- This topic has 6 ответов, 3 участника, and was last updated 15 years, 4 months назад by
.
-
Сообщения
-
Здравствуйте!
Около часа назад, когда я сидел в интернете, мой NOD32 выдал сообщение, что файл C:windowsinstaller(вот дальнейшее название папки замутное какое-то, в логах не сохранил:))accicons.exe. Якобы это Win32/TrojanDownloader.Agent. До этого ничего не беспокоило, лишних процессов нет, в автозагрузке всё нормально…
Что это за файл «accicons.exe»???
На вирустотал 2 попадания из 40.
Заранее спасибо!info.txt logfile of random’s system information tool 1.06 2010-04-19 17:25:01
======Uninstall list======
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
2IP StartGuard (v1.0)—>»D:Program Files2IPStartGuardunins000.exe»
ABBYY Lingvo 11 English-Russian Dictionary—>MsiExec.exe /I{AA11000A-C75E-487C-88FC-37AA1AACFB61}
Adobe Flash Player 10 Plugin—>C:WINDOWSsystem32MacromedFlashuninstall_plugin.exe
Avance AC’97 Audio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{FB08F381-6533-4108-B7DD-039E11FBC27E}setup.exe» REMOVE
CCleaner (remove only)—>»C:Program FilesCCleaneruninst.exe»
Data Access Objects (DAO) 3.5—>C:WINDOWSIsUninst.exe -f»C:Program FilesCommon FilesMicrosoft SharedDAOUninst.isu»
Download Master 5.5.13.1173—>»C:Program FilesDownload Masterunins000.exe»
eMule 0.49c—>C:Program FileseMuleUninstall.exe
Everest 5.02.1750—>C:Program FilesEverestUninstall.exe
Flash 1.5—>C:Program FilesFlashUninstall.exe
Foxit Reader 3.0 Build 1817—>C:Program FilesFoxit ReaderUninstall.exe
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
HiJackThis—>MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)—>C:WINDOWSsystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=»»
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)—>C:WINDOWSsystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=»»
IBM ViaVoice Command and Control Runtime 5.3 — UK English—>C:ViaVoiceBinvunUK.exe ProdRunControl Dc En_UK ‘IBM ViaVoice™ Command and Control Runtime’ C:WINDOWSIsUninst.exe -fC:ViaVoiceDeIsL1.isu
iColorFolder 1.5.0.1—>C:Program FilesiColorFolderUninstall.exe
Java(TM) 6 Update 16—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
K-Lite Mega Codec Pack 5.1.0—>»C:Program FilesK-Lite Codec Packunins000.exe»
LClock—>C:Program FilesLClockUninstall.exe
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1 Security Update (KB953297)—>»C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Updateshotfix.exe» «C:WINDOWSMicrosoft.NETFrameworkv1.1.4322UpdatesM953297M953297Uninstall.msp»
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2—>MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2—>MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1—>C:WINDOWSMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 SP1setup.exe
Microsoft .NET Framework 3.5 SP1—>MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 ATL Update kb973924 — x86 9.0.30729.4148—>MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable — x86 9.0.30729.17—>MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MiraScan 6.1 (5000)—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{EA2E8D6D-EE50-4689-B7ED-1E580BC04CC1}Setup.exe» -l0x19
Mozilla Firefox (3.6.3)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
MSXML 4.0 SP3 Parser (KB973685)—>MsiExec.exe /I{859DFA95-E4A6-48CD-B88E-A3E483E89B44}
MSXML 4.0 SP3 Parser—>MsiExec.exe /I{196467F1-C11F-4F76-858B-5812ADC83B94}
Nero 6—>C:Program FilesAheadnerouninstallUNNERO.exe /UNINSTALL
NJStar Chinese Pen—>D:Program FilesNJStar Chinese Penuninst.exe
NJStar Chinese WP—>D:Program FilesNJStar Chinese WPuninst.exe
Paint.NET v 3.36—>rundll32.exe advpack.dll,LaunchINFSection PaintDN.inf,Uninstall
PDF to Word—>»C:Program FilesPDF to Wordunins000.exe»
Power Record Trial—>C:WINDOWSIsUninst.exe -f»D:Program FilesBlaze AudioPower Record TrialUninst.isu»
Process Master 1.1—>»D:Program FilesProcess Masterunins000.exe»
REWARD InterN@tive—>C:WINDOWSIsUn0419.exe -f»d:Program FilesUninst.isu»
RocketDock 1.3.5—>»C:Program FilesRocketDockunins000.exe»
SAMSUNG CDMA Modem Driver Set—>C:WINDOWSsystem32Samsung_USB_Drivers3SSCDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software—>C:WINDOWSsystem32Samsung_USB_Drivers1SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software—>C:WINDOWSsystem32Samsung_USB_Drivers2SSM_Uninstall.exe
Samsung PC Studio 3 USB Driver Installer—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1050Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}setup.exe» -l0x19 -removeonly
Samsung PC Studio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1050Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{C4A4722E-79F9-417C-BD72-8D359A090C97}setup.exe» -l0x19 -removeonly
Skype—>C:Program FilesSkypeUninstall.exe
Sogou Pinyin 3.5 Olympic Version—>»C:Program FilesSogouInputUninstall.exe»
Total Commander 7.50—>C:Program FilesTotal CommanderUninstall.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)—>C:WINDOWSsystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=»»
USBDiskSecurity 5.2.0.5—>C:Program FilesUSBDiskSecurityUninstall.exe
uTorrent 1.8.4.16442—>C:Program FilesuTorrentUninstall.exe
Vista Drive Icon—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFVistaDrv.inf,Uninstall
Winamp 5.56.2512—>C:Program FilesWinampUninstall.exe
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Боковая панель Windows—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFSidebar.inf,DefaultUnInstall
Исправление для Windows XP (KB979306)—>»C:WINDOWS$NtUninstallKB979306$spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 8 (KB978207)—>»C:WINDOWSie8updatesKB978207-IE8spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 8 (KB981332)—>»C:WINDOWSie8updatesKB981332-IE8spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB958869)—>»C:WINDOWS$NtUninstallKB958869$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB969059)—>»C:WINDOWS$NtUninstallKB969059$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB969947)—>»C:WINDOWS$NtUninstallKB969947$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB970430)—>»C:WINDOWS$NtUninstallKB970430$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB971468)—>»C:WINDOWS$NtUninstallKB971468$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB971486)—>»C:WINDOWS$NtUninstallKB971486$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB972270)—>»C:WINDOWS$NtUninstallKB972270$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB973904)—>»C:WINDOWS$NtUninstallKB973904$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB974112)—>»C:WINDOWS$NtUninstallKB974112$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB974318)—>»C:WINDOWS$NtUninstallKB974318$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB974392)—>»C:WINDOWS$NtUninstallKB974392$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB974571)—>»C:WINDOWS$NtUninstallKB974571$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB975025)—>»C:WINDOWS$NtUninstallKB975025$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB975467)—>»C:WINDOWS$NtUninstallKB975467$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB975560)—>»C:WINDOWS$NtUninstallKB975560$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB975561)—>»C:WINDOWS$NtUninstallKB975561$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB975713)—>»C:WINDOWS$NtUninstallKB975713$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB977165)—>»C:WINDOWS$NtUninstallKB977165$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB977816)—>»C:WINDOWS$NtUninstallKB977816$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB977914)—>»C:WINDOWS$NtUninstallKB977914$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB978037)—>»C:WINDOWS$NtUninstallKB978037$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB978251)—>»C:WINDOWS$NtUninstallKB978251$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB978262)—>»C:WINDOWS$NtUninstallKB978262$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB978338)—>»C:WINDOWS$NtUninstallKB978338$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB978601)—>»C:WINDOWS$NtUninstallKB978601$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB979309)—>»C:WINDOWS$NtUninstallKB979309$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB979683)—>»C:WINDOWS$NtUninstallKB979683$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB980232)—>»C:WINDOWS$NtUninstallKB980232$spuninstspuninst.exe»
Обновление безопасности для проигрывателя Windows Media — (KB954155)—>»C:WINDOWS$NtUninstallKB954155_WM9$spuninstspuninst.exe»
Обновление безопасности для проигрывателя Windows Media — (KB968816)—>»C:WINDOWS$NtUninstallKB968816_WM9$spuninstspuninst.exe»
Обновление для Windows Internet Explorer 8 (KB976662)—>»C:WINDOWSie8updatesKB976662-IE8spuninstspuninst.exe»
Обновление для Windows Internet Explorer 8 (KB980182)—>»C:WINDOWSie8updatesKB980182-IE8spuninstspuninst.exe»
Обновление для Windows XP (KB955759)—>»C:WINDOWS$NtUninstallKB955759$spuninstspuninst.exe»
Обновление для Windows XP (KB971737)—>»C:WINDOWS$NtUninstallKB971737$spuninstspuninst.exe»
Обновление для Windows XP (KB973687)—>»C:WINDOWS$NtUninstallKB973687$spuninstspuninst.exe»
Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office—>MsiExec.exe /X{90120000-0020-0419-0000-0000000FF1CE}
СёАЧ5—>»D:Program FilesThunder NetworkThunderuninstall.exe»======Security center information======
AV: ESET NOD32 Antivirus 4.0
======System event log======
Computer Name: MICROSOF-49490B
Event Code: 4201
Message: Система обнаружила, что сетевой адаптер DEVICETCPIP_{92088DC9-48DE-44BF-961B-D0FFAF8637FA} был подключен к сети,
и инициировала нормальную работу через этот сетевой адаптер.Record Number: 6163
Source Name: Tcpip
Time Written: 20100403142937.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 7034
Message: Служба «Установщик Windows» неожиданно прервана. Это произошло (раз): 1.Record Number: 6162
Source Name: Service Control Manager
Time Written: 20100403142340.000000+240
Event Type: ошибка
User:Computer Name: MICROSOF-49490B
Event Code: 7036
Message: Служба «Установщик Windows» перешла в состояние Работает.Record Number: 6161
Source Name: Service Control Manager
Time Written: 20100403142150.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 7035
Message: Служба «Установщик Windows» успешно отправила управляющий элемент «запустить».Record Number: 6160
Source Name: Service Control Manager
Time Written: 20100403142150.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEMComputer Name: MICROSOF-49490B
Event Code: 7034
Message: Служба «Служба шлюза уровня приложения» неожиданно прервана. Это произошло (раз): 1.Record Number: 6159
Source Name: Service Control Manager
Time Written: 20100403141735.000000+240
Event Type: ошибка
User:=====Application event log=====
Computer Name: MICROSOF-49490B
Event Code: 15504
Message: Проверка подлинности в проводной сети по протоколу 802.1X перезапущена.Сетевой адаптер: Realtek RTL8139/810x Family Fast Ethernet NIC — Минипорт планировщика пакетов
GUID интерфейса: {92088dc9-48de-44bf-961b-d0ffaf8637fa}
ИД подключения: 0x00000001
Причина перезапуска: Инициировано одноранговым компьютером
Record Number: 6092
Source Name: Dot3Svc
Time Written: 20100412165650.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 15504
Message: Проверка подлинности в проводной сети по протоколу 802.1X перезапущена.Сетевой адаптер: Realtek RTL8139/810x Family Fast Ethernet NIC — Минипорт планировщика пакетов
GUID интерфейса: {92088dc9-48de-44bf-961b-d0ffaf8637fa}
ИД подключения: 0x00000001
Причина перезапуска: Инициировано одноранговым компьютером
Record Number: 6091
Source Name: Dot3Svc
Time Written: 20100412165650.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 15505
Message: Проверка подлинности в проводной сети по протоколу 802.1X выполнена успешно.Сетевой адаптер: Realtek RTL8139/810x Family Fast Ethernet NIC — Минипорт планировщика пакетов
GUID интерфейса: {92088dc9-48de-44bf-961b-d0ffaf8637fa}
Адрес назначения: 002191973452
Локальный адрес: 00016CD1EF08
ИД подключения: 0x00000001
Удостоверение: mks3172441
Пользователь: Admin
Домен: MICROSOF-49490B
Причина: 0
Текст причины: Операция выполнена успешно
Код ошибки: 0
Record Number: 6090
Source Name: Dot3Svc
Time Written: 20100412165153.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 15504
Message: Проверка подлинности в проводной сети по протоколу 802.1X перезапущена.Сетевой адаптер: Realtek RTL8139/810x Family Fast Ethernet NIC — Минипорт планировщика пакетов
GUID интерфейса: {92088dc9-48de-44bf-961b-d0ffaf8637fa}
ИД подключения: 0x00000001
Причина перезапуска: Инициировано одноранговым компьютером
Record Number: 6089
Source Name: Dot3Svc
Time Written: 20100412165152.000000+240
Event Type: информация
User:Computer Name: MICROSOF-49490B
Event Code: 15504
Message: Проверка подлинности в проводной сети по протоколу 802.1X перезапущена.Сетевой адаптер: Realtek RTL8139/810x Family Fast Ethernet NIC — Минипорт планировщика пакетов
GUID интерфейса: {92088dc9-48de-44bf-961b-d0ffaf8637fa}
ИД подключения: 0x00000001
Причина перезапуска: Инициировано одноранговым компьютером
Record Number: 6088
Source Name: Dot3Svc
Time Written: 20100412165152.000000+240
Event Type: информация
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;D:Program FilesSamsungSamsung PC Studio 3;C:Program FilesCommon FilesThunder NetworkKanKanCodecs
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 2 Stepping 9, GenuineIntel
«PROCESSOR_REVISION»=0209
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
EOF
Здравствуйте!
Добро пожаловать на Spyware-ru форум.
Не все логи выложили. Нет лога «log.txt», откройте Мой компьютер—>Системный диск папка—>rsit, в папке должно находиться 2-а файла «log» «info«. Откройте «log» файл, скопируйте весь текст и выложите в созданной вами теме.Logfile of random’s system information tool 1.06 (written by random/random)
Run by Admin at 2010-04-20 17:18:51
Microsoft Windows XP Professional Service Pack 3
System drive C: has 6 GB (31%) free of 21 GB
Total RAM: 255 MB (24% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:32, on 20.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
D:Program Files2IPStartGuardStartGuard.EXE
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesTotal CommanderTOTALCMD.EXE
C:Documents and SettingsAdminРабочий столRSIT.exe
C:Program Filestrend microAdmin.exeR0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
O2 — BHO: Thunder AtOnce — {01443AEC-0FD1-40fd-9C87-E93D1494C233} — D:Program FilesThunder NetworkThunderComDllsTDAtOnce_Now.dll
O2 — BHO: XLLiteView BrowserHelper Object — {2D90D33C-DE76-42D0-9040-E4466DDC24AC} — D:Program FilesThunder NetworkThunderProgramEmbedDetectNow.dll
O2 — BHO: ThunderBHO — {889D2FEB-5411-4565-8998-1DD2C5261283} — D:Program FilesThunder NetworkThunderComDllsxunleiBHO_Now.dll
O4 — HKLM..Run: [StartGuard] D:Program Files2IPStartGuardStartGuard.EXE
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O9 — Extra button: ІйїґНшТіИ«ІїНјЖ¬ — {548BF84E-9665-47f9-B635-7380F8943E90} — D:Program FilesThunder NetworkThunderProgramrepairimage.htm
O9 — Extra ‘Tools’ menuitem: ІйїґНшТіИ«ІїНјЖ¬ — {548BF84E-9665-47f9-B635-7380F8943E90} — D:Program FilesThunder NetworkThunderProgramrepairimage.htm
O23 — Service: ESET HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: ESET Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — Unknown owner — C:WINDOWSsystem32nvsvc32.exe (file missing)
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 3291 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{01443AEC-0FD1-40fd-9C87-E93D1494C233}]
ThunderAtOnce Class — D:Program FilesThunder NetworkThunderComDllsTDAtOnce_Now.dll [2010-03-23 239408][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{2D90D33C-DE76-42D0-9040-E4466DDC24AC}]
DetectAddin Class — D:Program FilesThunder NetworkThunderProgramEmbedDetectNow.dll [2010-03-11 128720][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{889D2FEB-5411-4565-8998-1DD2C5261283}]
Thunder Browser Helper — D:Program FilesThunder NetworkThunderComDllsxunleiBHO_Now.dll [2010-03-23 268080][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«StartGuard»=D:Program Files2IPStartGuardStartGuard.EXE [2008-08-27 218624][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=C:WINDOWSsystem32ctfmon.exe [2009-09-13 30208][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon]
C:WINDOWSsystem32WgaLogon.dll [2009-03-10 265096][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2008-05-18 133632][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetwork{1a3e09be-1e45-494b-9174-d7385b45bbf5}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=159
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«HonorAutoRunSetting»=
«NoDriveTypeAutoRun»=[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«C:WINDOWSNetwork Diagnosticxpnetdiag.exe»=»C:WINDOWSNetwork Diagnosticxpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000»
«C:Program FilesuTorrentutorrent.exe»=»C:Program FilesuTorrentutorrent.exe:*:Enabled:µTorrent»
«C:Program FilesK-Lite Codec PackMedia Player Classicmplayerc.exe»=»C:Program FilesK-Lite Codec PackMedia Player Classicmplayerc.exe:*:Enabled:Media Player Classic — Homecinema»
«C:WINDOWSsystem32sessmgr.exe»=»C:WINDOWSsystem32sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019»
«D:Диск CРабочий столStrongDC++ MKCStrongDC.exe»=»D:Диск CРабочий столStrongDC++ MKCStrongDC.exe:*:Enabled:StrongDC++»
«C:Program FilesSkypePhoneSkype.exe»=»C:Program FilesSkypePhoneSkype.exe:*:Enabled:Skype»
«D:Program FilesThunder NetworkThunderProgramThunder.exe»=»D:Program FilesThunder NetworkThunderProgramThunder.exe:*:Enabled:Thunder5.9.17.1334»
«D:Program FilesThunder NetworkThunderProgramLiteUD.exe»=»D:Program FilesThunder NetworkThunderProgramLiteUD.exe:*:Enabled:ThunderLiteViewUpdate»
«D:Program FilesThunder NetworkThunderProgramXMPBoot.exe»=»D:Program FilesThunder NetworkThunderProgramXMPBoot.exe:*:Enabled:XMP5.9.17.1334»
«D:Program FilesThunder NetworkThunderProgramThunderLiveUD.exe»=»D:Program FilesThunder NetworkThunderProgramThunderLiveUD.exe:*:Enabled:Thunder LiveUpdate5.9.17.1334»
«D:Program FilesThunder NetworkThunderProgramFileLinkXLFileLink.exe»=»D:Program FilesThunder NetworkThunderProgramFileLinkXLFileLink.exe:*:Enabled:FileLink5.9.17.1334»
«C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71ThunderService.exe»=»C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71ThunderService.exe:*:Enabled:ThunderService1.0.2.71»
«C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71ThunderLiveUD.exe»=»C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71ThunderLiveUD.exe:*:Enabled:ThunderLiveUD1.0.2.71»
«C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71XLBugReport.exe»=»C:Program FilesCommon FilesThunder NetworkDSVer11.0.2.71XLBugReport.exe:*:Enabled:XLBugReport1.0.2.71»
«C:Program FileseMuleemule.exe»=»C:Program FileseMuleemule.exe:*:Enabled:eMule»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»======List of files/folders created in the last 1 months======
2010-04-19 17:23:22 —-D—- C:Program Filestrend micro
2010-04-19 17:23:16 —-D—- C:rsit
2010-04-15 17:08:10 —-D—- C:Documents and SettingsAdminApplication DataSogouPY.users
2010-04-15 17:07:29 —-D—- C:Program FilesSogouInput
2010-04-14 19:55:43 —-HD—- C:WINDOWS$NtUninstallKB979683$
2010-04-14 18:51:30 —-HD—- C:WINDOWS$NtUninstallKB980232$
2010-04-14 18:47:24 —-HD—- C:WINDOWS$NtUninstallKB978338$
2010-04-14 18:47:09 —-HD—- C:WINDOWS$NtUninstallKB977816$
2010-04-14 18:46:09 —-HD—- C:WINDOWS$NtUninstallKB978601$
2010-04-14 18:45:41 —-HD—- C:WINDOWS$NtUninstallKB979309$
2010-04-13 14:42:12 —-D—- C:Documents and SettingsAdminApplication DataSogouPY
2010-04-11 09:34:26 —-SHD—- C:FOUND.003
2010-04-06 14:06:52 —-D—- C:Documents and SettingsAdminApplication DataYandex
2010-04-05 08:58:44 —-SHD—- C:FOUND.002
2010-04-04 16:58:20 —-RD—- C:TDDOWNLOAD
2010-04-04 15:12:42 —-D—- C:Program FilesCommon FilesThunder Network
2010-04-04 15:12:34 —-D—- C:Documents and SettingsAll UsersApplication DataThunder Network
2010-03-28 16:48:30 —-D—- C:Documents and SettingsAll UsersApplication DataNOS
2010-03-28 16:19:34 —-D—- C:Program FilesMozilla Firefox
2010-03-27 11:44:09 —-D—- C:Program FilesTrendMicro
2010-03-25 18:47:46 —-D—- C:Documents and SettingsAdminApplication DataHide IP NG
2010-03-25 18:47:02 —-SHD—- C:FOUND.001
2010-03-25 18:47:02 —-SHD—- C:FOUND.000
2010-03-25 06:50:24 —-D—- C:Documents and SettingsAdminApplication DataPCToolsFirewallPlus
2010-03-25 06:47:28 —-D—- C:Documents and SettingsAll UsersApplication DataTEMP
2010-03-25 06:47:15 —-D—- C:Program FilesCommon FilesPC Tools
2010-03-24 13:14:48 —-D—- C:Config.Msi======List of files/folders modified in the last 1 months======
2010-04-20 12:47:48 —-A—- C:WINDOWSNeroDigital.ini
2010-04-06 21:52:54 —-A—- C:WINDOWSsystem32MRT.exe
2010-03-30 17:43:36 —-SH—- C:boot.ini
2010-03-30 17:43:36 —-A—- C:WINDOWSwin.ini
2010-03-30 17:43:36 —-A—- C:WINDOWSsystem.ini======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-05-14 107256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2009-05-14 94360]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-15 40704]
R1 VIAPFD;VIAPFD; C:WINDOWSSystem32DriversVIAPFD.SYS [2001-12-18 3279]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-05-14 114472]
R2 exFat;exFat; C:WINDOWSsystem32driversexFat.sys [2009-01-28 133632]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2002-06-21 655596]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2008-04-15 10368]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2009-09-13 12160]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2005-10-10 3530432]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:WINDOWSsystem32DRIVERSRtnicxp.sys [2009-03-25 130432]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-14 59520]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2008-04-14 20608]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); C:WINDOWSsystem32DRIVERSss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:WINDOWSsystem32DRIVERSss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:WINDOWSsystem32DRIVERSss_mdm.sys [2005-08-30 94000]
S3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2008-04-14 15104]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2008-05-18 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2008-05-18 82944]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 sr;Драйвер фильтра восстановления системы; C:WINDOWSsystem32DRIVERSsr.sys [2008-04-15 73472]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-05-14 731840]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-19 322120]
S2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe []
S3 aspnet_state;Служба состояний ASP.NET; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2008-07-25 69632]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-05-14 20680]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:WINDOWSMicrosoft.NETFrameworkv3.0WPFPresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
S4 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2010-02-28 153376]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2008-07-29 132096]
EOF
Здравствуйте, добро пожаловать на Spyware-ru форум.
Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.ComboFix 10-04-21.01 — Admin 25.04.2010 7:25.1.1 — FAT32x86
Running from: c:documents and settingsAdminРабочий столComboFix.exe
Command switches used :: c:documents and settingsAdminРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
* Resident AV is active.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32_000009_.tmp.dll
c:windowssystem32Пузыри.scr.
((((((((((((((((((((((((( Files Created from 2010-03-25 to 2010-04-25 )))))))))))))))))))))))))))))))
.2010-04-23 09:50 . 2010-04-23 09:50
d
w- C:FOUND.005
2010-04-21 22:13 . 2010-04-21 22:13
d
w- C:FOUND.004
2010-04-19 13:23 . 2010-04-19 13:23
d
w- c:program filestrend micro
2010-04-19 13:23 . 2010-04-19 13:23
d
w- C:rsit
2010-04-15 13:08 . 2010-04-15 13:08
d
w- c:documents and settingsAdminApplication DataSogouPY.users
2010-04-15 13:07 . 2010-04-15 13:07
d
w- c:program filesSogouInput
2010-04-14 09:03 . 2010-01-13 14:01 86528
w- c:windowssystem32dllcachecabview.dll
2010-04-13 10:42 . 2010-04-13 10:42
d
w- c:documents and settingsAdminApplication DataSogouPY
2010-04-11 05:34 . 2010-04-11 05:34
d
w- C:FOUND.003
2010-04-06 10:06 . 2010-04-06 10:06
d
w- c:documents and settingsAdminApplication DataYandex
2010-04-05 04:58 . 2010-04-05 04:58
d
w- C:FOUND.002
2010-04-04 12:58 . 2010-04-04 12:58
d
r- C:TDDOWNLOAD
2010-04-04 11:14 . 2010-04-04 11:14
d
w- c:documents and settingsAdminLocal SettingsApplication DataThunder Network
2010-04-04 11:13 . 2010-04-04 11:13
d
w- c:documents and settingsAll UsersReal
2010-04-04 11:13 . 2010-04-04 11:13 20 —-a-w- c:windowssystem32pub_store.dat
2010-04-04 11:12 . 2010-04-04 11:12
d
w- c:program filesCommon FilesThunder Network
2010-04-04 11:12 . 2010-04-04 11:12
d
w- c:documents and settingsAll UsersApplication DataThunder Network
2010-03-29 05:22 . 2010-03-29 05:22
d
w- c:documents and settingsAdmindwhelper
2010-03-28 12:48 . 2010-04-16 10:27 181096 —-a-w- c:documents and settingsAdminApplication DataMozillaFirefoxProfilesr9d40c5b.defaultFlashGot.exe
2010-03-28 12:48 . 2010-03-28 12:48
d
w- c:documents and settingsAll UsersApplication DataNOS
2010-03-28 12:19 . 2010-03-28 12:19 0 —-a-w- c:windowsnsreg.dat
2010-03-27 07:44 . 2010-03-27 07:44 388096 —-a-r- c:documents and settingsAdminApplication DataMicrosoftInstaller{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}HiJackThis.exe
2010-03-27 07:44 . 2010-03-27 07:44
d
w- c:program filesTrendMicro.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 14:47 . 2010-03-25 14:47
d
w- c:documents and settingsAdminApplication DataHide IP NG
2010-03-25 02:50 . 2010-03-25 02:50
d
w- c:documents and settingsAdminApplication DataPCToolsFirewallPlus
2010-03-25 02:47 . 2010-03-25 02:47
d
w- c:documents and settingsAll UsersApplication DataTEMP
2010-03-25 02:47 . 2010-03-25 02:47
d
w- c:program filesCommon FilesPC Tools
2010-03-16 09:28 . 2008-04-15 09:00 84082 —-a-w- c:windowssystem32perfc019.dat
2010-03-16 09:28 . 2008-04-15 09:00 484362 —-a-w- c:windowssystem32perfh019.dat
2010-03-16 09:10 . 2010-03-16 09:10
d
w- c:program filesMicrosoft
2010-03-14 09:23 . 2010-03-14 09:23
d
w- c:program filesScanDrv6
2010-03-14 08:36 . 2010-03-14 08:35
d
w- c:program filesPDF to Word
2010-03-14 07:23 . 2010-03-14 07:23
d
w- c:program filesCommon FilesABBYY
2010-03-14 07:23 . 2010-03-14 07:23
d
w- c:documents and settingsAll UsersApplication DataABBYY
2010-03-13 13:17 . 2010-03-13 13:17
d
w- c:documents and settingsAdminApplication DataConvertTemp
2010-03-13 13:17 . 2010-03-13 13:17
d
w- c:documents and settingsAdminApplication DataTransRender
2010-03-13 13:17 . 2010-03-13 13:17
d
w- c:documents and settingsAdminApplication DataTemporary
2010-03-13 13:17 . 2010-03-13 13:17
d
w- c:documents and settingsAdminApplication DataSamsung
2010-03-13 13:07 . 2010-03-13 13:07
d
w- c:program filesSamsung
2010-03-13 13:05 . 2010-03-13 13:05
d
w- c:program filesCommon FilesAdobe
2010-03-12 09:38 . 2010-03-12 04:13 73 —sha-w- c:windowssystem32SYSDRV003.SYS
2010-03-12 04:13 . 2010-03-12 04:13 60 —-a-w- c:windowssystem32SYSPRDRV.SYS
2010-03-10 09:35 . 2010-03-10 09:35
d
w- c:documents and settingsAdminApplication DataNJStar
2010-03-10 09:34 . 2010-03-10 09:34
d
w- c:documents and settingsAll UsersApplication DataNJStar
2010-03-10 06:17 . 2009-09-13 14:40 420352 —-a-w- c:windowssystem32vbscript.dll
2010-03-07 09:06 . 2010-03-01 09:02 67480 —-a-w- c:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-03-07 07:19 . 2010-03-07 07:19
d
w- c:program filesMSBuild
2010-03-07 07:19 . 2010-03-07 07:19
d
w- c:program filesReference Assemblies
2010-03-07 04:09 . 2010-03-07 04:09
d
w- c:documents and settingsAll UsersApplication DataWNR
2010-03-07 04:09 . 2010-03-07 04:09
d
w- c:documents and settingsAdminApplication DataWNR
2010-03-05 04:29 . 2010-03-05 04:28
d
w- c:program filesMSXML 4.0
2010-03-04 13:44 . 2010-03-04 13:44
d
w- c:documents and settingsAdminApplication DataABBYY
2010-03-04 13:19 . 2010-03-04 13:19
d
w- c:program filesLicense Manager
2010-03-04 13:16 . 2010-03-04 13:16
d
w- c:program filesABBYY Lingvo 11 English-Russian Dictionary
2010-03-02 15:53 . 2010-03-02 15:53
d
w- c:program filesАдм Упр Шк
2010-03-02 05:42 . 2010-03-02 05:42
d
w- c:documents and settingsAdminApplication DataMedia Player Classic
2010-03-01 12:22 . 2010-03-01 12:22 21840 —-a-w- c:windowssystem32SIntfNT.dll
2010-03-01 12:22 . 2010-03-01 12:22 17212 —-a-w- c:windowssystem32SIntf32.dll
2010-03-01 12:22 . 2010-03-01 12:22 12067 —-a-w- c:windowssystem32SIntf16.dll
2010-03-01 12:14 . 2010-03-01 12:14
d
w- c:program filesCommon FilesYDP
2010-03-01 12:13 . 2010-03-01 12:13
d
w- c:program filesCommon FilesGraphBoard 2.00
2010-03-01 12:11 . 2010-03-01 12:11 4608 —-a-w- c:windowssystem32w95inf32.dll
2010-03-01 12:11 . 2010-03-01 12:11 2272 —-a-w- c:windowssystem32w95inf16.dll
2010-03-01 08:58 . 2010-03-01 08:58
d
w- c:program filesMicrosoft Works
2010-03-01 08:57 . 2010-03-01 08:57
d
w- c:program filesMicrosoft.NET
2010-02-28 12:01 . 2010-02-28 09:16 86327 —-a-w- c:windowspchealthhelpctrOfflineCacheindex.dat
2010-02-28 11:45 . 2010-02-28 11:45
d
w- c:program filesESET
2010-02-28 11:45 . 2010-02-28 11:45
d
w- c:documents and settingsAll UsersApplication DataESET
2010-02-28 10:51 . 2010-02-28 10:51
d
w- c:program fileseMule
2010-02-28 10:51 . 2010-02-28 10:51
d
w- c:program filesuTorrent
2010-02-28 10:51 . 2010-02-28 10:51
d
w- c:documents and settingsAdminApplication DatauTorrent
2010-02-28 10:51 . 2010-02-28 10:51
d
w- c:program filesSkype
2010-02-28 10:50 . 2010-02-28 10:50
d
w- c:program filesFlash
2010-02-28 10:50 . 2010-02-28 10:50
d
w- c:program filesRocketDock
2010-02-28 10:50 . 2010-02-28 10:50
d
w- c:program filesiColorFolder
2010-02-28 10:50 . 2010-02-28 10:50
d
w- c:program filesWindows Sidebar
2010-02-28 10:50 . 2010-02-28 10:50
d
w- c:program filesLClock
2010-02-28 10:49 . 2010-02-28 10:49
d
w- c:program filesCommon FilesAhead
2010-02-28 10:49 . 2010-02-28 10:49
d
w- c:program filesAhead
2010-02-28 10:48 . 2010-02-28 10:48
d
w- c:program filesDownload Master
2010-02-28 10:48 . 2010-02-28 10:48
d
w- c:documents and settingsAdminApplication DataDownload Master
2010-02-28 10:48 . 2010-02-28 10:48
d
w- c:program filesTotal Commander
2010-02-28 10:48 . 2010-02-28 10:48
d
w- c:program filesWinamp
2010-02-28 10:48 . 2010-02-28 10:48
d
w- c:documents and settingsAdminApplication DataWinamp
2010-02-28 10:47 . 2010-02-28 10:47
d
w- c:program filesK-Lite Codec Pack
2010-02-28 10:47 . 2010-02-28 10:47
d
w- c:program filesCCleaner
2010-02-28 10:47 . 2010-02-28 10:47
d
w- c:program filesUSBDiskSecurity
2010-02-28 10:47 . 2010-02-28 10:47
d
w- c:documents and settingsAll UsersApplication DataZbshareware Lab
2010-02-28 10:47 . 2010-02-28 10:47
d
w- c:program filesEverest
2010-02-28 10:41 . 2010-02-28 10:41
d
w- c:program filesMSECache
2010-02-28 10:41 . 2010-02-28 10:41
d
w- c:program filesFoxit Reader
2010-02-28 10:41 . 2010-02-28 10:41
d
w- c:program filesYandex
2010-02-28 10:28 . 2010-02-28 10:28
d
w- c:program filesAvance Sound Manager
2010-02-28 10:28 . 2010-02-28 10:28
d
w- c:program filesAvRack
2010-02-28 10:20 . 2010-02-28 10:20 552 —-a-w- c:windowssystem32d3d8caps.dat
2010-02-28 09:45 . 2010-02-28 09:45
d
w- c:program filesIntel
2010-02-28 09:45 . 2010-02-28 09:45
d—h—w- c:program filesInstallShield Installation Information
2010-02-28 09:45 . 2010-02-28 09:45
d
w- c:program filesCommon FilesInstallShield
2010-02-28 09:24 . 2010-02-28 09:24
d
w- c:program filesVistaDriveIcon
2010-02-28 09:24 . 2010-02-28 09:24 722416 —-a-w- c:windowssystem32driverssptd.sys
2010-02-28 09:24 . 2010-02-28 09:24
d—a-w- c:program filesPaint.NET
2010-02-28 09:23 . 2010-02-28 09:23 411368 —-a-w- c:windowssystem32deploytk.dll
2010-02-28 09:23 . 2010-02-28 09:23
d
w- c:program filesJava
2010-02-28 09:13 . 2010-02-28 09:13 22564 —-a-w- c:windowssystem32emptyregdb.dat
2010-02-28 09:13 . 2010-02-28 09:13
d
w- c:program filesWindows Media Connect 2
2010-02-28 06:55 . 2010-02-28 06:55
d
w- c:documents and settingsAdminApplication DataSkype
2010-02-25 06:13 . 2009-09-13 14:43 919040 —-a-w- c:windowssystem32wininet.dll
2010-02-24 11:57 . 2009-09-13 14:37 457216 —-a-w- c:windowssystem32driversmrxsmb.sys
2010-02-16 19:02 . 2009-02-09 11:18 2068736 —-a-w- c:windowssystem32ntkrnlpa.exe
2010-02-16 19:01 . 2009-09-13 14:37 2191872 —-a-w- c:windowssystem32ntoskrnl.exe
2010-02-12 04:29 . 2008-04-15 09:00 100864 —-a-w- c:windowssystem326to4svc.dll
2010-02-11 11:36 . 2009-09-13 14:37 226880 —-a-w- c:windowssystem32driverstcpip6.sys
2010-03-23 05:13 . 2010-04-04 11:12 79664 —-a-w- c:program filesmozilla firefoxcomponentsThunderComponent.dll
.
Sigcheck
[-] 2009-09-13 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:windowssystem32driverstcpip.sys[-] 2009-09-13 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:windowssystem32user32.dll
[-] 2009-09-13 . B8D3A575A3C0E1A4B724E2BD05394E60 . 1721344 . . [6.00.2900.5512] . . c:windowsexplorer.exe
[-] 2009-09-13 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:windowssystem32sfcfiles.dll
[-] 2009-09-13 . C4C2628D119D2FF1B7723E084F4B181E . 30208 . . [5.1.2600.5512] . . c:windowssystem32ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{2D90D33C-DE76-42D0-9040-E4466DDC24AC}]
2010-03-11 13:54 128720 —-a-w- d:program filesThunder NetworkThunderProgramEmbedDetectNow.dll[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«StartGuard»=»d:program files2IPStartGuardStartGuard.EXE» [2008-08-27 218624][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=»1»
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«c:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«d:\Диск C\Рабочий стол\StrongDC++ MKC\StrongDC.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«d:\Program Files\Thunder Network\Thunder\Program\Thunder.exe»=
«d:\Program Files\Thunder Network\Thunder\Program\LiteUD.exe»=
«d:\Program Files\Thunder Network\Thunder\Program\XMPBoot.exe»=
«d:\Program Files\Thunder Network\Thunder\Program\ThunderLiveUD.exe»=
«d:\Program Files\Thunder Network\Thunder\Program\FileLink\XLFileLink.exe»=
«c:\Program Files\Common Files\Thunder Network\DS\Ver1\1.0.2.71\ThunderService.exe»=
«c:\Program Files\Common Files\Thunder Network\DS\Ver1\1.0.2.71\ThunderLiveUD.exe»=
«c:\Program Files\Common Files\Thunder Network\DS\Ver1\1.0.2.71\XLBugReport.exe»=
«c:\Program Files\eMule\emule.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009R1 ehdrv;ehdrv;c:windowssystem32driversehdrv.sys [14.05.2009 15:47 107256]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [14.05.2009 15:49 94360]
R2 ekrn;ESET Service;c:program filesESETESET NOD32 Antivirusekrn.exe [14.05.2009 15:47 731840]
S0 sptd;sptd;c:windowssystem32driverssptd.sys [28.02.2010 13:24 722416][HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{34A19196-274E-4D75-9D30-D7A45A0A4178}]
2004-08-04 01:07 11776 —-a-w- c:program filesWindows Sidebarregsvr32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{6B9228DA-9C15-419e-856C-19E768A13BDC}]
2004-08-04 01:07 11776 —-a-w- c:program filesWindows Sidebarregsvr32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{BADA65A0-86B7-462B-B720-CE66655C73F5}]
2006-11-09 04:57 38912 —-a-w- c:program filesWindows SidebarVAIOvshellext.dll
.
.
Supplementary Scan
.
uStart Page = hxxp://www.microsoft.com
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
IE: ?????? — d:program filesThunder NetworkThunderProgramgeturl.htm
IE: ?????????? — d:program filesThunder NetworkThunderProgramgetallurl.htm
IE: {{548BF84E-9665-47f9-B635-7380F8943E90} — d:program filesThunder NetworkThunderProgramrepairimage.htm
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfilesr9d40c5b.default
FF — prefs.js: browser.search.selectedEngine — Google
FF — prefs.js: browser.startup.homepage — about:blank
FF — plugin: c:program filesCommon FilesThunder NetworkKanKannpDapCtrlFirefox.2.0.5901.12.(944).dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesWindows Media Playernp-mswmp.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
c:program filesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.
— — — — ORPHANS REMOVED — — — —Toolbar-ITBar7Position — (no file)
ActiveSetup-Windows Sidebar — c:windowssystem32hidec
AddRemove-Octoshape add-in for Adobe Flash Player — c:documents and settingsAdminApplication DataMacromediaFlash Playerwww.macromedia.combinoctoshapeoctoshape.exe**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-25 07:31
Windows 5.1.2600 Service Pack 3 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_USERSS-1-5-21-1292428093-57989841-1644491937-500SoftwareMicrosoftInternet ExplorerUser Preferences]
@Denied: (2) (Administrator)
«88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,68,1c,81,a7,77,51,85,4c,8c,c1,db,
«2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81″=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,68,1c,81,a7,77,51,85,4c,8c,c1,db,
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(504)
c:windowssystem32COMRes.dll
c:windowssystem32cscui.dll
.
Completion time: 2010-04-25 07:33:25
ComboFix-quarantined-files.txt 2010-04-25 03:33Pre-Run: 6 707 953 664 байт свободно
Post-Run: 6 698 139 648 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect— — End Of File — — D985CB4BF636CDE137CFCE6757AEB246
- Для ответа в этой теме необходимо авторизоваться.
