:48 . 2007-03-21 09:17 96216 -c—a-w c:documents and settingsДети и внукиLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-19 07:26 . 2009-03-19 07:26
d
w c:program filesWebteh
2009-03-19 07:11 . 2009-03-19 07:11
d
w c:documents and settingsДети и внукиApplication DataproDAD
2009-03-19 07:11 . 2009-03-19 07:11
d
w c:program filesproDAD
2009-03-19 07:08 . 2009-03-19 06:37
d
w c:program filesPinnacle
2009-03-19 07:05 . 2009-03-19 07:05
d
w c:program filesCommon FilesSureThing Shared
2009-03-19 07:03 . 2009-03-19 06:18
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-03-19 07:00 . 2009-03-19 07:00
d
w c:program filesCommon FilesPinnacle
2009-03-19 06:59 . 2009-03-19 06:59
d
w c:documents and settingsAll UsersApplication DataPinnacle Studio Ultimate
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:program filesCommon FilesYahoo!
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:documents and settingsAll UsersApplication DataStudio 12
2009-03-19 06:37 . 2009-03-19 06:37
d
w c:documents and settingsAll UsersApplication DataPinnacle Studio Plus
2009-03-18 13:22 . 2009-03-18 13:22
d
w c:documents and settingsДети и внукиApplication DataPublish Providers
2009-03-18 13:22 . 2009-03-18 13:22
d
w c:documents and settingsДети и внукиApplication DataSony
2009-03-18 13:12 . 2009-03-18 13:12
d
w c:program filesVstplugins
2009-03-18 13:12 . 2009-03-18 13:12
d
w c:documents and settingsAll UsersApplication DataSony
2009-03-18 13:11 . 2009-03-18 13:11
d
w c:program filesSony
2009-03-18 13:06 . 2009-03-18 13:06
d
w c:documents and settingsДети и внукиApplication DataSony Setup
2009-03-18 12:17 . 2008-12-11 13:03
d
w c:program filesDivX
2009-03-18 11:35 . 2009-03-18 11:35
d
w c:documents and settingsЛюдмилаApplication DataNero
2009-03-18 11:23 . 2007-06-30 08:37
d
w c:documents and settingsДети и внукиApplication DataCyberLink
2009-03-18 11:14 . 2008-12-29 13:24
d
w c:program filesCyberLink
2009-03-18 11:12 . 2009-03-18 11:11
d
w c:program filesGoogle
2009-03-18 11:11 . 2008-12-03 08:36
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-03-18 11:10 . 2009-03-18 11:10
d
w c:program filesCommon FilesCyberLink
2009-03-18 10:30 . 2009-03-18 10:30
d
w c:documents and settingsДети и внукиApplication DataNero
2009-03-18 10:29 . 2009-03-18 10:26
d
w c:program filesCommon FilesNero
2009-03-18 10:27 . 2009-03-18 10:26
d
w c:documents and settingsAll UsersApplication DataNero
2009-03-18 10:26 . 2009-03-18 10:26
d
w c:program filesNero
2009-03-18 08:53 . 2007-03-27 09:26
d
w c:program filesAhead
2009-03-18 07:06 . 2009-03-18 07:05
d
w c:documents and settingsДети и внукиApplication DataMedia Player Classic
2009-03-16 21:56 . 2009-03-16 21:56
d
w c:documents and settingsЛюдмилаApplication DataSony Corporation
2009-03-03 07:42 . 2007-03-22 08:56
d
w c:program filesCommon FilesAdobe
2009-03-02 21:46 . 2008-10-07 21:19 113647 —-a-w C:Output.prn
2009-02-09 14:18 . 2004-08-18 12:00 1846400 —-a-w c:windowssystem32win32k.sys
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-14 1694208]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2007-12-13 1688872]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.911.3380GoogleToolbarNotifier.exe» [2009-03-18 162744][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-16 86016]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-16 13529088]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-07-29 3110392]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCam10QuickCam10.exe» [2007-02-08 774168]
«LogitechCommunicationsManager»=»c:program filesCommon FilesLogiShrdLComMgrCommunications_Helper.exe» [2007-02-08 488984]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-12-03 2213160]
«RemoteControl8″=»c:program filesCyberLinkPowerDVD8PDVD8Serv.exe» [2008-03-20 83240]
«PDVD8LanguageShortcut»=»c:program filesCyberLinkPowerDVD8LanguageLanguage.exe» [2007-12-14 50472]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-03-21 91432]
«WinGuard Pro»=»c:windowssystem32wgp.exe» [2007-10-04 307200]
«ISUSPM Startup»=»c:progra~1COMMON~1INSTAL~1UPDATE~1ISUSPM.exe» [2005-02-16 221184]
«ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-02-16 81920]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-02-06 1443072]
«SoundMan»=»SOUNDMAN.EXE» [2003-03-27 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«WUAppSetup»=»c:program filesCommon FileslogishrdWUApp32.exe» [2007-02-04 435736]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings„ҐвЁ Ё ўгЄЁѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Webshots.lnk — c:program filesWebshotsLauncher.exe [2007-05-31 63064]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — g:sonyVolumeWatcherSPUVolumeWatcher.exe [2008-12-31 376832]c:documents and settings‹о¤¬Ё« ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
‡ ЇгбвЁвм ђЋ‹ “бЄ®аЁвҐ«м.lnk — c:program filesROL AcceleratorPropelAC.exe [2008-06-13 917545]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-03-03 113664]
ATISched.lnk — c:atiATIDESKatisched.exe [2008-12-03 45568]
Logitech Desktop Messenger.lnk — c:program filesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe [2008-12-20 67128][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= DivXa32.acm
«vidc.ffds»= ffdshow.ax
«VIDC.HFYU»= huffyuv.dll
«msacm.l3codecp»= l3codecp.acm
«vidc.mjpg»= pvmjpg30.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
backup=c:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Instant Update Reminder.lnk]
backup=c:windowspssInstant Update Reminder.lnkCommon Startup[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\U.S. Robotics\ControlCenter\Reminder.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Electronic Arts\Под знаменем Короля-чародея\game.dat»=
«g:\WLASTELIN\game.dat»=
«g:\Warcraft III\Warcraft III.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Application
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Disabled:ActiveSync RAPI Manager
«c:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe»=
«c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe»=
«c:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 12\Programs\umi.exe»=
«c:\WINDOWS\htpatch.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Disabled:ActiveSync Service
«5891:TCP»= 5891:TCP:sdixyohR2 pr2aktjb;The Matrix Path of Neo Drivers Auto Removal (pr2aktjb); [x]
R2 sfrem02;FrontLine Drivers Auto Removal (v2); [x]
R3 huadio;huadio; [x]
R4 d344prt;d344prt;c:windowssystem32Driversd344prt.sys [2003-12-27 5248]
S0 d344bus;d344bus;c:windowssystem32DRIVERSd344bus.sys [2003-12-27 137216]
S0 ps6aktjb;The Matrix Path of Neo Synchronization Driver (ps6aktjb);c:windowssystem32driversps6aktjb.sys [2007-04-20 53152]
S0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowsSystem32driverssfsync03.sys [2005-12-07 35328]
S1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-02-06 34312]
S1 tvtool;tvtool;c:program filesTVTooltvtool.sys [1996-04-04 5248]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:program filesCyberLinkPowerDVD8000.fcl [2008-02-01 18:24 41456]
S2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-02-06 472320]
S3 WMIBIOS;%WMIBIOS.ServiceName%;c:windowssystem32Driverswmibios.sys [2002-10-15 18272]
S3 WMIINFO;WMIINFO Driver;c:windowssystem32Driverswmiinfo.sys [2002-05-13 21184].
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mSearch Bar = hxxp://www.24w.ru/search.php
uInternet Settings,ProxyServer = http=localhost:8080
uInternet Settings,ProxyOverride =
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Загрузить изображение без потери качества — c:program filesROL Acceleratorpac-image.html
IE: Загрузить страницу без потери качества — c:program filesROL Acceleratorpac-page.html
IE: Закачать все при помощи FlashGet — c:progra~1FlashGetjc_all.htm
IE: Закачать при помощи FlashGet — c:progra~1FlashGetjc_link.htm
IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/SEARCH.HTM
IE: Разрешить всплывающие окна с этого сайта — c:program filesROL Acceleratorpac-addwl.html
IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/TRANSLATE.HTM
IE: {{10954C80-4F0F-11d3-B17C-00C0DFE39737} — http://www.24w.ru
IE: {{10954C80-4F0F-11d3-B17C-00C0DFE39738} — http://www.umatno.ru
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — c:program filesPRMT6PRMTIEprmtie5.htm
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — c:program filesPRMT6PRMTIEoptions.htm
LSP: c:program filesROL Acceleratorprplsf.dll
Handler: bwfile-8876480 — {9462A756-7B47-47BC-8C80-C34B9B80B32B} — c:program filesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-18 23:28
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(652)
c:program filesROL Acceleratorprplsf.dll— — — — — — — > ‘explorer.exe'(9280)
c:program filesCommon FilesLogishrdLVMVFMLVPrcInj.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Other Running Processes
.
c:program filesCommon FileslogishrdLVMVFMLVPrcSrv.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesNeroNero8Nero BackItUpNBService.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FileslogishrdLComMgrLVComSX.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:program filesCommon FileslogishrdLQCVFXCOCIManager.exe
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-04-18 23:31 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-18 12:31Pre-Run: 39 761 608 704 байт свободно
Post-Run: 39,714,918,400 байт свободноCurrent=1 Default=1 Failed=4 LastKnownGood=2 Sets=,1,2,3,4,5,6,7,8,9
247 — E O F — 2009-04-16 21:10Лог выглядит нормально.
Какую ошибку выдаёт Windows при попытке открыть справку из меню Пуск ?- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Windows вообще молчит. Справка и поддержка не открывается ни через меню Пуск, ни через служебные программы, ни через командную строку.
Попробуйте следующее:
Кликните Пуск, Выполнить
Введите %Windir%PCHealthHelpCtrBinariesHelpCtr.exe и нажмите Enter.Запустилась служба помощи ?
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте Валерий! Выполнил Ваши рекомендации — служба помощи не запустилась.
Попробывал пуск, Выполнить %Systemroot%/system32/restore/rstrui.exe enter — открылось чистое белое окно
Восстановление системы, а дальше молчание.Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования запишите на рабочий стол.Откройте папку C:WindowsPCHealthHelpCtrBinaries и проверить наличие в ней файла HelpCtr.exe.
Если есть то попробуйте запустить его.В ваш ответ вставьте результаты сканирования онлайн сканером и свежий Combofix лог.
- Для ответа в этой теме необходимо авторизоваться.
