Help!!! Antivirus 2009 XP!

This topic has 23 ответа, 2 участника, and was last updated 16 years, 2 months назад by Admin.

Просмотр 15 сообщений - с 1 по 15 (из 24 всего)

1 2 →

Автор

Сообщения
4 января, 2009 в 8:59 пп #16075
Nataly
Participant
- Темы:1
- Сообщений:12
Здравствуйте! Очень нужна ваша помощь с Antivirus 2009 XP, скачала malwarebytes, но программа выдает ошибку и закрывается. ПОМОГИТЕ!!!
5 января, 2009 в 12:53 пп #20770
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.
9 января, 2009 в 4:06 пп #20771
Nataly
Participant
- Темы:1
- Сообщений:12
Logfile of random’s system information tool 1.05 (written by random/random)
Run by Наталия Новикова at 2009-01-09 19:05:37
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (26%) free of 15 GB
Total RAM: 511 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:41, on 09.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32ufdsvc.exe
C:WINDOWSS4TSR.EXE
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSmsauc.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesAntivirus 2009av2009.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsНаталия НовиковаРабочий столRSIT.exe
C:Program Filestrend microНаталия Новикова.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: toylibP — {6FF9CCE7-EE1B-47B5-A33B-D0519D922547} — C:WINDOWSsystem32toylib.dll
O4 — HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 — HKLM..Run: [ASUS Probe] C:Program FilesASUSAsus ProbeAsusProb.exe
O4 — HKLM..Run: [DisableEHCI] C:WINDOWSS4TSR.EXE
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [lsass driver] C:WINDOWSmsauc.exe
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesAheadLibNMBgMonitor.exe»
O4 — HKCU..Run: [29800100628240979157008890236031] C:Program FilesAntivirus 2009av2009.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O17 — HKLMSystemCCSServicesTcpip..{4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689}: NameServer = 62.112.106.130 195.34.31.50
O17 — HKLMSystemCS1ServicesTcpip..{4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689}: NameServer = 62.112.106.130 195.34.31.50
O23 — Service: ASP.NET State Service (aspnet_state) — Unknown owner — C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: CbEvtSvc — Unknown owner — C:WINDOWSSystem32CbEvtSvc.exe
O23 — Service: Eset HTTP Server (ehttpsrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: Eset Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: PnkBstrA — Unknown owner — C:WINDOWSsystem32PnkBstrA.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: UFD Command Service (UFDSVC) — Generic — C:WINDOWSsystem32ufdsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 5323 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6FF9CCE7-EE1B-47B5-A33B-D0519D922547}]
AAC-SLS Video Feeder — C:WINDOWSsystem32toylib.dll [2008-12-05 315392]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=C:WINDOWSSiSUSBrg.exe [2002-07-12 106496]
«ASUS Probe»=C:Program FilesASUSAsus ProbeAsusProb.exe [2002-12-06 617984]
«DisableEHCI»=C:WINDOWSS4TSR.EXE [2002-08-26 28672]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2004-11-15 77824]
«lsass driver»=C:WINDOWSmsauc.exe [2008-12-21 73728]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2008-07-01 1447168]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2003-08-18 15360]
«MSMSGS»=C:Program FilesMessengermsmsgs.exe [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=C:Program FilesCommon FilesAheadLibNMBgMonitor.exe []
«29800100628240979157008890236031»=C:Program FilesAntivirus 2009av2009.exe [2008-12-25 1597440]

C:Documents and SettingsAll Users.WINDOWSГлавное менюПрограммыАвтозагрузка
Adobe Reader Speed Launch.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2005-08-04 46080]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]
«SecurityProviders»=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«D:GamesNHL08nhl2008.exe»=»D:GamesNHL08nhl2008.exe:*:Disabled:nhl2008»
«D:Program FilesGameSpy ArcadeAphex.exe»=»D:Program FilesGameSpy ArcadeAphex.exe:*:Enabled:GameSpy Arcade»
«C:Documents and SettingsНаталия НовиковаLocal SettingsTempusmtmigwiz.exe»=»C:Documents and SettingsНаталия НовиковаLocal SettingsTempusmtmigwiz.exe:*:Enabled:Мастер переноса файлов и параметров»
«C:Program FilesGameSpy ArcadeAphex.exe»=»C:Program FilesGameSpy ArcadeAphex.exe:*:Enabled:GameSpy Arcade»
«C:WINDOWSsystem32PnkBstrA.exe»=»C:WINDOWSsystem32PnkBstrA.exe:*:Enabled:PnkBstrA»
«C:WINDOWSsystem32PnkBstrB.exe»=»C:WINDOWSsystem32PnkBstrB.exe:*:Enabled:PnkBstrB»
«D:Gamesiw3mp.exe»=»D:Gamesiw3mp.exe:*:Enabled:Call of Duty(R) 4 — Modern Warfare(TM)»
«D:Half Life 2hl2.exe»=»D:Half Life 2hl2.exe:*:Enabled:hl2»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]
shellautoruncommand — H:
shellopencommand — rundll32.exe .\nsdll.dll,InstallM

======List of files/folders created in the last 1 months======

2009-01-04 23:40:47 —-DC—- C:Program Filestrend micro
2009-01-04 23:40:46 —-DC—- C:rsit
2008-12-30 10:01:45 —-HDC—- C:WINDOWS$NtUninstallKB952954$
2008-12-30 10:01:36 —-HDC—- C:WINDOWS$NtUninstallKB946648$
2008-12-30 10:01:26 —-HDC—- C:WINDOWS$NtUninstallKB956803$
2008-12-30 10:01:13 —-HDC—- C:WINDOWS$NtUninstallKB955839$
2008-12-30 10:00:53 —-HDC—- C:WINDOWS$NtUninstallKB956391$
2008-12-30 10:00:43 —-HDC—- C:WINDOWS$NtUninstallKB957095$
2008-12-30 10:00:33 —-HDC—- C:WINDOWS$NtUninstallKB950974$
2008-12-30 10:00:24 —-HDC—- C:WINDOWS$NtUninstallKB951698$
2008-12-30 10:00:10 —-HDC—- C:WINDOWS$NtUninstallKB956841$
2008-12-30 09:59:57 —-HDC—- C:WINDOWS$NtUninstallKB960714$
2008-12-30 09:59:46 —-HDC—- C:WINDOWS$NtUninstallKB950762$
2008-12-30 09:59:35 —-HDC—- C:WINDOWS$NtUninstallKB957097$
2008-12-30 09:59:26 —-HDC—- C:WINDOWS$NtUninstallKB923689$
2008-12-30 09:58:53 —-HDC—- C:WINDOWS$NtUninstallKB952287$
2008-12-30 09:58:44 —-HDC—- C:WINDOWS$NtUninstallKB951066$
2008-12-30 09:58:35 —-HDC—- C:WINDOWS$NtUninstallKB938464$
2008-12-30 09:58:26 —-HDC—- C:WINDOWS$NtUninstallKB954600$
2008-12-30 09:58:17 —-HDC—- C:WINDOWS$NtUninstallKB955069$
2008-12-30 09:58:07 —-HDC—- C:WINDOWS$NtUninstallKB956802$
2008-12-30 09:57:54 —-HDC—- C:WINDOWS$NtUninstallKB944338-v2$
2008-12-30 00:08:47 —-DC—- C:Avenger
2008-12-30 00:08:47 —-AC—- C:avenger.txt
2008-12-29 23:08:11 —-DC—- C:Program FilesEnigma Software Group
2008-12-29 20:58:37 —-DC—- C:Program FilesMalwarebytes’ Anti-Malware
2008-12-29 19:58:35 —-DC—- C:Program FilesCommon FilesDownload Manager
2008-12-29 18:01:10 —-DC—- C:Documents and SettingsНаталия НовиковаApplication DataMalwarebytes
2008-12-29 18:01:04 —-DC—- C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-12-29 15:52:58 —-HDC—- C:WINDOWS$NtUninstallKB951376-v2$
2008-12-29 15:52:47 —-HDC—- C:WINDOWS$NtUninstallKB952069_WM9$
2008-12-29 15:52:16 —-HDC—- C:WINDOWS$NtUninstallKB958215$
2008-12-29 15:51:53 —-HDC—- C:WINDOWS$NtUninstallKB954211$
2008-12-29 15:51:32 —-HDC—- C:WINDOWS$NtUninstallKB941569$
2008-12-29 15:51:08 —-HDC—- C:WINDOWS$NtUninstallKB898461$
2008-12-29 15:50:41 —-HDC—- C:WINDOWS$NtUninstallKB929399$
2008-12-29 15:49:57 —-HDC—- C:WINDOWS$NtUninstallKB958644$
2008-12-28 22:12:16 —-DC—- C:Documents and SettingsAll Users.WINDOWSApplication DataESET
2008-12-25 20:14:01 —-DC—- C:Program FilesAntivirus 2009
2008-12-21 01:22:24 —-AC—- C:WINDOWSsystem32shell31.dll
2008-12-21 01:22:24 —-AC—- C:WINDOWSmsauc.exe

======List of files/folders modified in the last 1 months======

2009-01-09 19:05:12 —-DC—- C:WINDOWSTemp
2009-01-09 18:32:43 —-AC—- C:WINDOWSufdsvclog.txt
2009-01-05 00:14:28 —-A—- C:WINDOWSSchedLgU.Txt
2009-01-04 23:41:02 —-DC—- C:WINDOWSPrefetch
2009-01-04 23:40:47 —-RDC—- C:Program Files
2009-01-04 21:35:18 —-DC—- C:WINDOWS
2009-01-04 07:05:02 —-DC—- C:WINDOWSsystem32CatRoot
2009-01-04 07:03:06 —-HDC—- C:WINDOWSinf
2009-01-04 07:03:05 —-DC—- C:WINDOWSsystem32
2009-01-04 07:03:03 —-DC—- C:WINDOWSsystem32CatRoot2
2009-01-01 20:15:55 —-DC—- C:WINDOWSsystem32drivers
2008-12-31 17:04:51 —-AC—- C:WINDOWSsystem32PnkBstrB.exe
2008-12-30 20:49:52 —-DC—- C:WINDOWSMinidump
2008-12-30 10:01:47 —-RSHDC—- C:WINDOWSsystem32dllcache
2008-12-30 10:01:41 —-AC—- C:WINDOWSimsins.BAK
2008-12-30 10:01:38 —-DC—- C:Program FilesMessenger
2008-12-30 10:01:35 —-HDC—- C:WINDOWS$hf_mig$
2008-12-29 22:48:45 —-DC—- C:WINDOWSsystem32CatRoot_bak
2008-12-29 19:58:35 —-DC—- C:Program FilesCommon Files
2008-12-29 15:52:21 —-DC—- C:Program FilesInternet Explorer
2008-12-29 10:09:06 —-DC—- C:WINDOWSAppPatch
2008-12-28 23:07:08 —-DC—- C:Program FilesWindows Media Player
2008-12-28 23:07:03 —-DC—- C:WINDOWSRegisteredPackages
2008-12-28 23:04:25 —-DC—- C:Program FilesESET
2008-12-28 22:17:46 —-SHDC—- C:WINDOWSInstaller
2008-12-28 22:17:33 —-SDC—- C:Documents and SettingsAll Users.WINDOWSApplication DataMicrosoft
2008-12-19 18:43:01 —-AC—- C:WINDOWSsystem32PerfStringBackup.INI
2008-12-12 20:36:26 —-AC—- C:WINDOWSsystem32mshtml.dll
2008-12-10 02:24:37 —-AC—- C:WINDOWSsystem32MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 aslm75;aslm75; ??C:WINDOWSsystem32driversaslm75.sys []
R1 easdrv;easdrv; C:WINDOWSsystem32DRIVERSeasdrv.sys [2008-07-01 53256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2008-07-01 34312]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2003-08-18 40448]
R1 kbdhid;Драйвер клавиатуры HID; C:WINDOWSsystem32DRIVERSkbdhid.sys [2003-08-18 14848]
R2 eamon;EAMON; C:WINDOWSsystem32DRIVERSeamon.sys [2008-07-01 39944]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2004-11-17 2297664]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2005-08-04 1273344]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2003-08-18 9600]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2003-08-18 12160]
R3 USB_RNDIS_51;ZTE USB Remote NDIS Device Driver; C:WINDOWSsystem32DRIVERSusb8023.sys [2003-08-18 12672]
R3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2003-08-18 31616]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2003-08-18 26624]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2003-08-18 57600]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2003-08-18 17024]
S1 346d0bc6;346d0bc6; C:WINDOWSSystem32drivers346d0bc6.sys []
S1 ae9fec7d;ae9fec7d; C:WINDOWSSystem32driversae9fec7d.sys []
S3 MBAMSwissArmy;MBAMSwissArmy; ??C:WINDOWSsystem32driversmbamswissarmy.sys []
S3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:WINDOWSsystem32DRIVERSR8139n51.SYS [2003-07-31 46976]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
S3 win32x;win32x; ??C:WINDOWSsystem32driverswin32x.sys []
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2003-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2005-08-04 380928]
R2 ekrn;Eset Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
R2 PnkBstrA;PnkBstrA; C:WINDOWSsystem32PnkBstrA.exe [2008-12-03 66872]
R2 UFDSVC;UFD Command Service; C:WINDOWSsystem32ufdsvc.exe [2006-08-02 77824]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe []
S3 ehttpsrv;Eset HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2008-07-01 19200]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe [2005-04-03 69632]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
S4 NMIndexingService;NMIndexingService; C:Program FilesCommon FilesAheadLibNMIndexingService.exe []

EOF
9 января, 2009 в 4:15 пп #20772
Admin
Keymaster
- Темы:40
- Сообщений:5676
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.
```
:Processes

explorer.exe



:services

win32x



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6FF9CCE7-EE1B-47B5-A33B-D0519D922547}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"lsass driver"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"29800100628240979157008890236031"=-



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]



:files

C:Program FilesAntivirus 2009

C:WINDOWSsystem32shell31.dll

C:WINDOWSmsauc.exe

C:WINDOWSsystem32driverswin32x.sys

C:WINDOWSsystem32toylib.dll

C:WINDOWSsystem32digeste.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]
```
Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

Судя по логу у вас есть программа Avenger и вы её ранее запускали.
Запустите Avenger снова, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.

Кроме этого вставьте в ваш ответ свежий RSIT лог.

Таким образом жду от вам три лога: OTMoveIt лог, avenger лог, RSIT лог.
9 января, 2009 в 8:53 пп #20773
Nataly
Participant
- Темы:1
- Сообщений:12
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service win32x stopped successfully.
Service win32x deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6FF9CCE7-EE1B-47B5-A33B-D0519D922547}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\lsass driver deleted successfully.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\29800100628240979157008890236031 deleted successfully.
HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders\»SecurityProviders»|»msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll» /E : value set successfully!
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}\ deleted successfully.
========== FILES ==========
C:Program FilesAntivirus 2009 moved successfully.
LoadLibrary failed for C:WINDOWSsystem32shell31.dll
C:WINDOWSsystem32shell31.dll NOT unregistered.
File move failed. C:WINDOWSsystem32shell31.dll scheduled to be moved on reboot.
C:WINDOWSmsauc.exe moved successfully.
C:WINDOWSsystem32driverswin32x.sys moved successfully.
C:WINDOWSsystem32toylib.dll unregistered successfully.
C:WINDOWSsystem32toylib.dll moved successfully.
File/Folder C:WINDOWSsystem32digeste.dll not found.
========== COMMANDS ==========
User’s Temp folder emptied.
User’s Temporary Internet Files folder emptied.
User’s Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer — Version 1.0.8.0 log created on 01092009_233907

Files moved on Reboot…
LoadLibrary failed for C:WINDOWSsystem32shell31.dll
C:WINDOWSsystem32shell31.dll NOT unregistered.
C:WINDOWSsystem32shell31.dll moved successfully.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Completed script processing.

*******************

Finished! Terminate.

Logfile of random’s system information tool 1.05 (written by random/random)
Run by Наталия Новикова at 2009-01-09 23:52:18
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (30%) free of 15 GB
Total RAM: 511 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:23, on 09.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32ufdsvc.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSS4TSR.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsНаталия НовиковаРабочий столRSIT.exe
C:Program Filestrend microНаталия Новикова.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O4 — HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 — HKLM..Run: [ASUS Probe] C:Program FilesASUSAsus ProbeAsusProb.exe
O4 — HKLM..Run: [DisableEHCI] C:WINDOWSS4TSR.EXE
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesAheadLibNMBgMonitor.exe»
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O17 — HKLMSystemCCSServicesTcpip..{4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689}: NameServer = 62.112.106.130 195.34.31.50
O17 — HKLMSystemCS1ServicesTcpip..{4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689}: NameServer = 62.112.106.130 195.34.31.50
O23 — Service: ASP.NET State Service (aspnet_state) — Unknown owner — C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: CbEvtSvc — Unknown owner — C:WINDOWSSystem32CbEvtSvc.exe
O23 — Service: Eset HTTP Server (ehttpsrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: Eset Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: PnkBstrA — Unknown owner — C:WINDOWSsystem32PnkBstrA.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: UFD Command Service (UFDSVC) — Generic — C:WINDOWSsystem32ufdsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 5102 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=C:WINDOWSSiSUSBrg.exe [2002-07-12 106496]
«ASUS Probe»=C:Program FilesASUSAsus ProbeAsusProb.exe [2002-12-06 617984]
«DisableEHCI»=C:WINDOWSS4TSR.EXE [2002-08-26 28672]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2004-11-15 77824]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2008-07-01 1447168]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2003-08-18 15360]
«MSMSGS»=C:Program FilesMessengermsmsgs.exe [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=C:Program FilesCommon FilesAheadLibNMBgMonitor.exe []

C:Documents and SettingsAll Users.WINDOWSГлавное менюПрограммыАвтозагрузка
Adobe Reader Speed Launch.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2005-08-04 46080]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«D:GamesNHL08nhl2008.exe»=»D:GamesNHL08nhl2008.exe:*:Disabled:nhl2008»
«D:Program FilesGameSpy ArcadeAphex.exe»=»D:Program FilesGameSpy ArcadeAphex.exe:*:Enabled:GameSpy Arcade»
«C:Documents and SettingsНаталия НовиковаLocal SettingsTempusmtmigwiz.exe»=»C:Documents and SettingsНаталия НовиковаLocal SettingsTempusmtmigwiz.exe:*:Enabled:Мастер переноса файлов и параметров»
«C:Program FilesGameSpy ArcadeAphex.exe»=»C:Program FilesGameSpy ArcadeAphex.exe:*:Enabled:GameSpy Arcade»
«C:WINDOWSsystem32PnkBstrA.exe»=»C:WINDOWSsystem32PnkBstrA.exe:*:Enabled:PnkBstrA»
«C:WINDOWSsystem32PnkBstrB.exe»=»C:WINDOWSsystem32PnkBstrB.exe:*:Enabled:PnkBstrB»
«D:Gamesiw3mp.exe»=»D:Gamesiw3mp.exe:*:Enabled:Call of Duty(R) 4 — Modern Warfare(TM)»
«D:Half Life 2hl2.exe»=»D:Half Life 2hl2.exe:*:Enabled:hl2»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

======List of files/folders created in the last 1 months======

2009-01-09 23:48:49 —-AC—- C:avenger.txt
2009-01-09 23:39:07 —-DC—- C:_OTMoveIt
2009-01-04 23:40:47 —-DC—- C:Program Filestrend micro
2009-01-04 23:40:46 —-DC—- C:rsit
2008-12-30 10:01:45 —-HDC—- C:WINDOWS$NtUninstallKB952954$
2008-12-30 10:01:36 —-HDC—- C:WINDOWS$NtUninstallKB946648$
2008-12-30 10:01:26 —-HDC—- C:WINDOWS$NtUninstallKB956803$
2008-12-30 10:01:13 —-HDC—- C:WINDOWS$NtUninstallKB955839$
2008-12-30 10:00:53 —-HDC—- C:WINDOWS$NtUninstallKB956391$
2008-12-30 10:00:43 —-HDC—- C:WINDOWS$NtUninstallKB957095$
2008-12-30 10:00:33 —-HDC—- C:WINDOWS$NtUninstallKB950974$
2008-12-30 10:00:24 —-HDC—- C:WINDOWS$NtUninstallKB951698$
2008-12-30 10:00:10 —-HDC—- C:WINDOWS$NtUninstallKB956841$
2008-12-30 09:59:57 —-HDC—- C:WINDOWS$NtUninstallKB960714$
2008-12-30 09:59:46 —-HDC—- C:WINDOWS$NtUninstallKB950762$
2008-12-30 09:59:35 —-HDC—- C:WINDOWS$NtUninstallKB957097$
2008-12-30 09:59:26 —-HDC—- C:WINDOWS$NtUninstallKB923689$
2008-12-30 09:58:53 —-HDC—- C:WINDOWS$NtUninstallKB952287$
2008-12-30 09:58:44 —-HDC—- C:WINDOWS$NtUninstallKB951066$
2008-12-30 09:58:35 —-HDC—- C:WINDOWS$NtUninstallKB938464$
2008-12-30 09:58:26 —-HDC—- C:WINDOWS$NtUninstallKB954600$
2008-12-30 09:58:17 —-HDC—- C:WINDOWS$NtUninstallKB955069$
2008-12-30 09:58:07 —-HDC—- C:WINDOWS$NtUninstallKB956802$
2008-12-30 09:57:54 —-HDC—- C:WINDOWS$NtUninstallKB944338-v2$
2008-12-30 00:08:47 —-DC—- C:Avenger
2008-12-29 23:08:11 —-DC—- C:Program FilesEnigma Software Group
2008-12-29 20:58:37 —-DC—- C:Program FilesMalwarebytes’ Anti-Malware
2008-12-29 19:58:35 —-DC—- C:Program FilesCommon FilesDownload Manager
2008-12-29 18:01:10 —-DC—- C:Documents and SettingsНаталия НовиковаApplication DataMalwarebytes
2008-12-29 18:01:04 —-DC—- C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-12-29 15:52:58 —-HDC—- C:WINDOWS$NtUninstallKB951376-v2$
2008-12-29 15:52:47 —-HDC—- C:WINDOWS$NtUninstallKB952069_WM9$
2008-12-29 15:52:16 —-HDC—- C:WINDOWS$NtUninstallKB958215$
2008-12-29 15:51:53 —-HDC—- C:WINDOWS$NtUninstallKB954211$
2008-12-29 15:51:32 —-HDC—- C:WINDOWS$NtUninstallKB941569$
2008-12-29 15:51:08 —-HDC—- C:WINDOWS$NtUninstallKB898461$
2008-12-29 15:50:41 —-HDC—- C:WINDOWS$NtUninstallKB929399$
2008-12-29 15:49:57 —-HDC—- C:WINDOWS$NtUninstallKB958644$
2008-12-28 22:12:16 —-DC—- C:Documents and SettingsAll Users.WINDOWSApplication DataESET

======List of files/folders modified in the last 1 months======

2009-01-09 23:52:00 —-DC—- C:WINDOWSTemp
2009-01-09 23:49:11 —-AC—- C:WINDOWSufdsvclog.txt
2009-01-09 23:48:49 —-DC—- C:WINDOWSsystem32drivers
2009-01-09 23:48:49 —-DC—- C:WINDOWSsystem32
2009-01-09 23:48:25 —-A—- C:WINDOWSSchedLgU.Txt
2009-01-09 23:39:56 —-DC—- C:WINDOWSPrefetch
2009-01-09 23:39:13 —-DC—- C:WINDOWS
2009-01-09 23:39:08 —-RDC—- C:Program Files
2009-01-04 07:05:02 —-DC—- C:WINDOWSsystem32CatRoot
2009-01-04 07:03:06 —-HDC—- C:WINDOWSinf
2009-01-04 07:03:03 —-DC—- C:WINDOWSsystem32CatRoot2
2008-12-31 17:04:51 —-AC—- C:WINDOWSsystem32PnkBstrB.exe
2008-12-30 20:49:52 —-DC—- C:WINDOWSMinidump
2008-12-30 10:01:47 —-RSHDC—- C:WINDOWSsystem32dllcache
2008-12-30 10:01:41 —-AC—- C:WINDOWSimsins.BAK
2008-12-30 10:01:38 —-DC—- C:Program FilesMessenger
2008-12-30 10:01:35 —-HDC—- C:WINDOWS$hf_mig$
2008-12-29 22:48:45 —-DC—- C:WINDOWSsystem32CatRoot_bak
2008-12-29 19:58:35 —-DC—- C:Program FilesCommon Files
2008-12-29 15:52:21 —-DC—- C:Program FilesInternet Explorer
2008-12-29 10:09:06 —-DC—- C:WINDOWSAppPatch
2008-12-28 23:07:08 —-DC—- C:Program FilesWindows Media Player
2008-12-28 23:07:03 —-DC—- C:WINDOWSRegisteredPackages
2008-12-28 23:04:25 —-DC—- C:Program FilesESET
2008-12-28 22:17:46 —-SHDC—- C:WINDOWSInstaller
2008-12-28 22:17:33 —-SDC—- C:Documents and SettingsAll Users.WINDOWSApplication DataMicrosoft
2008-12-19 18:43:01 —-AC—- C:WINDOWSsystem32PerfStringBackup.INI
2008-12-12 20:36:26 —-AC—- C:WINDOWSsystem32mshtml.dll
2008-12-10 02:24:37 —-AC—- C:WINDOWSsystem32MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 aslm75;aslm75; ??C:WINDOWSsystem32driversaslm75.sys []
R1 easdrv;easdrv; C:WINDOWSsystem32DRIVERSeasdrv.sys [2008-07-01 53256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2008-07-01 34312]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2003-08-18 40448]
R1 kbdhid;Драйвер клавиатуры HID; C:WINDOWSsystem32DRIVERSkbdhid.sys [2003-08-18 14848]
R2 eamon;EAMON; C:WINDOWSsystem32DRIVERSeamon.sys [2008-07-01 39944]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2004-11-17 2297664]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2005-08-04 1273344]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2003-08-18 9600]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2003-08-18 12160]
R3 USB_RNDIS_51;ZTE USB Remote NDIS Device Driver; C:WINDOWSsystem32DRIVERSusb8023.sys [2003-08-18 12672]
R3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2003-08-18 31616]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2003-08-18 26624]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2003-08-18 57600]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2003-08-18 17024]
S1 346d0bc6;346d0bc6; C:WINDOWSSystem32drivers346d0bc6.sys []
S1 ae9fec7d;ae9fec7d; C:WINDOWSSystem32driversae9fec7d.sys []
S3 MBAMSwissArmy;MBAMSwissArmy; ??C:WINDOWSsystem32driversmbamswissarmy.sys []
S3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:WINDOWSsystem32DRIVERSR8139n51.SYS [2003-07-31 46976]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2003-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2005-08-04 380928]
R2 ekrn;Eset Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
R2 PnkBstrA;PnkBstrA; C:WINDOWSsystem32PnkBstrA.exe [2008-12-03 66872]
R2 UFDSVC;UFD Command Service; C:WINDOWSsystem32ufdsvc.exe [2006-08-02 77824]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe []
S3 ehttpsrv;Eset HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2008-07-01 19200]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe [2005-04-03 69632]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
S4 NMIndexingService;NMIndexingService; C:Program FilesCommon FilesAheadLibNMIndexingService.exe []

EOF
10 января, 2009 в 2:38 пп #20774
Admin
Keymaster
- Темы:40
- Сообщений:5676
Выглядит нормально. Как работает компьютер ?
Так же попробуйте запустить Malwarebyres Anti-malware ещё раз и сообщите каков будет результат.
11 января, 2009 в 7:39 дп #20775
Nataly
Participant
- Темы:1
- Сообщений:12
Спасибо огромное, все работает хорошо, только программа Malwarebyres Anti-malware все равно выдает ошибку и закрывается на середине сканирования, обнаружив все-таки присутствие вирусов.
12 января, 2009 в 4:10 пп #20776
Admin
Keymaster
- Темы:40
- Сообщений:5676
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.
14 января, 2009 в 7:46 пп #20777
Nataly
Participant
- Темы:1
- Сообщений:12
ComboFix 09-01-13.04 — Наталия Новикова 2009-01-14 22:33:43.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.261 [GMT 3:00]
Running from: c:documents and settingsНаталия НовиковаРабочий столComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section — STAGE 1

/wow section — STAGE 10

/wow section — STAGE 20

/wow section — STAGE 30

/wow section — STAGE 40

/wow section — STAGE 50

((((((((((((((((((((((((( Files Created from 2008-12-14 to 2009-01-14 )))))))))))))))))))))))))))))))
.

2009-01-10 06:52 . 2009-01-10 07:51
d—-c— c:documents and settingsНаталия НовиковаApplication DataMedia Player Classic
2009-01-10 06:49 . 2009-01-10 06:49 d—-c— c:program filesK-Lite Codec Pack
2009-01-10 06:49 . 2006-05-25 00:47 3,596,288 —a—c— c:windowssystem32qt-dx331.dll
2009-01-10 06:49 . 2006-06-21 12:42 1,044,480 —a—c— c:windowssystem32libdivx.dll
2009-01-10 06:49 . 2006-04-20 16:00 856,064 —a—c— c:windowssystem32xvidcore.dll
2009-01-10 06:49 . 2006-07-03 23:40 620,180 —a—c— c:windowssystem32divx.dll
2009-01-10 06:49 . 2006-08-22 21:53 594,450 —a—c— c:windowssystem32x264vfw.dll
2009-01-10 06:49 . 2006-02-27 15:30 217,088 —a—c— c:windowssystem32xvidvfw.dll
2009-01-10 06:49 . 2006-06-21 12:42 200,704 —a—c— c:windowssystem32ssldivx.dll
2009-01-10 06:49 . 2006-05-25 00:46 200,704 —a—c— c:windowssystem32dtu100.dll
2009-01-10 06:49 . 2006-05-13 23:16 118,784 —a—c— c:windowssystem32ac3acm.acm
2009-01-10 06:49 . 2006-04-08 03:13 90,112 —a—c— c:windowssystem32dpl100.dll
2009-01-10 06:49 . 2006-07-05 20:02 5,120 —a—c— c:windowssystem32ff_vfw.dll
2009-01-10 06:49 . 2005-02-24 18:56 547 —a—c— c:windowssystem32ff_vfw.dll.manifest
2009-01-09 23:39 . 2009-01-09 23:39 d—-c— C:_OTMoveIt
2009-01-04 23:40 . 2009-01-04 23:41 d—-c— C:rsit
2009-01-04 23:40 . 2009-01-09 23:52 d—-c— c:program filestrend micro
2008-12-30 20:42 . 2008-12-03 19:52 38,496 —a—c— c:windowssystem32driversmbamswissarmy.sys
2008-12-30 20:42 . 2008-12-03 19:52 15,504 —a—c— c:windowssystem32driversmbam.sys
2008-12-30 10:15 . 2008-12-30 10:15 32,824 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data638097440.exe
2008-12-29 23:08 . 2008-12-29 23:08 d—-c— c:program filesEnigma Software Group
2008-12-29 20:58 . 2009-01-01 20:15 d—-c— c:program filesMalwarebytes’ Anti-Malware
2008-12-29 19:58 . 2008-12-29 19:58 d—-c— c:program filesCommon FilesDownload Manager
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataMalwarebytes
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsНаталия НовиковаApplication DataMalwarebytes
2008-12-29 16:17 . 2008-08-14 16:47 2,138,112

c— c:windowssystem32dllcachentkrnlmp.exe
2008-12-29 16:17 . 2008-08-14 16:47 2,017,792

c— c:windowssystem32dllcachentkrpamp.exe
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32driversbthport.sys
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32dllcachebthport.sys
2008-12-28 22:12 . 2008-12-28 22:12 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataESET
2008-12-25 21:22 . 2008-12-28 23:07 0 —a—c— c:windowssystem32driversae9fec7d.sys
2008-12-25 21:12 . 2008-12-25 21:12 dr—c— c:documents and settingsLocalService.NT AUTHORITY.000Избранное
2008-12-24 15:47 . 2008-12-28 23:07 0 —a—c— c:windowssystem32drivers346d0bc6.sys
2008-12-24 15:20 . 2008-12-24 15:20 50,960 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data850119343.exe
2008-12-23 01:26 . 2008-12-23 01:26 61,184 —a—c— c:windowssystem32wpv201229976527.cpx
2008-12-21 01:22 . 2008-12-21 01:22 74,240 —a—c— c:windowssystem32wpv401229732545.cpx
2008-12-21 01:22 . 2008-12-21 01:22 73,728 —a—c— c:windowssystem32wpv981229732464.cpx

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-31 14:04 22,328 -c—a-w c:windowssystem32driversPnkBstrK.sys
2008-12-31 14:04 103,736 -c—a-w c:windowssystem32PnkBstrB.exe
2008-12-28 20:04

dc—-w c:program filesESET
2008-12-03 15:40 66,872 -c—a-w c:windowssystem32PnkBstrA.exe
2008-12-03 15:13 22,328 -c—a-w c:documents and settingsНаталия НовиковаApplication DataPnkBstrK.sys
2008-12-03 15:12

dc-h—w c:program filesInstallShield Installation Information
2008-12-03 14:17

dc—-w c:program filesAlwil Software
2008-12-03 14:11

dc—-w c:program filesCommon FilesAhead
2008-11-25 21:29

dc—-w c:program filesDirectX
2008-11-25 21:29

dc—-w c:program filesCommon FilesInstallShield
2008-11-25 10:01

dc—-w c:documents and settingsНаталия НовиковаApplication DataAhead
2008-11-25 09:16

dc—-w c:program filesNero
2008-11-24 16:15

dc—-w c:program filesAvRack
2008-11-24 16:12

dc—-w c:program filesASUS
2008-11-24 16:04 606,848 -c—a-w c:windowsflashax.exe
2008-11-24 16:04 194,560 -c—a-w c:windowsASUS_Ai_Proactive_Screensaver (E).scr
2008-11-24 16:04 12,288 -c—a-w c:windowsimpborl.dll
2008-11-24 15:08

dc—-w c:program filesGoogle
2008-11-24 14:59

dc—-w c:program filesATI Technologies
2008-11-24 14:54

dc—-w c:documents and settingsСтас и НаталиApplication DataATI
2008-11-24 14:54

dc—-w c:documents and settingsНаталия НовиковаApplication DataATI
2008-10-23 13:01 283,648 -c—a-w c:windowssystem32gdi32.dll
2008-10-16 11:13 202,776 -c—a-w c:windowssystem32wuweb.dll
2008-10-16 11:13 1,809,944 -c—a-w c:windowssystem32wuaueng.dll
2008-10-16 11:12 561,688 -c—a-w c:windowssystem32wuapi.dll
2008-10-16 11:12 323,608 -c—a-w c:windowssystem32wucltui.dll
2008-10-16 11:09 92,696 -c—a-w c:windowssystem32cdm.dll
2008-10-16 11:09 51,224 -c—a-w c:windowssystem32wuauclt.exe
2008-10-16 11:09 43,544 —-a-w c:windowssystem32wups2.dll
2008-10-16 11:08 34,328 -c—a-w c:windowssystem32wups.dll
2008-10-16 11:06 268,648 -c—a-w c:windowssystem32mucltui.dll
2008-10-16 11:06 208,744 -c—a-w c:windowssystem32muweb.dll
2008-10-16 10:39 659,968 -c—a-w c:windowssystem32wininet.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2003-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«ASUS Probe»=»c:program filesASUSAsus ProbeAsusProb.exe» [2002-12-06 617984]
«DisableEHCI»=»c:windowsS4TSR.EXE» [2002-08-26 28672]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168]
«SoundMan»=»SOUNDMAN.EXE» [2004-11-15 c:windowsSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-18 15360]
«DWQueuedReporting»=»c:progra~1COMMON~1MICROS~1DWdwtrig20.exe» [2006-10-26 434528]

c:documents and settingsAll Users.WINDOWSѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\system32\PnkBstrA.exe»=
«c:\WINDOWS\system32\PnkBstrB.exe»=
«d:\Games\iw3mp.exe»=
«d:\Half Life 2\hl2.exe»=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [2005-10-13 35328]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2008-07-01 34312]
R3 USB_RNDIS_51;ZTE USB Remote NDIS Device Driver;c:windowssystem32driversusb8023.sys [2003-08-18 12672]
R4 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
S1 346d0bc6;346d0bc6;c:windowssystem32drivers346d0bc6.sys [2008-12-24 0]
S1 ae9fec7d;ae9fec7d;c:windowssystem32driversae9fec7d.sys [2008-12-25 0]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2008-12-30 38496]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]
ShellAutoRuncommand — H:
ShellopenCommand — rundll32.exe .\nsdll.dll,InstallM
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} — c:program filesCommon FilesAheadLibNMBgMonitor.exe

.

Supplementary Scan

.
uStart Page = http://www.yandex.ru/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: {4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689} = 62.112.106.130 195.34.31.50
.
.

File Associations

.
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 22:36:16
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

scanning hidden processes …

c:windowssystem32CbEvtSvc.exe [1704] 0x818CE020

scanning hidden autostart entries …

scanning hidden files …

c:windowssystem32CbEvtSvc.exe 61184 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(640)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2009-01-14 22:43:21
ComboFix-quarantined-files.txt 2009-01-14 19:43:14

Pre-Run: 4 514 676 736 байт свободно
Post-Run: 5,507,395,584 байт свободно

170 — E O F — 2009-01-04 04:03:06
15 января, 2009 в 5:07 пп #20778
Admin
Keymaster
- Темы:40
- Сообщений:5676
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Driver::

346d0bc6

ae9fec7d



Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]



File::

c:windowssystem32drivers346d0bc6.sys

c:windowssystem32driversae9fec7d.sys

c:windowssystem32CbEvtSvc.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
16 января, 2009 в 8:16 пп #20779
Nataly
Participant
- Темы:1
- Сообщений:12
ComboFix 09-01-15.01 — Наталия Новикова 2009-01-16 23:02:55.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.259 [GMT 3:00]
Running from: c:documents and settingsНаталия НовиковаРабочий столComboFix.exe
Command switches used :: c:documents and settingsНаталия НовиковаРабочий столCFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Created a new restore point
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
c:windowssystem32CbEvtSvc.exe
c:windowssystem32drivers346d0bc6.sys
c:windowssystem32driversae9fec7d.sys
.
/wow section — STAGE 1

/wow section — STAGE 10

/wow section — STAGE 20

/wow section — STAGE 30

/wow section — STAGE 40

/wow section — STAGE 50
FINDSTR: Ћвбгвбвўгов бва®ЄЁ Ї®ЁбЄ

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

Service_346d0bc6

Service_ae9fec7d

((((((((((((((((((((((((( Files Created from 2008-12-16 to 2009-01-16 )))))))))))))))))))))))))))))))
.

2009-01-15 15:11 . 2009-01-15 15:11
d—-c— c:documents and settingsAll Users.WINDOWSApplication DataNero
2009-01-10 06:52 . 2009-01-10 07:51 d—-c— c:documents and settingsНаталия НовиковаApplication DataMedia Player Classic
2009-01-10 06:49 . 2009-01-10 06:49 d—-c— c:program filesK-Lite Codec Pack
2009-01-10 06:49 . 2006-05-25 00:47 3,596,288 —a—c— c:windowssystem32qt-dx331.dll
2009-01-10 06:49 . 2006-06-21 12:42 1,044,480 —a—c— c:windowssystem32libdivx.dll
2009-01-10 06:49 . 2006-04-20 16:00 856,064 —a—c— c:windowssystem32xvidcore.dll
2009-01-10 06:49 . 2006-07-03 23:40 620,180 —a—c— c:windowssystem32divx.dll
2009-01-10 06:49 . 2006-08-22 21:53 594,450 —a—c— c:windowssystem32x264vfw.dll
2009-01-10 06:49 . 2006-02-27 15:30 217,088 —a—c— c:windowssystem32xvidvfw.dll
2009-01-10 06:49 . 2006-06-21 12:42 200,704 —a—c— c:windowssystem32ssldivx.dll
2009-01-10 06:49 . 2006-05-25 00:46 200,704 —a—c— c:windowssystem32dtu100.dll
2009-01-10 06:49 . 2006-05-13 23:16 118,784 —a—c— c:windowssystem32ac3acm.acm
2009-01-10 06:49 . 2006-04-08 03:13 90,112 —a—c— c:windowssystem32dpl100.dll
2009-01-10 06:49 . 2006-07-05 20:02 5,120 —a—c— c:windowssystem32ff_vfw.dll
2009-01-10 06:49 . 2005-02-24 18:56 547 —a—c— c:windowssystem32ff_vfw.dll.manifest
2009-01-09 23:39 . 2009-01-09 23:39 d—-c— C:_OTMoveIt
2009-01-04 23:40 . 2009-01-04 23:41 d—-c— C:rsit
2009-01-04 23:40 . 2009-01-09 23:52 d—-c— c:program filestrend micro
2008-12-30 20:42 . 2008-12-03 19:52 38,496 —a—c— c:windowssystem32driversmbamswissarmy.sys
2008-12-30 20:42 . 2008-12-03 19:52 15,504 —a—c— c:windowssystem32driversmbam.sys
2008-12-30 10:15 . 2008-12-30 10:15 32,824 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data638097440.exe
2008-12-29 23:08 . 2008-12-29 23:08 d—-c— c:program filesEnigma Software Group
2008-12-29 20:58 . 2009-01-01 20:15 d—-c— c:program filesMalwarebytes’ Anti-Malware
2008-12-29 19:58 . 2008-12-29 19:58 d—-c— c:program filesCommon FilesDownload Manager
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataMalwarebytes
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsНаталия НовиковаApplication DataMalwarebytes
2008-12-29 16:17 . 2008-08-14 16:47 2,138,112

c— c:windowssystem32dllcachentkrnlmp.exe
2008-12-29 16:17 . 2008-08-14 16:47 2,017,792

c— c:windowssystem32dllcachentkrpamp.exe
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32driversbthport.sys
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32dllcachebthport.sys
2008-12-28 22:12 . 2008-12-28 22:12 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataESET
2008-12-25 21:22 . 2008-12-28 23:07 0 —a—c— c:windowssystem32driversae9fec7d.sys
2008-12-25 21:12 . 2008-12-25 21:12 dr—c— c:documents and settingsLocalService.NT AUTHORITY.000Избранное
2008-12-24 15:47 . 2008-12-28 23:07 0 —a—c— c:windowssystem32drivers346d0bc6.sys
2008-12-24 15:20 . 2008-12-24 15:20 50,960 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data850119343.exe
2008-12-23 01:26 . 2008-12-23 01:26 61,184 —a—c— c:windowssystem32wpv201229976527.cpx
2008-12-21 01:22 . 2008-12-21 01:22 74,240 —a—c— c:windowssystem32wpv401229732545.cpx
2008-12-21 01:22 . 2008-12-21 01:22 73,728 —a—c— c:windowssystem32wpv981229732464.cpx

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 12:14

dc—-w c:program filesCommon FilesAhead
2008-12-31 14:04 22,328 -c—a-w c:windowssystem32driversPnkBstrK.sys
2008-12-28 20:04

dc—-w c:program filesESET
2008-12-03 15:13 22,328 -c—a-w c:documents and settingsНаталия НовиковаApplication DataPnkBstrK.sys
2008-12-03 15:12

dc-h—w c:program filesInstallShield Installation Information
2008-12-03 14:17

dc—-w c:program filesAlwil Software
2008-11-25 21:29

dc—-w c:program filesDirectX
2008-11-25 21:29

dc—-w c:program filesCommon FilesInstallShield
2008-11-25 10:01

dc—-w c:documents and settingsНаталия НовиковаApplication DataAhead
2008-11-25 09:16

dc—-w c:program filesNero
2008-11-24 16:15

dc—-w c:program filesAvRack
2008-11-24 16:12

dc—-w c:program filesASUS
2008-11-24 16:04 606,848 -c—a-w c:windowsflashax.exe
2008-11-24 16:04 194,560 -c—a-w c:windowsASUS_Ai_Proactive_Screensaver (E).scr
2008-11-24 16:04 12,288 -c—a-w c:windowsimpborl.dll
2008-11-24 15:08

dc—-w c:program filesGoogle
2008-11-24 14:59

dc—-w c:program filesATI Technologies
2008-11-24 14:54

dc—-w c:documents and settingsСтас и НаталиApplication DataATI
2008-11-24 14:54

dc—-w c:documents and settingsНаталия НовиковаApplication DataATI
.

((((((((((((((((((((((((((((( snapshot@2009-01-14_22.36.57,89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 17:02:28 163,328 -c—a-w c:windowsERDNTsubsERDNT.EXE
+ 2009-01-15 12:15:01 25,214 -c—a-r c:windowsInstaller{99B2B571-53D7-47C3-835D-9A4EFF351049}ARPPRODUCTICON.exe
+ 2005-08-15 08:08:26 5,888 -c—a-w c:windowssystem32driversimagedrv.sys
+ 2005-08-15 08:08:26 127,488 -c—a-w c:windowssystem32driversimagesrv.sys
+ 2004-07-26 13:16:10 1,568,768 -c—a-w c:windowssystem32imagX7.dll
+ 2004-07-26 13:16:10 476,320 -c—a-w c:windowssystem32imagXpr7.dll
+ 2004-07-26 13:16:10 262,144 -c—a-w c:windowssystem32imagXR7.dll
+ 2004-07-26 13:16:10 471,040 -c—a-w c:windowssystem32imagXRA7.dll
+ 2005-02-16 11:18:04 90,184 -c—a-w c:windowssystem32NeroCo.dll
+ 2004-07-09 05:43:56 364,544 -c—a-w c:windowssystem32TwnLib4.dll
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroBackItUp.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroMediaHome.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroShowTime.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroVision.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNRecode.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2003-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«ASUS Probe»=»c:program filesASUSAsus ProbeAsusProb.exe» [2002-12-06 617984]
«DisableEHCI»=»c:windowsS4TSR.EXE» [2002-08-26 28672]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«SoundMan»=»SOUNDMAN.EXE» [2004-11-15 c:windowsSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-18 15360]
«DWQueuedReporting»=»c:progra~1COMMON~1MICROS~1DWdwtrig20.exe» [2006-10-26 434528]

c:documents and settingsAll Users.WINDOWSѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\system32\PnkBstrA.exe»=
«c:\WINDOWS\system32\PnkBstrB.exe»=
«d:\Games\iw3mp.exe»=
«d:\Half Life 2\hl2.exe»=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [2005-10-13 35328]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2008-07-01 34312]
R3 USB_RNDIS_51;ZTE USB Remote NDIS Device Driver;c:windowssystem32driversusb8023.sys [2003-08-18 12672]
R4 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2008-12-30 38496]
.
.

Supplementary Scan

.
uStart Page = http://www.yandex.ru/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: {4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689} = 62.112.106.130 195.34.31.50
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 23:07:09
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

scanning hidden processes …

c:windowssystem32CbEvtSvc.exe [1700] 0x818E04E0

scanning hidden autostart entries …

scanning hidden files …

c:windowssystem32CbEvtSvc.exe 61184 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(640)
c:windowssystem32Ati2evxx.dll
.

Other Running Processes

.
c:windowssystem32ati2evxx.exe
c:windowssystem32ati2evxx.exe
c:windowssystem32PnkBstrA.exe
c:windowssystem32ufdsvc.exe
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-01-16 23:14:56 — machine was rebooted
ComboFix-quarantined-files.txt 2009-01-16 20:14:48
ComboFix2.txt 2009-01-14 19:43:24

Pre-Run: 6 092 365 824 байт свободно
Post-Run: 6,562,045,952 байт свободно

190 — E O F — 2009-01-04 04:03:06
18 января, 2009 в 11:47 пп #20780
Admin
Keymaster
- Темы:40
- Сообщений:5676
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Driver::

CbEvtSvc



NetSvc::

CbEvtSvc



File::

c:windowssystem32CbEvtSvc.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
21 января, 2009 в 5:13 дп #20781
Nataly
Participant
- Темы:1
- Сообщений:12
ComboFix 09-01-15.01 — Наталия Новикова 2009-01-21 7:58:24.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.254 [GMT 3:00]
Running from: c:documents and settingsНаталия НовиковаРабочий столComboFix.exe
Command switches used :: c:documents and settingsНаталия НовиковаРабочий столCFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Created a new restore point
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
c:windowssystem32CbEvtSvc.exe
.
/wow section — STAGE 1

/wow section — STAGE 10

/wow section — STAGE 20

/wow section — STAGE 30

/wow section — STAGE 40

/wow section — STAGE 50
FINDSTR: Ћвбгвбвўгов бва®ЄЁ Ї®ЁбЄ

((((((((((((((((((((((((( Files Created from 2008-12-21 to 2009-01-21 )))))))))))))))))))))))))))))))
.

2009-01-19 23:42 . 2009-01-19 23:42
d—-c— C:GameRival
2009-01-19 23:41 . 2009-01-19 23:41 d—-c— c:program filesReflexiveArcade
2009-01-15 15:11 . 2009-01-15 15:11 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataNero
2009-01-10 06:52 . 2009-01-10 07:51 d—-c— c:documents and settingsНаталия НовиковаApplication DataMedia Player Classic
2009-01-10 06:49 . 2009-01-10 06:49 d—-c— c:program filesK-Lite Codec Pack
2009-01-10 06:49 . 2006-05-25 00:47 3,596,288 —a—c— c:windowssystem32qt-dx331.dll
2009-01-10 06:49 . 2006-06-21 12:42 1,044,480 —a—c— c:windowssystem32libdivx.dll
2009-01-10 06:49 . 2006-04-20 16:00 856,064 —a—c— c:windowssystem32xvidcore.dll
2009-01-10 06:49 . 2006-07-03 23:40 620,180 —a—c— c:windowssystem32divx.dll
2009-01-10 06:49 . 2006-08-22 21:53 594,450 —a—c— c:windowssystem32x264vfw.dll
2009-01-10 06:49 . 2006-02-27 15:30 217,088 —a—c— c:windowssystem32xvidvfw.dll
2009-01-10 06:49 . 2006-06-21 12:42 200,704 —a—c— c:windowssystem32ssldivx.dll
2009-01-10 06:49 . 2006-05-25 00:46 200,704 —a—c— c:windowssystem32dtu100.dll
2009-01-10 06:49 . 2006-05-13 23:16 118,784 —a—c— c:windowssystem32ac3acm.acm
2009-01-10 06:49 . 2006-04-08 03:13 90,112 —a—c— c:windowssystem32dpl100.dll
2009-01-10 06:49 . 2006-07-05 20:02 5,120 —a—c— c:windowssystem32ff_vfw.dll
2009-01-10 06:49 . 2005-02-24 18:56 547 —a—c— c:windowssystem32ff_vfw.dll.manifest
2009-01-09 23:39 . 2009-01-09 23:39 d—-c— C:_OTMoveIt
2009-01-04 23:40 . 2009-01-04 23:41 d—-c— C:rsit
2009-01-04 23:40 . 2009-01-09 23:52 d—-c— c:program filestrend micro
2008-12-30 20:42 . 2008-12-03 19:52 38,496 —a—c— c:windowssystem32driversmbamswissarmy.sys
2008-12-30 20:42 . 2008-12-03 19:52 15,504 —a—c— c:windowssystem32driversmbam.sys
2008-12-30 10:15 . 2008-12-30 10:15 32,824 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data638097440.exe
2008-12-29 23:08 . 2008-12-29 23:08 d—-c— c:program filesEnigma Software Group
2008-12-29 20:58 . 2009-01-01 20:15 d—-c— c:program filesMalwarebytes’ Anti-Malware
2008-12-29 19:58 . 2008-12-29 19:58 d—-c— c:program filesCommon FilesDownload Manager
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataMalwarebytes
2008-12-29 18:01 . 2008-12-29 18:01 d—-c— c:documents and settingsНаталия НовиковаApplication DataMalwarebytes
2008-12-29 16:17 . 2008-08-14 16:47 2,138,112

c— c:windowssystem32dllcachentkrnlmp.exe
2008-12-29 16:17 . 2008-08-14 16:47 2,017,792

c— c:windowssystem32dllcachentkrpamp.exe
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32driversbthport.sys
2008-12-29 10:40 . 2008-06-14 20:59 272,512

c— c:windowssystem32dllcachebthport.sys
2008-12-28 22:12 . 2008-12-28 22:12 d—-c— c:documents and settingsAll Users.WINDOWSApplication DataESET
2008-12-25 21:22 . 2008-12-28 23:07 0 —a—c— c:windowssystem32driversae9fec7d.sys
2008-12-25 21:12 . 2008-12-25 21:12 dr—c— c:documents and settingsLocalService.NT AUTHORITY.000Избранное
2008-12-24 15:47 . 2008-12-28 23:07 0 —a—c— c:windowssystem32drivers346d0bc6.sys
2008-12-24 15:20 . 2008-12-24 15:20 50,960 —a—c— c:documents and settingsLocalService.NT AUTHORITY.000Application Data850119343.exe
2008-12-23 01:26 . 2008-12-23 01:26 61,184 —a—c— c:windowssystem32wpv201229976527.cpx
2008-12-21 01:22 . 2008-12-21 01:22 74,240 —a—c— c:windowssystem32wpv401229732545.cpx
2008-12-21 01:22 . 2008-12-21 01:22 73,728 —a—c— c:windowssystem32wpv981229732464.cpx

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-20 15:06 22,328 -c—a-w c:windowssystem32driversPnkBstrK.sys
2009-01-20 15:06 103,736 -c—a-w c:windowssystem32PnkBstrB.exe
2009-01-15 12:14

dc—-w c:program filesCommon FilesAhead
2008-12-28 20:04

dc—-w c:program filesESET
2008-12-03 15:40 66,872 -c—a-w c:windowssystem32PnkBstrA.exe
2008-12-03 15:13 22,328 -c—a-w c:documents and settingsНаталия НовиковаApplication DataPnkBstrK.sys
2008-12-03 15:12

dc-h—w c:program filesInstallShield Installation Information
2008-12-03 14:17

dc—-w c:program filesAlwil Software
2008-11-25 21:29

dc—-w c:program filesDirectX
2008-11-25 21:29

dc—-w c:program filesCommon FilesInstallShield
2008-11-25 10:01

dc—-w c:documents and settingsНаталия НовиковаApplication DataAhead
2008-11-25 09:16

dc—-w c:program filesNero
2008-11-24 16:15

dc—-w c:program filesAvRack
2008-11-24 16:12

dc—-w c:program filesASUS
2008-11-24 16:04 606,848 -c—a-w c:windowsflashax.exe
2008-11-24 16:04 194,560 -c—a-w c:windowsASUS_Ai_Proactive_Screensaver (E).scr
2008-11-24 16:04 12,288 -c—a-w c:windowsimpborl.dll
2008-11-24 15:08

dc—-w c:program filesGoogle
2008-11-24 14:59

dc—-w c:program filesATI Technologies
2008-11-24 14:54

dc—-w c:documents and settingsСтас и НаталиApplication DataATI
2008-11-24 14:54

dc—-w c:documents and settingsНаталия НовиковаApplication DataATI
2008-10-23 13:01 283,648 -c—a-w c:windowssystem32gdi32.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-14_22.36.57,89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 17:02:28 163,328 -c—a-w c:windowsERDNTsubsERDNT.EXE
+ 2009-01-15 12:15:01 25,214 -c—a-r c:windowsInstaller{99B2B571-53D7-47C3-835D-9A4EFF351049}ARPPRODUCTICON.exe
+ 2005-08-15 08:08:26 5,888 -c—a-w c:windowssystem32driversimagedrv.sys
+ 2005-08-15 08:08:26 127,488 -c—a-w c:windowssystem32driversimagesrv.sys
+ 2004-07-26 13:16:10 1,568,768 -c—a-w c:windowssystem32imagX7.dll
+ 2004-07-26 13:16:10 476,320 -c—a-w c:windowssystem32imagXpr7.dll
+ 2004-07-26 13:16:10 262,144 -c—a-w c:windowssystem32imagXR7.dll
+ 2004-07-26 13:16:10 471,040 -c—a-w c:windowssystem32imagXRA7.dll
+ 2005-02-16 11:18:04 90,184 -c—a-w c:windowssystem32NeroCo.dll
+ 2004-07-09 05:43:56 364,544 -c—a-w c:windowssystem32TwnLib4.dll
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroBackItUp.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroMediaHome.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroShowTime.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNNeroVision.exe
+ 2006-07-14 13:29:44 966,656 -c—a-w c:windowsUNRecode.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2003-08-18 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»c:windowsSiSUSBrg.exe» [2002-07-12 106496]
«ASUS Probe»=»c:program filesASUSAsus ProbeAsusProb.exe» [2002-12-06 617984]
«DisableEHCI»=»c:windowsS4TSR.EXE» [2002-08-26 28672]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«SoundMan»=»SOUNDMAN.EXE» [2004-11-15 c:windowsSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-18 15360]
«DWQueuedReporting»=»c:progra~1COMMON~1MICROS~1DWdwtrig20.exe» [2006-10-26 434528]

c:documents and settingsAll Users.WINDOWSѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\system32\PnkBstrA.exe»=
«c:\WINDOWS\system32\PnkBstrB.exe»=
«d:\Games\iw3mp.exe»=
«d:\Half Life 2\hl2.exe»=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [2005-10-13 35328]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2008-07-01 34312]
R3 USB_RNDIS_51;ZTE USB Remote NDIS Device Driver;c:windowssystem32driversusb8023.sys [2003-08-18 12672]
R4 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2008-12-30 38496]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]
ShellAutoRuncommand — H:
ShellopenCommand — rundll32.exe .\nsdll.dll,InstallM
.
.

Supplementary Scan

.
uStart Page = http://www.yandex.ru/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: {4C8644B2-CBDE-44CB-8F4D-0C2BCA94C689} = 62.112.106.130 195.34.31.50
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-21 08:00:59
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

scanning hidden processes …

c:windowssystem32CbEvtSvc.exe [1696] 0x818D5B28

scanning hidden autostart entries …

scanning hidden files …

c:windowssystem32CbEvtSvc.exe 61184 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(636)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2009-01-21 8:07:49
ComboFix-quarantined-files.txt 2009-01-21 05:07:43
ComboFix2.txt 2009-01-16 20:14:59
ComboFix3.txt 2009-01-14 19:43:24

Pre-Run: 6 376 681 472 байт свободно
Post-Run: 6,649,503,744 байт свободно

180 — E O F — 2009-01-04 04:03:06
22 января, 2009 в 11:58 дп #20782
Admin
Keymaster
- Темы:40
- Сообщений:5676
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:
```
Files to delete:

c:windowssystem32CbEvtSvc.exe
```
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.
26 января, 2009 в 7:10 пп #20783
Nataly
Participant
- Темы:1
- Сообщений:12
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File «c:windowssystem32CbEvtSvc.exe» deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Автор

Сообщения